Upload
naoki-abe
View
1.544
Download
8
Embed Size (px)
DESCRIPTION
ADの基礎とIaaS on ADの資料です。
Citation preview
AD設計の基礎から読み解くIaaS AD
今日のお話は・・・
レプリケーション
2
ドメイン コントローラー
オンプレミス
ドメイン コントローラー
Azure AD
Office 365
Google Apps
Salesforce
Windows Intune
VPN
Microsoft Azure
Windows Server AD Azure AD
AD設計の基礎
ドメインとは ?
ドメインに登録するアカウント・ ユーザー アカウント・ グループ アカウント・ コンピュータ アカウント
ユーザー アカウント
グループ アカウント
コンピュータアカウント
ドメインは、アカウントを登録して、管理する単位 ドメイン
1 つのドメインに、何万個ものアカウントを登録可能
Active Directory データベース
フォレストとは ?
ドメイン
フォレスト
1つ以上のドメインで構成
1番大きな管理範囲
フォレスト内は推移的信頼関係によりシングルサインインが可能
1番大きな認証範囲
AD設計指針
シングルフォレスト
シングルドメイン
シングルフォレストの特徴
全体を別ドメインのリソースを利用者が検索・利用可能
ADの制御情報(スキーマ、構成)の共有 フォレスト管理可能な管理者が存在する
要件似合わない場合 マルチフォレスト
マルチドメインの選択基準
大規模環境でADデータベースサイズや複製トラフィックを最適化したい
分散管理
法的規制
専用のFRDを使用すると、Enterprise Admins,SchemaAdminsなどのフォレストレベルのサービス管理者グループを、ユーザーアカウントから論理的に分離できる
ドメインサービスの管理者とフォレストレベルのサービス管理者の役割を分離できる
FRDは通常、構造の変更やドメイン名の変更などに結びつく組織の変更の影響を受けない
FSMOの戦略的な配置 FRDには、エンドユーザー、グループ、コンピューターオブジェクトは含まれない
FRD
マルチドメインのトポロジー
フォレスト
FRD
サブドメイン サブドメイン
全体を管理Enterprise Adminsグループ
ユーザーは登録しない
FRD(Forest Root Domain)
各ドメインの分散管理Domain Adminsグループ
サブドメイン
FRD配下のサブドメインは、並列に配置する(階層を増やさない) 推移的認証のルートがすべてFRD経由となり1ドメインとなる
FRDのDNS設計
サブドメインのスタブソーンを作成する
FRD配下のサブドメインは、委任ではなく、スタブゾーンを作成するスタブゾーンにすることにより、メンテナンスフリーとなる
スタブソーンの動作
west.contoso.com
contoso.com
north.contoso.com
sales.north.contoso.com
west.contoso.comのプライマリゾーン
sales.north.contoso.comのスタブゾーン
SOA sales.north.contoso.comNS dns.sales.north.contoso.comdns A 192.168.1.100
sales.north.contoso.comのプライマリゾーン
SOA sales.north.contoso.comNS dns.sales.north.contoso.comdns A 192.168.1.100file A 192.168.1.150www A 192.168.1.160
ターゲットサーバー
クエリ
スタブソーンの動作
相手のDNSサーバーを識別するために必要なレコードのみ(SOA、NS、DNSサーバーのAレコード)をゾーン転送によりコピーする
ルートサーバーを経由せずに、相手先のDNSサーバーにクエリを送信できる
ADの機能レベルについて
機能レベルとは実現できる機能のレベル分け定義のことで、設定する機能レベルによって、ドメイン内やフォレスト内で使用できる機能が異なる
機能レベルは自動的に上がらない
基本的に1度あげたら下げない
[補足] ドメインの機能レベル
フォレストの機能レベル 有効な機能
Windows Server 2003 既定のActive Directoryの機能に加えて、以下の機能が有効・Netdom コマンドのサポート・特定のサービスへのアクセスのみを許可することができる制約付き委任の構成・承認マネージャーによる AD DS への承認ポリシーの保存
Windows Server 2008 「Windows Server 2003」 ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・SYSVOLに対するDFS-R レプリケーション・Kerberos認証における AES 128 および AES 256・細かい設定が可能なパスワードポリシー
Windows Server 2008 R2 「Windows Server 2008」 ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・Kerberos 認証におけるメカニズム認証
