派遣で働くエンジニアのスキルアップを応援するサイト

PRODUCED BY RECRUIT

【イベントレポート】今さら聞けない! Windows Server 2016 Active Directory ドメインサービス入門

株式会社リクルートスタッフィングが運営するITSTAFFINGでは、弊社に派遣登録いただいている皆さまのスキル向上を支援するイベントを、定期的に開催しています。

5月15日に開催した「今さら聞けない!Windows Server 2016 Active Directoryドメインサービス入門」では、グローバルナレッジネットワーク株式会社の横山哲也さんをお迎えし、Active Directoryについてお話しいただきました。そのイベントの様子をご紹介します。

■今回のイベントの見どころは

・Active Directoryドメインサービスとはどんなものか
・これだけ知っていれば初めてでも使えるActive Directoryドメインサービスの基礎知識
・Active Directoryドメインサービスの構築方法

マイクロソフトMVPとしてさまざまなセミナーで講師をされている横山さん。「今さら聞けない」のタイトルどおり、基本的なことから解説されているので、Active Directoryを使ったことがない人でも大丈夫です。イベントでは、実際の設定など、デモ画面を交えながら紹介いただきました。ぜひ最後までご覧ください。


【講 師】グローバルナレッジネットワーク株式会社 横山哲也さん

▲【講 師】グローバルナレッジネットワーク株式会社 横山哲也さん
1994年より、ITプロ向けのWindows Server関連教育に携わる。2003年からマイクロソフトMVP。著書に『ひと目で分かるAzure基本から学ぶサーバー&ネットワーク構築』『プロが教えるWindows Server 2012システム管理』(監修・共著)『グループポリシー逆引きリファレンス厳選92』(監修・共著)がある。

Active Directoryドメインサービスとは?

Active Directoryというのは、平たく言えば情報の一元管理サービスです。

「Active Directoryドメインサービスが登場したのは、Windows 2000が使われていたころです。最初の設計がよかったこともあり、現在まで大きな変更もなく使われています」(横山さん)

マイクロソフト社によると、現在、Windowsサーバの7割がActive Directoryドメインサービス下で動いているとのことです。

イメージ

Active Directoryドメインサービス、いわゆるActive Directoryは、大きく分けて3つの要素から成り立っています。

1.ディレクトリサービス:検索や登録を行います。
2.ユーザーとパスワードの認証:情報が正しいか判定し、認証までを行います。
3.グループポリシー:コントロールパネルの使用を制限したり、Windowsアップデートを強制的に行ったりします。

グループポリシーは、厳密にはActive Directoryの一部ではありませんが、他の機能とセットで使うことが多いため、これらをまとめて、Active Directoryと呼んでいます。

イメージ

登録したデータはActive Directoryデータベースに保存されています。このデータベースはファイルとしてはひとつになっており、インデックスシーケンシャルファイルになっています。

例えばユーザーを追加した場合、氏名、部署、パスワードなどユーザーに関する様々な情報を属性として登録しますが、データベースに格納されるこれらの情報はオブジェクトと呼びます。複数のユーザーをまとめるためのグループを登録することも可能です。

イメージ

またActive Directoryドメインサービスには、ユーザーだけでなく、コンピューターや共有フォルダ、共有プリンターなども登録できます。ただし、これは名前が登録できるということであって、実際にそこにフォルダを作成したりすることができるわけではありません。

「登録するとフォルダやプリンターの検索ができるようになります。あまりやらないかもしれませんが、例えば両面印刷が可能なプリンターはどれか、カラー印刷が可能なものはどれか、といった条件で探したりできるようになります」(横山さん)

イメージ

このほか、便利でよく使われる機能として、管理権限の委任が紹介されました。

「問い合わせの中で一番多いのが、パスワードが分からなくなった、というものではないでしょうか。全社からの対応をIT管理部門で受けていたら大変なので、各部門に担当者を置いて管理を任せるという運用をしているところもあると思います。そうした場合、パスワードリセットの権利など一定の管理機能を部門の管理者やリーダーに委任することで、管理部門の運用負担を減らすことができます。本人であるかの認証は、部門の管理者なら申請者の顔を見れば分かりますから、現実的ですよね」(横山さん)

