Active Directory概略
0.更新履歴
- 2001.11.22 新規作成
- 2001.12.09 管理ツール以降を追加.
1.はじめに
このドキュメントでは,Windows2000のActive Directoryについて記述するものである.
2.ActiveDirectoryとは?
- ActiveDirectoryとは,W2Kから採用されたディレクトリサービスである.
- その他のディレクトリサービスには,SunMicrosystemsのNISや,NovellのNDSなどがある.
- ディレクトリサービスとは,ユーザやリソースを管理するための仕組みのこと.
- 各リソースは,オブジェクトとして扱われ,そのオブジェクトには,次のようなものがある.
- ユーザオブジェクト
- グループオブジェクト
- コンピュータオブジェクト
- コンテナオブジェクト
- OU(組織単位)
- ドメイン
- サイト
- 最初の3つは,オブジェクトの中にさらにオブジェクトを作成することはできないため,このようなオブジェクトのことを「リーフオブジェクト」と呼ぶ.
- 残りの4つは,それらリーフオブジェクトをグループ化するために利用される.
- ActiveDirectoryをインストールすると,次のようなオブジェクトが作成され,それらは削除できない.
| オブジェクト | 種類 | 説明 |
|---|---|---|
| Builtin | BuiltinDomain | ACのインストール前に存在していたグループオブジェクトが格納. |
| Computers | コンテナ | ドメインに参加しているコンピュータオブジェクトが格納される. |
| Domain Controllers | OU | ドメイン内のDCが格納される. |
|
ForeignSecurity Principals |
コンテナ | 信頼関係が結ばれているほかのドメインのユーザやグループが格納される. |
| Users | コンテナ | ドメイン内のユーザオブジェクトが格納. |
3.ドメインの形式と信頼関係
- Active Directoryで構成されるドメインには,次のような種類がある.
- シングルドメイン
- もっとも推奨される形式.
- NTの場合は,オブジェクトを登録するサイズが40MBという制約があり,事実上2万〜4万という数であったが,GC(グローバルカタログ)に登録される数は理論上10億以上になる.
- マルチドメイン
- ほとんどはシングルドメインでよいが,次のような場合にマルチドメインに分けることを考慮する.
- セキュリティポリシーが違う.
- 低速回線で接続されているなどで,DCの複製トラフィックを削減したいとき.
- ドメインを独立して管理していきたい場合.
- ほとんどはシングルドメインでよいが,次のような場合にマルチドメインに分けることを考慮する.
- 信頼関係
- NTドメインの場合は,「明示的な信頼関係」を設定する必要があった.
- 「友達の友達は,友達ではないかもしれない」という考え方.
- ADの信頼関係では,フォレスト内に自動的に信頼関係が結ばれ,これを「推移的な信頼関係」と呼ぶ.
- 「友達の友達も友達」という考え方.
- ADドメインとNTドメインが信頼関係を結ぶ場合は,推移的な信頼関係は結ばれず,明示的な信頼関係となる.
- 推移的な信頼関係を結んでいる場合は,「ショートカット信頼関係」を結ぶことによって,間にはさんでいるドメインを介さずにリソースへのアクセスが可能となる.
- フォレストが異なるドメインの場合(たとえば,nt1.co.jpとnt2.co.jpの場合)は,明示的な信頼関係の考え方元に設定することになる.
- 双方向信頼関係を結んでいるNTドメインをADドメインに統合する場合,NTドメインに空のルートドメインを作成すれば,推移的な信頼関係を結ぶことができる.
- NTドメインの場合は,「明示的な信頼関係」を設定する必要があった.
- シングルドメイン
4.フォレストとマルチツリーフォレスト,マルチフォレスト
- フォレストとは,トップドメイン(nt.co.jp)からサブドメイン(tech.nt.co.jp)を含む1つのツリーで構成される塊である.
- 1つのフォレストに参加すると,全ての属性が継承される.