Windows Server 2012 「Windows Server 2008 R2」 ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・ダイナミックアクセス制御とKerberos防御の制御
Windows Server 2012 R2 「Windows Server 2008 R2」 ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・Protected Usersグループ、および認証ポリシーとサイロによる認証セキュリティ
[補足] フォレストの機能レベル
フォレストの機能レベル 有効な機能
Windows Server 2003 既定のActive Directoryの機能に加えて、以下の機能が有効・フォレストの信頼・ドメイン名の変更・Windows Server 2008 以降の読み取り専用ドメインコントローラー(RODC)の展開など(他にもあり)
Windows Server 2008 追加機能はなし
Windows Server 2008 R2 フォレストの機能レベル「Windows Server 2008」の機能に加えて、以下の機能が有効・Active Directoryのごみ箱
Windows Server 2012 追加機能はなし
Windows Server 2012 R2 追加機能はなし
ドメイン機能レベル
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Set-ADDomainMode –DomainMode <機能レベル> -Identity <ドメイン名>
Windows Server 2008 機能レベルをスタート地点として行き来できる フォレスト機能レベルと同等のレベルまで下げることが可能
フォレスト機能レベル
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Set-ADForestMode –ForestMode <機能レベル> -Identity <ドメイン名>
Windows Server 2008 機能レベルをスタート地点として行き来できる ADゴミ箱が有効な場合Windows Server 2008 R2まで下げることが可能
ドメイン
FSMO(操作マスター)とは
FSMO:Flexible Single Master Operationフォレストルートドメイン(1台目のDC)マルチマスターレプリケーションの競合の課題を解決
ADにおける重要機能(シングルマスターレプリケーション)
フォレスト
スキーママスター
ドメイン名前付けマスター
PDCエミュレーター
RIDマスターインフラストラクチャマスター
FSMO(操作マスター)の用途
スキーママスター
インフラストラクチャマスター
フォレスト
ドメイン名前付けマスター
PDCエミュレーター
RIDマスター
ドメイン
スキーマに対するすべての更新と変更
フォレスト内でのドメインの追加または削除、ドメイン ツリーの変更
ドメイン内の別のドメイン コントローラーで変更されたパスワードの優先複製 時刻同期 グループ ポリシーのマスター コンピューター
RID プールを、ドメイン コントローラーに割り当てる
グループメンバーのアカウント名の更新(外部参照オブジェクト) マルチ ドメイン構成においては、インフラストラクチャーマスターとGCを 1 台で構成してはいけない
ドメインコントローラー
• AD DSの役割を実行するサーバー• Active Directoryデータベース(ntds.dit)およびsysvolをホストする
• ドメインコントローラー間でレプリケートする
• Kerberosキー配布センター(KDC)認証• ユーザーやコンピューターなどの認証を行う
• ベストプラクティス• 冗長性確保のため2台以上のDCが推奨される
• ブランチサイトではセキュリティ確保のためRODCを提供
Active Directory データストア
• AD DS のデーターベース• %systemroot%¥ntds¥ntds.dit
• 論理パーティション• スキーマ
• 属性やクラス• 構成
• ドメイン、サービス、トポロジ• ドメイン
• ユーザー、グループ、コンピューター• アプリケーション
• DNS(AD統合モード)
• Sysvol• %systemroot%¥sysvol• ログオンスクリプト• ポリシー
アプリケーション
ドメイン
構成
スキーマ
AD DS データーベース
フォレスト全体で共通
ドメインごと
アプリケーションごと
レプリケーション
• レプリケーションとはDC間の情報交換のこと
• マルチ マスタ レプリケーション• すべての DC がマスタとなり、お互いにユーザー情報などをレプリケート
• Sysvolの内容がレプリケートされる• FRS または DFSR
• フォレスト内の異なるドメインの DC間でも制御情報をレプリケーション
SYSVOL
• %systemroot%¥sysvol
•以下のファイルを格納• スクリプト ファイル(ログオン、ログオフ、スタート、シャットダウン)
• グループ ポリシーのファイル• グループ ポリシー テンプレート(GPT)
