Active Directory入門 Part1 — まずは把握すべき要素・概念・単語をざっと理解!
この記事の内容
- Active Directoryの基本構造(フォレスト・ドメイン・コンテナ・OU・サイト)を解説します
- DNSとの関係、認証プロトコル(Kerberos・NTLM)についてまとめます
- ドメインコントローラーのデータベース構造とパーティションの概念を説明します
- グループポリシー・ドメイン参加・信頼関係など運用に欠かせない概念を整理します
- 複製のロジックやトゥームストーン、障害対策・診断コマンドにも触れます
Active Directoryとは
Active Directoryは、企業の中で広く使われているディレクトリサービスです。Windows 2000の時代、すなわち20年以上前から存在しており、現在も多くの企業環境で中心的な役割を担っています。
この記事では、画面操作の詳細には踏み込まず、Active Directoryを理解する上で知っておくべき用語・概念・構造をざっと把握することを目的としています。
基本構造:フォレスト・ドメイン・コンテナ・OU
フォレストとドメイン
Active Directoryの構造は、大きなものから順に以下のようになっています。
- フォレスト — 最も大きな管理単位
- ドメイン — フォレストの中に1つ以上作成できる管理単位
- コンテナ・OU — ドメインの中に作成する小さな管理単位
ドメインには example.com や test.local のようなDNSドメイン名と同じ形式の名前が付きます。これはActive Directoryが内部的にDNSを利用しているためです。ただし「ドメイン」という概念そのものは、DNSが使われる以前のWindows NT時代から存在しており、その名残でDNSのドメイン名と重なる形になっています。
フォレストの中には複数のドメインを作成できます。例えば以下のような構造が可能です。
また、フォレスト自体を複数に分けることもできます。その場合は完全に独立したActive Directory環境が複数存在することになります。Active Directoryについて話す際は、ドメインだけでなくフォレストの構成も確認することが重要です。
コンテナとOU(組織単位)
ドメインの中にはユーザーやコンピューターなどのオブジェクトを管理するための入れ物があります。
| 種類 | 説明 |
|---|---|
| コンテナ | Active Directoryがデフォルトで作成する管理単位 |
| OU(Organizational Unit) | 管理者が自分で作成・管理する組織単位 |
日常的な運用では、OUを作成してその中にユーザーやコンピューターを分類・整理していきます。部署ごと・拠点ごと・役割ごとなど、組織の実態に合わせた階層構造を作ることができます。
サイトの概念
フォレストに紐づく概念としてサイトがあります。
企業が東京と大阪に拠点を持ち、それぞれにドメインコントローラー(DC)が配置されているとします。東京のPCが大阪のDCに認証しに行くとネットワーク帯域の無駄遣いになります。このような場合に、ネットワークアドレスをサイトに対応付けることで、「このIPアドレス範囲のPCはこちらのDCを優先的に使う」 という制御が可能になります。
サイトリンクはサイト間のネットワーク接続を定義するもので、帯域や複製スケジュールを制御できます。
DNSとの関係:AD統合モードとSRVレコード
AD統合モード
ドメインコントローラーにはDNSサーバーの役割も併せて持たせるのが一般的です。Active DirectoryのデータベースとDNSのデータベースを統合して管理する仕組みがActive Directory統合モードです。これにより、DNSレコードもADの複製ロジックを使って同期されます。
複製のスコープとして、フォレスト全体で複製するか、ドメイン内だけで複製するかを切り替えることも可能です。
SRVレコード
PCが近くのドメインコントローラーを探す際には、DNSのSRVレコードが使われます。SRVレコードには「このサイト内のDCはどれか」という情報が記録されており、PCはこれをもとに接続先のDCを決定します。
ディレクトリサービスとLDAP
Active DirectoryはLDAP(Lightweight Directory Access Protocol)ベースのデータベースです。LDAPというインターフェースを通じて、ドメイン内のユーザー情報などを取得することができます。DCの探索にはDNSが使われますが、DC接続後の情報取得にはLDAPが使われます。
認証:Kerberos・NTLM・CredSSP
Active Directoryによる認証(AD認証)には、いくつかの種類があります。
| 認証プロトコル | 特徴 |
|---|---|
| Kerberos | Active Directoryのメイン認証。現在の標準 |
| NTLM | Windows NT時代からある認証。セキュリティ的に弱い |
| CredSSP | Hyper-Vなど一部の用途で使われる |
認証トラブルが発生した際は、どの認証プロトコルを使っているかを確認することが解決への近道となります。
グループポリシー(GPO)
グループポリシーはActive Directoryに参加しているPCに対して、組織のルールや設定を一括適用する仕組みです。
設定できる内容の例:
- パスワードの複雑さ要件
- スクリーンセーバーのタイムアウト
- ログイン時のスクリプト実行
- ネットワークドライブのマッピング
GPOはドメイン全体・OU・サイトのいずれかを対象として適用できます。Windowsで設定できるほとんどの設定はGPOでも適用可能と言っても過言ではありません。
ドメイン参加とユーザープロファイル
PCをActive Directoryの管理下に置くにはドメイン参加という操作を行います。ドメイン参加を行うと:
- ADのデータベースにPCオブジェクトが作成されます
- グループポリシーが適用されるようになります
- ドメインユーザーでのログインが可能になります
注意点として、ローカルユーザーとドメインユーザーは別のユーザーとして扱われます。例えばローカルの A というユーザーと EXAMPLE\A というドメインユーザーはまったく別物であり、デスクトップやドキュメントなどのユーザープロファイルも別になります。ドメイン参加の際はプロファイルの移行を検討する必要があります。
