Active Directory の基礎について

本記事では、Active Directory の 5 つのサービスの概要と、最も代表的なサービスである Active Directory ドメインサービス(AD DS)の基礎について紹介します。

Active Directory の 5 つのサービスについて

Active Directory は 5 つのサービスから構成されています。

Active Directory ドメインサービス(AD DS)

ネットワークをドメインという単位で区画分けし、ドメインを管理するドメインコントローラーで、ドメイン内のユーザーやコンピューターのアクセス権限やポリシー等を一元的に管理するサービスになります。

Active Directory ライトウェイトディレクトリサービス(AD LDS)

AD DS の簡易版で、LDAP を使用して AD DS の情報収集、検索機能を提供するサービスです。

Active Directory 証明書サービス(AD CS)

AD DS と連携して、サーバー証明書の発行や、Windows のログオン ID に紐づけたクライアント証明書を発行・配布することができるサービスです。

Active Directory Rights Management Services(AD RMS)

ドキュメントや電子メールを暗号化で保護するサービスです。
保護した情報にアクセスする際は認証が行われ、きめ細かい権限制御が可能です。

Active Directory フェデレーションサービス(AD FS)

シングルサインオン(Single Sign-on)を提供する認証サービスです。
AD DS の認証ではアクセスできない複数の Web アプリケーションへの認証機能を提供します。

AD DS の機能について

AD DS の 主な機能として「LDAP」「認証」「DNS」があります。

LDAP

LDAP(Lightweight Directory Access Protocol)は、システムを利用するユーザーの情報を保管する仕組みで、階層構造により構成されています。
階層構造は、ディレクトリ情報ツリー(Directory Information Tree=DIT)という概念で構成されていて、Active Directory では OU や CN が既存で用意されています。
これらを組み合わせた情報(オブジェクト)は、Active Directory 内において、DN(Distinguished Name)と表現されます。

  • example.com ドメインの DIT
  • User01 の DN
CN=user01,OU=NETWORK,OU=SE,DC=example,DC=com

認証

ドメイン環境での認証は、「Kerberos認証」と呼ばれるチケットを利用した方式になります。

DNS

Active Directory の DNS には大きく以下の 2 つの役割があります。

  1. ドメインに参加しているコンピューターの登録と名前解決
    • ドメインに参加しているコンピューターの IP アドレスとホスト名は DNS ドメインに自動的に登録されます。
  2. ドメインコントローラーの検索
    • Active Directory では、ドメインコントローラーの場所を特定するために DNS の SRV レコードが利用されます。
      SRV レコードは DNS マネージャーや、コマンドプロンプトから確認できます。
  • 例) コマンドプロンプトでの SRV レコード確認
C:\Users\Administrator> nslookup
> set type=srv
> _ldap._tcp.dc._msdcs.example2.com
サーバー:  localhost
Address:  127.0.0.1

権限のない回答:
_ldap._tcp.dc._msdcs.example2.com       SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = ad03.example2.com

ad03.example2.com       internet address = 192.168.1.133
関連記事

DNS(Domain Name System)は、ドメイン名と IP アドレスを紐づけるシステムで、DNS レコードはドメイン名と IP アドレスの対応表です。[1]対応表はゾーンファイルと呼ばれます。主な DNS レコードについて解説[…]

Active Directory の適用範囲

ドメイン

Active Directory の基本単位を「ドメイン」といいます。ドメイン内のリソースに、認証が通ったユーザーがアクセスできます。主なリソースとして、ユーザーアカウント、Windows クライアント、サーバー、プリンターなどがあります。

OU(組織単位)

各リソースにはグループポリシーを使って、アクセス制御や機能制御等を適用することができますが、「OU(Organizational Unit)」と呼ばれる単位で管理することが可能です。

ドメインツリー

ドメインを複数に分け管理することが出来ます。親ドメイン(例:example.com)の下に子ドメイン(例:a.example.com)を作成すると、子ドメインは親ドメイン名の一部(example.com)を継承し、「信頼関係」が結ばれます。信頼関係が結ばれると、リソースを共有することができます。これをドメインツリーといいます。

  • 例)Windows 2019 で親ドメイン example.com に子ドメイン a.example.com を作成

フォレスト

Active Directory の管理単位で最大となるもので、ドメインツリーのまとまりです。
同一フォレスト内のドメインは互いに信頼関係が結ばれ、フォレストに参加する全てのドメインのリースへアクセスできます。
なお、フォレストは 1 つ以上のドメインツリーで構成されるため、1 つのドメインでもフォレストとなります。
また、すべてのドメインを 1 つのフォレストにする構成を「シングル・フォレスト」とよび、複数のフォレストに分ける構成を「ルチ・フォレスト」とよびます。

信頼関係

信頼関係には、「方向」と「推移性」という考え方があります。
「方向」には双方向と片方向があり、双方向の信頼関係があると、ドメイン間、またはフォレスト間でお互いにアクセス可能です。
「推移性」には、推移性と非推移性があり、例えば以下のように親ドメイン(example.com)が、子ドメイン(a.example.comb.example.com)間で、双方向の信頼関係があり、推移性である場合、子ドメイン間で双方向の信頼関係が間接的に構成されます。
フォレスト内では、双方向の推移性を持つ信頼関係が自動的にドメイン間で作成されます。フォレスト間(example.comexample2.com)の信頼関係は既定では作成されませんが、手動で結ぶことが可能です。

シングルフォレスト
  • 例)親ドメインと子ドメインの信頼関係

マルチフォレスト
  • 例)フォレスト間の信頼関係構築

以上

参考書籍

脚注

脚注
1対応表はゾーンファイルと呼ばれます。