• FRS(File Replication Service)またはDFSR(DFS Replication)を使用して、同一ドメイン内のドメインコントローラー間で複製し合う• FRS は、従来のバージョンから使用しているサービス
• DFSR は、Windows Server 2008 ドメイン機能レベルで使用可能なサービス
サイト
Tokyo
Osaka Nagoya
サイトは、Active Directory における論理的なネットワーク境界物理ネットワークに合わせて構成する(通常は 同一 LAN で構成)サイトを構成すると、ログオン トラフィックとレプリケーション トラフィックを最適化できる
Default-First-Site-Name
AD DSサイトのモデル
単一サイトモデル
すべてのコンピューターが1つの物理的な場所に存在する
複数の物理的な場所が高速リンクで接続されている
ドメインコントローラーが1つだけ存在する
複数サイトモデル
物理的な場所が複数存在する 場所間のリンクが低速で信頼性が低い 物理的な場所ごとに1つ以上のドメインコントローラーが存在する
サイト設計モデルの選択がレプリケーションの動作に大きく影響する
サイト内レプリケーション
接続オブジェクト
変更発生
変更通知
15秒後
次は3秒後
変更通知15秒後
変更通知
ほぼリアルタイムで、複製パートナーに通知する3ホップ以内で伝達されるように、各DCのKCCにより接続オブジェクトが作成される(15分間隔でチェック)
レプリケーション データは、圧縮されない
サイトを構成する目的
レプリケーショントラフィックの制御
ログオントラフィックの封じ込め
アプリケーション(DFS、Exchangeなど)
サイト間レプリケーション
サイトリンク
ブリッジヘッドサーバー
ブリッジヘッドサーバー
ブリッジヘッドサーバー
レプリケーション データは、圧縮されるログオントラフィックが最適化されるレプリケーション トラフィックが最適化される(スケジューリング、間隔)ブリッジヘッドサーバーがサイト間のレプリケーションを行うサイト間トポロジジェネレータ(ISTG)が、ブリッジヘッドサーバーを指定する
レプリケーショントポロジのベストプラクティス
物理ネットワークに適したトポロジ作成
コスト値は物理ネットワークを参考に
サイト間のコスト値が適切に割り当てられることで、最適なサイト間レプリケーショントポロジが算出される
サイトの構成手順
Default-First-Site-Name
ネットワークの構成などに合わせて、サイトを構成する既定の状態
サイトを作成するサブネットを作成し、各サイトに関連付けるサイトリンクを作成し、結ぶサイトを選択するサイトリンクを構成する
コスト値スケジューリング間隔
ドメインコントローラを適切なサイトに移動する
Active Directory ログオンプロセス
DNSサーバ
ドメインコントローラ ① ドメインコントローラは?(SRVリソースレコード)
④ ログオン(認証)要求
②応答
GC
③ ユニバーサルグループの問い合わせ
Active Directoryでは、DNSが必須DCの情報をクライアントに提示する
各サイトにグローバルカタログサーバーを配置しない場合
DC+GCDC
アクセストークンを作成
ログオン
UGのメンバーシップの
確認
本社サイト支社サイト
DC
ユニバーサルグループのメンバーシップ確認のために、毎回グローバルカタログサーバーに問い合わせを行う
グローバルカタログの役割
フォレスト全体でのオブジェクトの検索を提供する
ユニバーサルグループのメンバーシップを提供する
UPNログオン名を管理する
シングルフォレスト・シングルドメイン構成の際は、全てのDCにGCの設定を行うことにより検索のパフォーマンスが上がる
サイト設計まとめ
サイトごとにDC,DNS,GCを配置
ユニバーサルグループメンバーシップキャッシュは使用しない
ブリッジヘッドサーバー、サイトリンクブリッジは自動にお任せ
サイトを作成する目的を明確にする
RODCのシナリオ
DC+GC
ログオン
本社サイト 支社サイト
DC
支社サイトのユーザーは、本社サイトのDCにログオンするためログオン認証が遅い支社にDCを置き、支社内で認証を完結させたい
支社にDCを配置する際の課題
DC+GC
ログオン
本社サイト 支社サイト
DC
支社にはサーバールーム(物理セキュリティ)が確保できない盗難にあった場合、パスワードクラックなどが行われる可能性がある
支社にはサーバー管理者がいない(Domain Admins)支社サイトで変更した操作は組織全体に影響する
DC
RODCの特徴
DC+GC
ログオン
本社サイト 支社サイト
DC
読み取り専用ドメインコントローラー一方向のレプリケーション
RODC専用管理者(Domain Adminsの必要なし)設定したユーザー・コンピューターのみパスワードをキャッシュする
RODC
IaaS on AD
ガイドラインから検討する
http://msdn.microsoft.com/en-us/library/azure/jj156090.aspx
IaaS on AD のシナリオ
企業フォレスト(オンプレミス環境)とは分離したフォレスト
オンプレミス環境との結合
オンプレミス環境のバックアップ
障害対策サイト
他のIaaSアプリケーションの認証
海外拠点のドメイン
前提条件は?