こうした管理もActive Directoryドメインサービスで行えます。

イメージ

Active Directoryドメインサービスの基本構造

Active Directoryドメインサービスの基本構造について、論理構造と物理構造の両面からご説明いただきました。

●論理構造
Active Directoryドメインは階層構造を持ちますが、上の階層から下の階層に引き継ぐ情報はないので、階層にはあまり意味はありません。複数のドメイン階層を管理するときは全体で共有するデータがありますが、上から下へ、ではないので、ここに注意が必要です。 ただし特別な事情がない限り、複数のドメインを作らないほうが、管理が楽になる場合もあります。

ドメイン名については、独自のトップレベルドメインを作るのは推奨しないということです。

「インターネットドメインに関連するサブドメインをつけることをお勧めします。こうしておけば、世界中のどのドメイン名ともバッティングしません」(横山さん)

ドメインの内部には、階層構造が作成できます。組織単位は自由に作成できますが、ここで気をつけたいのは、組織図をそのままドメインの階層構造にしない、ということです。分ける必要があるのは、ITの観点から見て、ユーザーのポリシーを分けたい場合などに限られると、横山さんは説明します。

「組織は案外変更が多いものです。組織が廃止されたり統合されたり、また新しくできた場合に、組織変更に合わせて組織単位を造り直すのは非常に煩雑です。ITとして意味がないのであれば分ける必要はありません」(横山さん)

●物理構造
物理構造において、最近注目されているのがサイトです。サイトは、通信環境が安定しているところ、距離的に近いところをひとつのサイトにします。サイトを設定しなくても運用は可能ですが、サイトを設定しているとネットワークの利用率がよくなります。

「今はネットワークの通信速度が早くなり、またネットワークを利用するコストも下がってきたことから、サイトを分けない設計も増えました。しかしクラウドにサーバを置いた場合は遅延があるため、サイトを分けたほうがよいということで、改めて注目されています」(横山さん)

イメージ

Active Directoryドメインサービスの構築

Active Directoryドメインサービスの構築は、GUIによるウィザードでも、コマンドベース(CUI)でも、どちらでも可能です。あらかじめコマンドを作っておけば、無人でのインストールもできます。

「ITベンダーなどでは、社内でスクリプトを作成しておき、客先でそれを使って一括で設定を行うといった方法もとられています」(横山さん)

イメージ

互換性を保つための機能レベル

機能レベルはドメインの作成時に指定します。作成後に上げることはできますが、原則として下げることはできません。

最近のActive Directoryは、バージョンが上がるたびに機能レベルが上がっています。「実用的な面から見ると、Windows Server 2012くらいからあまり機能は変わっていないので、その少し前のWindows Server 2008 R2くらいでも大きな問題はでないと思います」(横山さん)

グローバルカタログの設定と役割

ドメインコントローラーの設定として必要なのが、グローバルカタログです。
グローバルカタログは、複数のドメインがあるときに役立ちます。
例えば日本とアメリカとヨーロッパというように複数の拠点が離れた場所に存在し、かつ各拠点のユーザーが多く、拠点間のネットワークが遅い場合には、ドメインを分けて運用していることがあります」(横山さん)

ドメインが分かれているときにお互いのドメインの情報を参照するには、相手のドメインコントローラーへの問い合わせが必要になります。しかし相手が遠隔地の場合、問い合わせ結果が返ってくるのに時間がかかります。

こうした場合、すべてのドメインでよく使う情報だけを集め、グローバルカタログとして利用します。ドメインがひとつしかないときは、すべてのドメインコントローラーをグローバルカタログにします。

イメージ

データベースについて

Active Directoryドメインサービスのデータベースは、\Windows\NTDSにあります。
「このディレクトリをCドライブに入れている人は多いですが、Active Directoryデータベースのあるディスクはドライブ全体でキャッシュが無効化されるので、専用のディスクに配置することをお勧めします」(横山さん)

障害から回復するには、ログファイルを使用します。データベースとログを移動するときなど、あとから変更するときは、NTDSUTILツールを利用します。

イメージ

Active Directoryの基礎を理解して実務に活かす

だいたいここまでの内容を知っていれば、Active Directoryが初めての人でも、実務で充分使える。と横山さんはおっしゃいます。

これから実務でActive Directoryを扱う場面が出てきても、このセミナーで学んだ基本的なActive Directoryの知識があれば安心して対応できるのではないかと感じたセミナーでした。

ITSTAFFINGでは定期的に、エンジニアの方のソフトスキル・ハードスキルを高めるイベントをご案内しています。イベント情報はエンジニアスタイル上で確認いただくことができます。

また、開催したイベントのイベントレポートは、順次、エンジニアスタイル、およびメールマガジンで公開されます。こちらもぜひご確認ください。