- つまり,nt.co.jpに属性を追加して,その後tech.nt.co.jpというサブドメインを追加すると,nt.co.jpに追加した属性がtech.nt.co.jpでも有効になる.
- マルチツリーフォレストでは,nt.co.jpの属性をnetware.co.jpに複写することができる.
- フォレストに参加する事ができるタイミングは,ADをインストールするタイミングの一回だけである.
- マルチフォレストでは,nt1.co.jpとnt2.co.jpのような異なるドメイン間で明示的な信頼関係を結ぶことを示す. 他のフォレストのGCを参照することはできない.
5.OU(Orgnaization Unit:組織単位)
- OUとは,ADに格納されるオブジェクトの1つ.
- ユーザオブジェクト,コンピュータオブジェクトを組織でグルーピング化する為に使用される.
- OUに対してアクセス権限を設定することができる.
- NTドメインではできなかった,グループの階層管理が可能となる.
- OUの管理を委任したり,グループポリシーを設定することもできる.
6.サイト
- サイトとは,コンピュータネットワークの集合体で,1つ上のドメイン,IPサブネットが含まれる.
- サイトには,1台以上のDCを配置することが推奨されれている.
- サイト内のDCの複製は,5分間隔で行われる.
- 複製データの圧縮はされない.
- サイト間の複製は,設定によって制御できる.
- 50KB以上の複製データは,圧縮が行われる.
- サイト間の複製は,サイトリンクを使用して行われる.
- サイトリンクは,隣り合ったサイト間の複製を行い,最適化される.
- 最適化する要素は次のとおり.
- サイト間のコスト
- 複製スケジュール
- プロトコル(RPC,SMTP)
- 同じドメインのDC間複製ではSMTPは使われない
- 接続するサイト
- 最適化する要素は次のとおり.
- 複数のサイトリンクが作成されると,サイトリンクブリッジが関連付けられる.
- たとえば,AtoBtoC間で複製する場合,BがダウンするとAはCを知らないので複製できないが,サイトリンクブリッジによってAtoCが可能になる.
7.グローバルカタログサーバ(GC)
- グローバルカタログサーバは,フォレスト内のドメインに含まれるすべてのオブジェクトとオブジェクト属性の一部を複製して持っている.
- GCは,フォレスト全体でのオブジェクトの検索を高速に行うことが目的で,実際にどのドメインに実データがあるかにかかわらず,ディレクトリを検索できるようにする.
- ユーザがログオンする時,DCにユニバーサルグループメンバシップ情報を提供し,ネットワークにログオンする. GCが利用できない場合は,ローカルログオンになる.
- ユーザがDomain Adminsグループのメンバーの場合は,GCが利用できない場合でもネットワークにログオンできる.
8.操作マスタ
- ADでは,全てのDC間でデータの複製(マルチマスタレプリケーション)を行える.
- しかし,変更内容によってはマルチマスタレプリケーションを実行できない場合もある.
- そのような場合,操作マスタと呼ばれるDCだけが,このようなデータ変更要求を受信して実行することができる.
| 機能 | 説明 |
|---|---|
| スキーママスタ | スキーマに対する変更を制御する. フォレストのスキーマを更新するには,スキーママスタにアクセスする必要がある. |
| ドメイン名前付けマスタ | フォレスト内でのドメインの追加・削除を制御する. |
| PDCエミュレータ | ドメイン内にW2K以外のクライアントかBDCが含まれる場合,PDCエミュレータがPDCとして稼働する. |
| RIDプールマスタ |
RIDを,そのドメイン内の各DCに割り当てる. ユーザを作成するとSIDがつくが,これをドメイン内で作成れるSIDを一意なものにするのがRIDである. |
| インフラストラクチャ |
グループのメンバの変更や,メンバ名の変更があった場合,グループとユーザ情報の更新を行う. タイミングが悪いと,一時的にそのメンバを含んでいないような表示がなされる場合がある. |
9.管理ツール
- ActiveDirectoryを管理するためには,次のようなコマンドも利用できる.