オンプレミス環境Microsoft Azure
VPN
AD DS 1号機AD DS 2号機
VPN接続
サイト設計(それぞれのサイト、サイトリンクによる制御)
こんなシナリオもできます!
オンプレミス環境Microsoft Azure
VPN
AD DSAD DS 兼 AD FS × 2可用性セット
ディレクトリ同期
WAP WEB
Internet
IaaS で AD(DC)を配置する際の考慮点
オンプレミス環境Microsoft Azure
VPN
AD DS 1号機FileAD DS 2号機
Azureとの接続がなくなるとDCにアクセス不可
このトポロジーなら大丈夫・・・だけどAzure必要か?
オンプレミス環境Microsoft Azure
VPN
AD DS
オンプレミス環境
VPN
AD DS
海外拠点のドメインシナリオパターン1
オンプレミス環境(JP)Microsoft Azure(JP)
VPN
DC
オンプレミス環境(US)
VPN
Microsoft Azure(US)
VPN
DC
海外拠点のドメインシナリオパターン2
オンプレミス環境(JP)Microsoft Azure(US)
VPN
AD DS
オンプレミス環境(US)
VPNDC
海外拠点のドメインシナリオ3(普通に考えると)
オンプレミス環境(JP)Microsoft Azure(JP)
VPN
DC
オンプレミス環境(US)
VPN
RODC
DC
送信トラフィックの制御
オンプレミス環境(JP)Microsoft Azure(JP)
VPN
DCDC
Microsoft Azure は、出力方向にのみ課金する(データ転送料)
Microsoft Azure が受信するトラフィックは、課金されない
出力方向(有料)
入力方向(無料)
その手法は
サイトおよびサイトリンクのコスト調整(GCも含む)
RODCによる一方向のレプリケーション
オンプレミス環境(JP)Microsoft Azure(JP)
VPN
AD DS入力方向(無料)
RODC
RODCは万能ではない(カスタマイズ必須)
デフォルトの状態ではローカルにパスワードを保存しない
管理者のパスワードは保存しない
オンプレミス環境(JP)Microsoft Azure(JP)
VPN
AD DS入力方向(無料)
RODC
IaaS on AD の得意なシナリオは
企業フォレスト(オンプレミス環境)とは分離したフォレスト
オンプレミス環境との結合
オンプレミス環境のバックアップDC
障害対策サイト(DC含む)
他のIaaSアプリケーションの認証
海外拠点のドメイン
独断と偏見で点数をつけると
企業フォレスト(オンプレミス環境)とは分離したフォレスト
オンプレミス環境との結合
オンプレミス環境のバックアップDC
障害対策サイト(DC含む)
他のIaaSアプリケーションの認証
海外拠点のドメイン
100点
80点
80点
100点
20点
私ならどうするか?
DCに対する特別な送信トラフィックの制御は行わない
通常のDCの動作内のトラフィック量が発生することを認識する
Azure に DC を配置するならコストがかかります。