AD設計の基礎から読み解くIaaS On AD

AD設計の基礎から読み解くIaaS AD

今日のお話は・・・

レプリケーション

2

ドメインコントローラー

オンプレミス


Azure AD

Office 365

Google Apps

Salesforce

Windows Intune

VPN

Microsoft Azure

Windows Server AD Azure AD

AD設計の基礎

ドメインとは ?

ドメインに登録するアカウント・ユーザーアカウント・グループアカウント・コンピュータアカウント

ユーザーアカウント

グループアカウント

コンピュータアカウント

ドメインは、アカウントを登録して、管理する単位ドメイン

1 つのドメインに、何万個ものアカウントを登録可能

Active Directory データベース

フォレストとは ?

ドメイン

フォレスト

1つ以上のドメインで構成

1番大きな管理範囲

フォレスト内は推移的信頼関係によりシングルサインインが可能

1番大きな認証範囲

AD設計指針

シングルフォレスト

シングルドメイン

シングルフォレストの特徴

全体を別ドメインのリソースを利用者が検索・利用可能

ADの制御情報（スキーマ、構成）の共有フォレスト管理可能な管理者が存在する

要件似合わない場合マルチフォレスト

マルチドメインの選択基準

大規模環境でADデータベースサイズや複製トラフィックを最適化したい

分散管理

法的規制

専用のFRDを使用すると、Enterprise Admins,SchemaAdminsなどのフォレストレベルのサービス管理者グループを、ユーザーアカウントから論理的に分離できる

ドメインサービスの管理者とフォレストレベルのサービス管理者の役割を分離できる

FRDは通常、構造の変更やドメイン名の変更などに結びつく組織の変更の影響を受けない

FSMOの戦略的な配置 FRDには、エンドユーザー、グループ、コンピューターオブジェクトは含まれない

FRD

マルチドメインのトポロジー

フォレスト

FRD

サブドメインサブドメイン

全体を管理Enterprise Adminsグループ

ユーザーは登録しない

FRD(Forest Root Domain)

各ドメインの分散管理Domain Adminsグループ

サブドメイン

FRD配下のサブドメインは、並列に配置する（階層を増やさない）推移的認証のルートがすべてFRD経由となり1ドメインとなる

FRDのDNS設計

サブドメインのスタブソーンを作成する

FRD配下のサブドメインは、委任ではなく、スタブゾーンを作成するスタブゾーンにすることにより、メンテナンスフリーとなる

スタブソーンの動作

west.contoso.com

contoso.com

north.contoso.com

sales.north.contoso.com

west.contoso.comのプライマリゾーン

sales.north.contoso.comのスタブゾーン

SOA sales.north.contoso.comNS dns.sales.north.contoso.comdns A 192.168.1.100

sales.north.contoso.comのプライマリゾーン

SOA sales.north.contoso.comNS dns.sales.north.contoso.comdns A 192.168.1.100file A 192.168.1.150www A 192.168.1.160

ターゲットサーバー

クエリ

スタブソーンの動作

相手のDNSサーバーを識別するために必要なレコードのみ(SOA、NS、DNSサーバーのAレコード)をゾーン転送によりコピーする

ルートサーバーを経由せずに、相手先のDNSサーバーにクエリを送信できる

ADの機能レベルについて

機能レベルとは実現できる機能のレベル分け定義のことで、設定する機能レベルによって、ドメイン内やフォレスト内で使用できる機能が異なる

機能レベルは自動的に上がらない

基本的に1度あげたら下げない

[補足] ドメインの機能レベル

フォレストの機能レベル有効な機能

Windows Server 2003 既定のActive Directoryの機能に加えて、以下の機能が有効・Netdom コマンドのサポート・特定のサービスへのアクセスのみを許可することができる制約付き委任の構成・承認マネージャーによる AD DS への承認ポリシーの保存

Windows Server 2008 「Windows Server 2003」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・SYSVOLに対するDFS-R レプリケーション・Kerberos認証における AES 128 および AES 256・細かい設定が可能なパスワードポリシー

Windows Server 2008 R2 「Windows Server 2008」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・Kerberos 認証におけるメカニズム認証

Windows Server 2012 「Windows Server 2008 R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・ダイナミックアクセス制御とKerberos防御の制御

Windows Server 2012 R2 「Windows Server 2008 R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・Protected Usersグループ、および認証ポリシーとサイロによる認証セキュリティ

[補足] フォレストの機能レベル

フォレストの機能レベル有効な機能

Windows Server 2003 既定のActive Directoryの機能に加えて、以下の機能が有効・フォレストの信頼・ドメイン名の変更・Windows Server 2008 以降の読み取り専用ドメインコントローラー（RODC）の展開など（他にもあり）

Windows Server 2008 追加機能はなし

Windows Server 2008 R2 フォレストの機能レベル「Windows Server 2008」の機能に加えて、以下の機能が有効・Active Directoryのごみ箱

