ドメインコントローラー

第5回 レプリケーションのしくみ【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ レプリケーションの仕組みについて解説 皆さんこんにちは。Active Directoryのコラムを担当している新井です。第3回のコラムで、データベースファイル内には論理的な仕切り (パーティション) があり、どの情報がどのパーティションに格納されるが決まっていること、またパーティションによってどの範囲のドメインコントローラーに複製されるかが異なることについて解説しました。今回は、その複製のしくみについて解説します。 ドメインコントローラーは、組織内のユーザー認証など重要な役割を持つサーバーです。ドメインコントローラーがダウンしてしまうと、認証ができなくなり、システム全体に大きな影響を及ぼしてしまいます。そこで、一般的な運用ではドメインコントローラーを2台以上用意し、どのドメインコントローラーでも同じ情報を使用して認証でき、いずれかのドメインコントローラーがダウンした場合でも認証を継続できるようにすることが求められます。そして、そのためには、どのドメインコントローラーも同じ内容のデータベースを保有している必要があります。 ■ ドメインコントローラー間でおこなわれるレプリケーション ドメインコントローラー間でデータベースの同期をとるために使われるのが、レプリケーションと呼ばれる複製のしくみです。ドメインコントローラー同士はレプリケーションの処理をおこなうことで、保持しているデータベースの内容を定期的に確認し、それぞれが保有するデータベースの内容が同一となるように同期をとっています。この動作によって、ドメインコントローラーがホストしているデータベースは他のドメインコントローラーに複製されます。例えば、DC1でユーザーを作成すれば、その変更内容はほぼリアルタイムにDC2に反映されます。逆もまた然り、DC2でユーザーの部署などのプロパティの変更が行われれば、その変更内容はDC1にほぼリアルタイムで反映されます。RODCを除く、通常のドメインコントローラーであればどのドメインコントローラーでもデータベースに対する変更をおこなうことができるようになっており、その変更内容は他のドメインコントローラーに複製されます。このような動作により、データベースの整合性が保たれているのです。 ■ 複製のための特別な設定は不要 前回のコラムでは、追加のドメインコントローラーを展開することについて解説しましたが、特別な設定をしなくてもレプリケーションは自動的に動作します。2台目以降のドメインコントローラーを追加すると、どのドメインコントローラーとどのドメインコントローラーの間で複製をおこなうかがシステムによって決定され、複製が開始されるようになっているのです。つまり、複数のドメインコントローラーを展開するだけで、結果的にドメインコントローラーの負荷分散や障害対策になります。 どのドメインコントローラーがどのドメインコントローラーと複製をおこなうのかは、「Active Directoryサイトとサービス」という管理ツールによって確認することができます。この管理ツールはドメインコントローラーに既定でインストールされ、管理ツールを開いてツリーを展開すると、選択したドメインコントローラーの直接の複製相手である「複製パートナー」を確認することができます。 既定では自動的に複製パートナーが決定されますが、管理者が手動で複製パートナーを設定することも可能です。2台のドメインコントローラーではお互いが複製パートナーになりますが、3台以上のドメインコントローラーがいるシナリオでは必ずしもレプリケーションが直接的におこなうことが最適とは限らないからです。そのため、DC1の複製パートナーとしてDC2とDC3の両方を設定することもできますし、DC1の複製パートナーはDC2のみに設定し、DC2を介してDC3に伝達されるように構成することも可能です。 ■ レプリケーション処理のタイミング ドメインコントローラー間でおこなわれるレプリケーションは、変更通知を用いたプルレプリケーションです。ただし、複製パートナーが複数存在する場合には、同時にレプリケーションがおこなわれるのではなく、少しだけタイミングをずらして処理がおこなわれるようになっています。例えば、あるドメインコントローラーがデータベースに対して変更をおこなった場合、15秒待ってから1つ目の複製パートナーに変更通知を送ります。その変更通知を受け取ったドメインコントローラーは、変更の差分情報を要求し、レプリケートをおこないます。複製パートナーが複数存在する場合には、さらに3秒待ってから次の複製パートナーに変更通知を送ります。このように動作することで、あるタイミングでレプリケーション処理が集中してしまうことを回避しつつ、ほぼリアルタイムに複製をおこなうことでデータベースの内容を同一に保っているのです。...

セキュリティ , 一般 1 min read

AD監査の負荷をツールで大幅軽減!【1】 ADAudit Plusってどんな製品?

Reading Time: 1 minutesこの記事の所要時間: 約 2分 ADAudit Plusは、Microsoftが提供するディレクトリ サービスであるActive Directoryを監査するレポートツールです。本製品を使うことで、Windowsドメイン上で管理されているドメインコントローラー/メンバーサーバー/ファイルサーバーなどのリソース、そしてユーザーやグループ、グループ ポリシーなどのオブジェクト情報から、 「簡単に」かつ「見やすい」 監査レポートを生成することが可能です。 本製品の特徴として、インストールから利用開始までおよそ10分間で行うことができるという導入の簡単さが挙げられます。監査に必要な手順はたったひとつ、「ドメインコントローラー」の登録のみです。以下に、ドメインコントローラーに関して必要となる設定情報についてご案内します。 図:ドメインコントローラー追加画面 1. ドメイン名を入力します。 2. ドメインコントローラーよりログを取得する際に使用するアカウント情報を入力します。 ※Domain Admin以上の権限が必要です。 3. 対象ドメインに対するドメインコントローラーを選択します。 また、ADAudit Plusはイベントログを収集して監査を行います。そのため、必要な監査ログが出力されるよう、監査ポリシーの設定が必要となりますが、ADAudit Plusでは、必要な監査ポリシーの設定も、同画面からワンクリックで行うことが可能です。 図:ドメイン設定画面 このようにユーザーは複雑な設定を一切行う必要がなく、ドメインコントローラーを登録していただくだけで、直ちにリアルタイムのログ収集・監査を行うことが可能です。...