データベースとパーティション
ドメインコントローラーはActive Directoryのデータベースを保持しています。冗長化のために複数台のDCを構成した場合、これらのデータベースはお互いに**複製(レプリケーション)**されます。
データベースは用途に応じて複数のパーティションに分かれています。
| パーティション | 複製範囲 | 内容 |
|---|---|---|
| 構成パーティション | フォレスト全体 | フォレストの構成情報 |
| スキーマパーティション | フォレスト全体 | オブジェクトの属性定義 |
| ドメインパーティション | ドメイン内 | ユーザー・コンピューターなどのオブジェクト情報 |
また、フォレスト内の全ユーザーを検索しやすくするため、グローバルカタログ(GC) という仕組みがあります。グローバルカタログにはフォレスト内の全ユーザーが登録されていますが、保持している属性は一部に絞られています。全属性を取得したい場合は、対象ドメインのDCに問い合わせる必要があります。
複製とトゥームストーン
Active Directoryの複製はマルチマスター方式です。どのDCに対して変更を加えても、その変更は他のDCに順次複製されます。
トゥームストーン(廃棄有効期間)
オブジェクトを削除した場合、「削除した」という情報(トゥームストーン)がデータベースに保持されます。これは、長期間オフラインだったDCが復帰した際に、削除済みオブジェクトが復活しないようにするためです。
デフォルトでは180日程度でこのトゥームストーン情報が破棄されます。もし180日以上オフラインだったDCが復帰した場合、そのDCとの複製は行われません。適切に管理されていない環境では、このトゥームストーンに関連する複製エラーが発生しやすいため、注意が必要です。
スキーマ
スキーマはActive Directoryのデータベース構造定義です。ユーザーオブジェクトが持つ属性(名前・メールアドレスなど)の定義がスキーマに含まれます。
Microsoft Exchangeのようなアプリケーションを導入する際には、Exchange専用の属性を追加するためにスキーマ拡張が行われます。スキーマはフォレスト全体で共有されるため、拡張操作は慎重に行う必要があります。
FSMOロール(操作マスター)
Active Directoryはマルチマスター方式ですが、一部の操作は1台のDCだけが担当する必要があります。このようなDCをFSMO(Flexible Single Master Operation)ロールを持つDCと言います。
代表的なFSMOロール:
| ロール | スコープ | 役割 |
|---|---|---|
| スキーママスター | フォレスト | スキーマ変更の管理 |
| ドメイン命名マスター | フォレスト | ドメインの追加・削除 |
| RIDマスター | ドメイン | オブジェクトIDの払い出し |
| PDCエミュレーター | ドメイン | 旧互換性・時刻同期など |
| インフラストラクチャマスター | ドメイン | オブジェクト参照の整合性管理 |
DCを追加・削除する際は、これらのFSMOロールを適切に転送することが必要です。
SYSVOL・FRS・DFRS
SYSVOLはドメインコントローラー上のファイル共有で、グループポリシーのテンプレートファイルなどが格納されています。複数のDCが存在する場合、このSYSVOLの内容を同期する仕組みが必要です。
| メカニズム | 説明 |
|---|---|
| FRS | 旧来の複製メカニズム(廃止予定) |
| DFRS(DFS Replication) | 現在の標準。新しい環境ではこちらを使用 |
SYSVOLの複製はADデータベースの複製とは別のロジックで動作している点に注意が必要です。DFRSはDC以外のWindowsファイルサーバー間のコンテンツ同期にも利用できます。
信頼関係(トラスト)
別のドメインやフォレストとリソースを共有したい場合は**信頼関係(トラスト)**を構成します。
- 同一フォレスト内のドメイン間:自動的に信頼関係が結ばれています
- 別フォレストのドメインとの間:手動で信頼関係を構成する必要があります
信頼関係には一方向と双方向があります。一方向の場合、片方のフォレストのユーザーだけをもう一方のリソースのアクセス権対象にできます。フォレスト間で信頼関係を結ぶ「フォレストトラスト」を使うと、フォレスト内の全ドメインが対象になります。
障害対策とリストア
DCは複数台で構成・複製されているため、1台が故障しても他のDCのデータベースから復旧できます。推奨される復旧手順は以下の通りです。
- 新しいサーバーを用意する
- ドメインコントローラーに昇格させる
- 既存のDCからデータベースを複製して受け取る
バックアップからのリストアは、トゥームストーンの問題などが発生する可能性があるため、通常は避けることが推奨されます。すべてのDCが利用不能になった最終手段として行う場合は、オーソリタティブリストアという手順を踏む必要があります。
診断コマンド
Active Directoryの管理・診断によく使われるコマンドを以下に示します。
# DCの診断
dcdiag
# ネットワーク・ドメイン診断
netdiag
# 複製の診断・管理
repadmin
# LDIFファイルでのインポート/エクスポート
ldifde
csvde
まとめ
この記事では、Active Directoryを理解する上で最低限知っておくべき概念と用語をまとめました。
- フォレスト・ドメイン・OU・サイトという階層構造が基本
- DNSとの統合により、DCの探索やサービス検索にSRVレコードが使われる
- 認証のメインはKerberosで、NTLMはセキュリティ的に弱い旧方式
- DCのデータベースはパーティション単位で複製範囲が分かれている
- トゥームストーンやFSMOロールなど、運用トラブルの原因になりやすい概念を押さえておくことが重要
- 障害対応では新規DCの昇格と複製による復旧が基本、バックアップリストアは最終手段
これらの概念を頭に入れた上で実際の画面操作を学ぶことで、Active Directoryをより体系的に理解できるようになります。