Windows Server 2012 追加機能はなし

Windows Server 2012 R2 追加機能はなし

ドメイン機能レベル

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012


Set-ADDomainMode –DomainMode <機能レベル> -Identity <ドメイン名>

Windows Server 2008 機能レベルをスタート地点として行き来できるフォレスト機能レベルと同等のレベルまで下げることが可能

フォレスト機能レベル

Windows Server 2008


Windows Server 2012


Set-ADForestMode –ForestMode <機能レベル> -Identity <ドメイン名>

Windows Server 2008 機能レベルをスタート地点として行き来できる ADゴミ箱が有効な場合Windows Server 2008 R2まで下げることが可能

ドメイン

FSMO（操作マスター）とは

FSMO：Flexible Single Master Operationフォレストルートドメイン（1台目のDC）マルチマスターレプリケーションの競合の課題を解決

ADにおける重要機能（シングルマスターレプリケーション）

フォレスト

スキーママスター

ドメイン名前付けマスター

PDCエミュレーター

RIDマスターインフラストラクチャマスター

FSMO（操作マスター）の用途

スキーママスター

インフラストラクチャマスター

フォレスト

ドメイン名前付けマスター

PDCエミュレーター

RIDマスター

ドメイン

スキーマに対するすべての更新と変更

フォレスト内でのドメインの追加または削除、ドメインツリーの変更

ドメイン内の別のドメインコントローラーで変更されたパスワードの優先複製時刻同期グループポリシーのマスターコンピューター

RID プールを、ドメインコントローラーに割り当てる

グループメンバーのアカウント名の更新(外部参照オブジェクト）マルチドメイン構成においては、インフラストラクチャーマスターとGCを 1 台で構成してはいけない


• AD DSの役割を実行するサーバー• Active Directoryデータベース（ntds.dit）およびsysvolをホストする

• ドメインコントローラー間でレプリケートする

• Kerberosキー配布センター（KDC）認証• ユーザーやコンピューターなどの認証を行う

• ベストプラクティス• 冗長性確保のため2台以上のDCが推奨される

• ブランチサイトではセキュリティ確保のためRODCを提供

Active Directory データストア

• AD DS のデーターベース• %systemroot%¥ntds¥ntds.dit

• 論理パーティション• スキーマ

• 属性やクラス• 構成

• ドメイン、サービス、トポロジ• ドメイン

• ユーザー、グループ、コンピューター• アプリケーション

• DNS（AD統合モード）

• Sysvol• %systemroot%¥sysvol• ログオンスクリプト• ポリシー

アプリケーション

ドメイン

構成

スキーマ

AD DS データーベース

フォレスト全体で共通

ドメインごと

アプリケーションごと

レプリケーション

• レプリケーションとはDC間の情報交換のこと

• マルチマスタレプリケーション• すべての DC がマスタとなり、お互いにユーザー情報などをレプリケート

• Sysvolの内容がレプリケートされる• FRS または DFSR

• フォレスト内の異なるドメインの DC間でも制御情報をレプリケーション

SYSVOL

• %systemroot%¥sysvol

•以下のファイルを格納• スクリプトファイル（ログオン、ログオフ、スタート、シャットダウン）

• グループポリシーのファイル• グループポリシーテンプレート（GPT）

• FRS（File Replication Service）またはDFSR（DFS Replication）を使用して、同一ドメイン内のドメインコントローラー間で複製し合う• FRS は、従来のバージョンから使用しているサービス

• DFSR は、Windows Server 2008 ドメイン機能レベルで使用可能なサービス

サイト

Tokyo

Osaka Nagoya

サイトは、Active Directory における論理的なネットワーク境界物理ネットワークに合わせて構成する（通常は同一 LAN で構成）サイトを構成すると、ログオントラフィックとレプリケーショントラフィックを最適化できる

Default-First-Site-Name

AD DSサイトのモデル

単一サイトモデル

すべてのコンピューターが1つの物理的な場所に存在する

複数の物理的な場所が高速リンクで接続されている

ドメインコントローラーが1つだけ存在する

複数サイトモデル

物理的な場所が複数存在する場所間のリンクが低速で信頼性が低い物理的な場所ごとに1つ以上のドメインコントローラーが存在する

サイト設計モデルの選択がレプリケーションの動作に大きく影響する

サイト内レプリケーション

接続オブジェクト

変更発生

変更通知

15秒後

次は3秒後

変更通知15秒後

変更通知

ほぼリアルタイムで、複製パートナーに通知する3ホップ以内で伝達されるように、各DCのKCCにより接続オブジェクトが作成される（15分間隔でチェック）

レプリケーションデータは、圧縮されない

サイトを構成する目的

レプリケーショントラフィックの制御

ログオントラフィックの封じ込め

アプリケーション（DFS、Exchangeなど）

サイト間レプリケーション

サイトリンク

ブリッジヘッドサーバー



レプリケーションデータは、圧縮されるログオントラフィックが最適化されるレプリケーショントラフィックが最適化される（スケジューリング、間隔）ブリッジヘッドサーバーがサイト間のレプリケーションを行うサイト間トポロジジェネレータ（ISTG）が、ブリッジヘッドサーバーを指定する