ADAudit Plus 1 min read

第4回 ドメインコントローラーの展開方法【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ ドメインコントローラーの展開方法について解説 ・ ドメインコントローラーとRODCの違いについて解説 皆さんこんにちは。Active Directoryのコラムを担当している新井です。これまでのコラムでは、ワークグループとドメインの違いや、Active Directoryの概念やキーワードなどについて解説してきました。今回は、Active Directoryドメインの環境における主要なコンポーネントであるドメインコントローラーの展開方法について解説します。 ■ ドメインコントローラーの展開 ドメインコントローラーを展開する前に、決定しておくべきことがいくつかあります。その中でも最も重要なのが「配置構成」の決定です。配置構成では、どの展開パターンでドメインコントローラーを構成するかについて、3つの選択肢の中から選択します。その3つの展開パターンをまとめると、以下のようになります。 ■ ドメインコントローラーの展開方法 ドメインコントローラーの展開には2つのフェーズがあり、1つ目のフェーズとなるのが役割の追加です。Windows Serverをドメインコントローラーとして構成するためには、WebサーバーやDHCPサーバーとして構成するときと同様に、役割の追加が必要です。役割の追加は、Windows Serverの管理ツールである「サーバーマネージャー」から「管理」、「役割と機能の追加」の順にクリックし、表示されるウィザード内で「Active Directoryドメインサービス」のチェックボックスをオンにして進めるだけです。この役割の追加によって、Windows ServerにActive Directory...

セキュリティ , 一般 1 min read

第1回 Active Directoryの必要性【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ Active Directoryの必要性について確認 ・ 「認証」と「認可」について解説 ・ ワークグループとドメインでの認証動作の違いについて解説 今回より、Active Directoryのコラムを担当させていただくことになりました、新井と申します。Azure Active Directoryのコラムを担当させていただいている国井と同様に、私も普段はマイクロソフトの製品や技術に関するトレーニングをおこなっております。その中でも、Windows ServerやActive Directoryに関するトレーニングを中心に担当していることもあり、本コラムを担当させていただくことになりました。コラムを通して、現状の環境の再確認や、今後のクラウド化に向けた環境の整理などのために役立てていただければと考えておりますので、宜しくお願いいたします。 さて、初回となる今回は、Active Directoryの必要性について解説していきます。今ではほとんどの組織で当たり前のように導入されている「Active Directory」ですが、あらためてその必要性を確認していきましょう。 ■ 「認証」と「認可」 組織内には、様々なアプリケーションやデータ、サーバーなどのリソースが存在します。そして、扱われるリソースの中には、誰でも閲覧できるように公開したいものもあれば、特定の人だけにアクセスを限定したいものもあります。そのため、コンピューターを使用する上では、どの利用者なのかを識別するプロセスが重要であり、その確認をおこなうための「認証」の仕組みが必要になります。Windowsベースのコンピューターでは、ユーザーアカウントを使用して認証をおこなうことによって、どの利用者なのかを識別しています。その上で、各データに対してどのユーザーだったらアクセスを許可するのかを設定することにより、データへのアクセス制御である「認可」を実現しているのです。...

ADAudit Plus 1 min read

ADManager Plusの画面

Reading Time: 1 minutesこの記事の所要時間: 約 1分 本ブログでは、ADManager Plusの画面を簡単に紹介します。 ADManager Plusでは、インストール後、ドメインを登録します。 画面右の[ドメイン設定]から設定できます。 ドメインの設定では、ドメイン名、ドメインコントローラ、認証を設定します。 [AD管理]メニューでは、ユーザ管理、コンピュータ管理など、さまざまな管理設定を行えます。 NTFSや共有フォルダーのアクセス許可を変更する「ファイルサーバー管理」機能もあります。 [レポート]メニューでは、「アカウントロックされているユーザー」「最近ログオンしていないユーザー」など、 さまざまなレポートをワンクリックで表示できます。 [オペレータ]メニューでは、役割を設定したオペレータを作成できます。 オペレータの役割の設定では、チェックボックスを使って細かく役割を設定できます。 [自動化]メニューでは、「ユーザーの作成」「ユーザーの削除」などのタスクを スケジュール実行するよう設定できます。 [管理]メニューでは、命名フォーマット、メールサーバー設定など 各種設定をカスタマイズできます。 もし、少しでもご興味を持っていただけましたら、 「30日間の無料トライアル(評価版)」を是非お試しください。 評価期間中は、技術サポートもご利用可能です。 ADManager Plusのダウンロードページ https://www.manageengine.jp/products/ADManager_Plus/download.html

ADManager Plus 1 min read