NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

AD の基礎について

Active Directory の 5 つのサービス機能

出典:wizLanScope | IT活用をもっと身近にするための情報サイト

AD DS(Active Directory ドメイン サービス)

認証基盤、ディレクトリサービスといったドメインの機能を提供します。
AD DS は Windows Server 2003 までは Active Directory と呼ばれていました。
一般的には Active Directory と言うと、ドメインサービスのみを指すことが多い。
(ドメインサービスは一般的に必ず使用し、他のサービスはオプションになるため。)

AD LDS(Active Directory ライトウエイト ディレクトリサービス)

AD DS の簡易版の位置づけで、認証はできませんがディレクトリサービスのみが使用できる機能です。
ディレクトリサービスとは、その所在や属性、設定などの情報を収集・記録し、検索できるようにすることで情報を見つけやすくするためのサービスです。

AD CS(Active Directory 証明書サービス)

公開キー(PKI)を構築するための、証明書の作成と管理を行う証明機関を作成するサービスです。
AD CS を使ってアプリケーションで使用するための証明書の発行や管理を行うことができます。
AD CS を利用することで、一般的なサーバー証明書の発行や、Windows のログオン ID に紐づけたクライアント証明書の発行などに利用できます。

AD RMS(Active Directory Right Management サービス)

ドキュメントの権限管理やコンテンツ保護など、不正使用から情報を保護するための機能です。
AD RMS を利用すれば、メールやドキュメントの保護が可能になり、保護されたデータは暗号化され、細かな権限設定をユーザ単位で設定されます。第三者がそのデータを利用しようとすると、AD によってユーザ認証が行われ、そのユーザに許可された範囲での操作のみ行うことができます。

AD FS(Active Directory フェデレーションサービス)

複数の Web アプリケーション間の認証や、異なる組織間での認証など、組織の違いを超えて認証の仕組みを連携する機能です。

AD DS とは

AD DS の 主な機能として「LDAP」「認証」「DNS」があります。

LDAP(Lightweight Directory Access Protocol)

システムを利用するユーザーの情報を保管する仕組みで、階層構造により構成されています。
階層構造は、ディレクトリ情報ツリー(Directory Information Tree=DIT)という概念で構成されていて、Active Directory では OU や CN が既存で用意されています。
これらを組み合わせた情報(オブジェクト)は、Active Directory 内において、DN(Distinguished Name)と表現されます。

例)example.com ドメインの DIT
f:id:FriendsNow:20200614214252p:plain

認証

ドメイン環境での認証は、「Kerberos認証」と呼ばれるチケットを利用した認証方式を利用します。
f:id:FriendsNow:20200614214355p:plain:w400

DNS

Active Directory では、ドメインコントローラーの場所を特定するために DNS の SRV レコードが利用されます。
SRV レコードは DNS マネージャーや、コマンドプロンプトから確認できます。

例)DNS マネージャーでの確認
f:id:FriendsNow:20200614214443p:plain

例)コマンドプロンプトでの確認

C:\Users\Administrator> nslookup
> set type=srv
> _ldap._tcp.dc._msdcs.example2.com
サーバー:  localhost
Address:  127.0.0.1

権限のない回答:
_ldap._tcp.dc._msdcs.example2.com       SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = ad03.example2.com

ad03.example2.com       internet address = 192.168.1.133

Active Directory の適用範囲

ドメイン

Active Directory の基本単位を「ドメイン」といいます。ドメイン内のリソースに、認証が通ったユーザーがアクセスできます。主なリソースとして、ユーザーアカウント、Windows クライアント、サーバー、プリンターなどがあります。

OU(組織単位)

各リソースにはグループポリシーを使って、アクセス制御や機能制御等を適用することができますが、「OU(Organizational Unit)」と呼ばれる単位で管理することが可能です。

ドメインツリー

ドメインを複数に分け管理することが出来ます。親ドメイン(例:example.com)の下に子ドメイン(例:a.example.com)を作成しますが、子ドメインは親ドメイン名の一部(example.com)を継承し、「信頼関係」が結ばれます。信頼関係が結ばれると、リソースを共有することができます。これをドメインツリーといいます。

例)Windows Server 2019 での子ドメイン作成
f:id:FriendsNow:20200614220039p:plain

フォレスト

Active Directory の管理単位で最大となるもので、ドメインツリーのまとまりです。
同一フォレスト内のドメインは互いに信頼関係が結ばれ、フォレストに参加する全てのドメインのリースへアクセスできます。
なお、フォレストは 1 つ以上のドメインツリーで構成されるため、1 つのドメインでもフォレストとなります。
また、すべてのドメインを 1 つのフォレストにする構成を「シングル・フォレスト」とよび、複数のフォレストに分ける構成を「マルチ・フォレスト」とよびます。

信頼関係

信頼関係には、「方向」と「推移性」という考え方があります。
「方向」には双方向と片方向があり、双方向の信頼関係があると、ドメイン間、またはフォレスト間でお互いにアクセス可能です。
「推移性」には、推移性と非推移性があり、例えば以下のように親ドメイン(example.com)が、子ドメイン(a.example.com と b.example.com)間で、双方向の信頼関係があり、推移性である場合、子ドメイン間で双方向の信頼関係が間接的に構成されます。
フォレスト内では、双方向の推移性を持つ信頼関係が自動的にドメイン間で作成されます。フォレスト間(example.com と example2.com)の信頼関係は既定では作成されませんが、手動で結ぶことが可能です。

f:id:FriendsNow:20200614221520p:plain:w500

例)親ドメインと子ドメインの信頼関係
f:id:FriendsNow:20200614220112p:plain

例)フォレスト間の信頼関係構築
f:id:FriendsNow:20200614220146p:plain

以上