レプリケーショントポロジのベストプラクティス

物理ネットワークに適したトポロジ作成

コスト値は物理ネットワークを参考に

サイト間のコスト値が適切に割り当てられることで、最適なサイト間レプリケーショントポロジが算出される

サイトの構成手順

Default-First-Site-Name

ネットワークの構成などに合わせて、サイトを構成する既定の状態

サイトを作成するサブネットを作成し、各サイトに関連付けるサイトリンクを作成し、結ぶサイトを選択するサイトリンクを構成する

コスト値スケジューリング間隔

ドメインコントローラを適切なサイトに移動する

Active Directory ログオンプロセス

DNSサーバ

ドメインコントローラ ① ドメインコントローラは？（SRVリソースレコード）

④ ログオン（認証）要求

②応答

GC

③ ユニバーサルグループの問い合わせ

Active Directoryでは、DNSが必須DCの情報をクライアントに提示する

各サイトにグローバルカタログサーバーを配置しない場合

DC+GCDC

アクセストークンを作成

ログオン

UGのメンバーシップの

確認

本社サイト支社サイト

DC

ユニバーサルグループのメンバーシップ確認のために、毎回グローバルカタログサーバーに問い合わせを行う

グローバルカタログの役割

フォレスト全体でのオブジェクトの検索を提供する

ユニバーサルグループのメンバーシップを提供する

UPNログオン名を管理する

シングルフォレスト・シングルドメイン構成の際は、全てのDCにGCの設定を行うことにより検索のパフォーマンスが上がる

サイト設計まとめ

サイトごとにDC,DNS,GCを配置

ユニバーサルグループメンバーシップキャッシュは使用しない

ブリッジヘッドサーバー、サイトリンクブリッジは自動にお任せ

サイトを作成する目的を明確にする

RODCのシナリオ

DC+GC

ログオン


DC

支社サイトのユーザーは、本社サイトのDCにログオンするためログオン認証が遅い支社にDCを置き、支社内で認証を完結させたい

支社にDCを配置する際の課題

DC+GC

ログオン


DC

支社にはサーバールーム（物理セキュリティ）が確保できない盗難にあった場合、パスワードクラックなどが行われる可能性がある

支社にはサーバー管理者がいない（Domain Admins）支社サイトで変更した操作は組織全体に影響する

DC

RODCの特徴

DC+GC

ログオン


DC

読み取り専用ドメインコントローラー一方向のレプリケーション

RODC専用管理者（Domain Adminsの必要なし）設定したユーザー・コンピューターのみパスワードをキャッシュする

RODC

IaaS on AD

ガイドラインから検討する

http://msdn.microsoft.com/en-us/library/azure/jj156090.aspx

IaaS on AD のシナリオ

企業フォレスト（オンプレミス環境）とは分離したフォレスト

オンプレミス環境との結合

オンプレミス環境のバックアップ

障害対策サイト

他のIaaSアプリケーションの認証

海外拠点のドメイン

前提条件は？

オンプレミス環境Microsoft Azure

VPN

AD DS 1号機AD DS 2号機

VPN接続

サイト設計（それぞれのサイト、サイトリンクによる制御）

こんなシナリオもできます！


VPN

AD DSAD DS 兼 AD FS × 2可用性セット

ディレクトリ同期

WAP WEB

Internet

IaaS で AD（DC）を配置する際の考慮点


VPN

AD DS 1号機FileAD DS 2号機

Azureとの接続がなくなるとDCにアクセス不可

このトポロジーなら大丈夫・・・だけどAzure必要か？


VPN

AD DS

オンプレミス環境

VPN

AD DS

海外拠点のドメインシナリオパターン1

オンプレミス環境（JP）Microsoft Azure（JP）

VPN

DC

オンプレミス環境（US）

VPN

Microsoft Azure（US）

VPN

DC

海外拠点のドメインシナリオパターン2

オンプレミス環境（JP）Microsoft Azure（US）

VPN

AD DS


VPNDC

海外拠点のドメインシナリオ3（普通に考えると）


VPN

DC


VPN

RODC

DC

送信トラフィックの制御


VPN

DCDC

Microsoft Azure は、出力方向にのみ課金する（データ転送料）

Microsoft Azure が受信するトラフィックは、課金されない

出力方向（有料）

入力方向（無料）

その手法は

サイトおよびサイトリンクのコスト調整（GCも含む）

RODCによる一方向のレプリケーション


VPN

AD DS入力方向（無料）

RODC

RODCは万能ではない（カスタマイズ必須）

デフォルトの状態ではローカルにパスワードを保存しない

管理者のパスワードは保存しない


VPN

AD DS入力方向（無料）

RODC

IaaS on AD の得意なシナリオは



オンプレミス環境のバックアップDC

障害対策サイト（DC含む）



独断と偏見で点数をつけると



オンプレミス環境のバックアップDC

障害対策サイト（DC含む）



100点

80点

80点

100点

20点

私ならどうするか？

DCに対する特別な送信トラフィックの制御は行わない

通常のDCの動作内のトラフィック量が発生することを認識する

Azure に DC を配置するならコストがかかります。

Technology

AD設計の基礎から読み解くIaaS On AD