| コマンド | 機能 |
|---|---|
| ntdsutil.exe |
ディレクトリデータベースの修復,検査,圧縮,移動,ダンプや,サイト,ドメイン,操作マスタの管理,Authoritative
Restoreの実行やドメインの作成が可能. 独立したドメインコントローラを削除するときにも利用できる. |
| ldp.exe | ActiveDirectory等のLDAP互換ディレクトリにに対して,LDAP操作(接続・バインド・検索・変更・追加・削除)を実行できる. |
| netdom.exe |
Windows2000 Domain Manager. Win2Kコンピュータを,NT4ドメイン,W2Kドメインに参加させたり,ドメインのコンピュータアカウントの管理や信頼関係の確立や管理を行う事ができる. |
| repadmin.exe |
Replication Diagnostics Tool. W2Kドメインコントローラの複製に関する問題を診断するときに利用される. 各ドメインコントローラからみた複製トポロジを表示できる. ドメインコントローラへの接続オブジェクトや複製メタデータの表示が行える. |
| replmon.exe |
Active Directory Reolication Monitor. ADの負k末うの低レベル状態を表示できるツールで,ドメインコントローラの強制同期,トポロジのグラフィック表示,複製状態のやパフォーマンスの監視ができる. 全てのWindows2000にインストールできる. |
| dsastat.exe |
Active Directory Diagnostic Tool. ドメインコントローラ上のディレクトリ情報を比較し,違いを探すために利用する. グローバルカタログサーバの場合は,グローバルカタログが他のドメインコントローラと整合性があるかチェックする. |
| sdcheck.exe |
Security Descriptor Check Utility. ADに格納されているオブジェクトのセキュリティ記述子を表示する. |
| movetree.exe |
Active Directory Object Manager. 同一フォレスト内のドメイン間で,ACオブジェクトを移動するツール. ローカルグループやドメイングローバルグループは移動できない. それらは,中身が空の場合に限り,移動できる. ユニバーサルグループを移動することができる. このコマンドで移動できなかったオブジェクトは,独立したオブジェクトとして分類され,ソースドメインのLostAndFoundコンテナに置かれる. |
| nltest.exe |
ネットワーク管理タスクを実行する. ドメインコントローラのリスト表示,シャットダウンの強制,信頼関係のテスト,ドメインコントローラの状態テストなど. |
| netdiag.exe |
ネットワークの問題や,接続の問題を特定するためのコマンド. 一連のテストを実行して,ネットワーククライアントの状態を判断する. |
| admt |
Active Directory Migration Tool. WindowsNTからWindows2000 Active Directoryサービスに移行するためのツール. ユーザの移行,ユーザパスコンピュータの移行,グループの移行,サービスアカウントの移行,信頼関係の移行, |
10.Active Directoryの復元
- Authoritative Restore
- 復元されたデータが,複製パートナ上に存在する全てのオブジェクトが他のどのインスタンスよりも優先される.
- 操作を誤った場合(オブジェクトを消してしまった等),複製先にあるデータは誤った状態と言えるので,「復元するデータを正当なものにする」という意味でこのモードを使う.
- 非Authoritative Restore
- ドメインコントローラをバックアップメディアから復元する際に,通常の複製を通して更新できる状態にデータを復元するモード.
- Authoritative Restoreを実行するには
- Backupツールを使用して,非Authoritative Restoreを実行する.
- ntdsutilツールを使用して,復元されたオブジェクトをAuthoritative Restoreの対象としてマークする.
- ntdsutilツールを使うには,次の手順となる.
- コンピュータを再起動する.
- F8を押す.
- [拡張オプション]を選択する.
- [ディレクトリサービス復元モード]を選択する.
- コマンドプロンプトで,ntdsutilを実行する.
- そして,次の何れかのコマンドを入力する
- restore database verinc <version increase>コマンド
- ディレクトリ全体を復元する.
- restore subtree <subtree distinguished name> verinc
<version increase>コマンド
- サブツリーを復元する.
- restore database verinc <version increase>コマンド
