今更学ぶ Active Directory（１）

今更学ぶ Active Directory（１） Murachi Akira aka Hebikuzure 1

About me • Murachi Akira aka hebikuzure ( 村地彰
) • 株式会社エクシードワン技術フェロー • 株式会社シーピーエス技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

3 内容 • Active Directory とは何ですか • Entra IDとActive Directory
• これからのActive Directory （次回） • AD DS と Entra Domain Services • AD 構築・構成のポイント（次々回） • クラウド上の AD 構築

Active Directory とは何ですか

Active Directory とは何ですか • Active Directory とは、 Microsoft が提供しているローカルエ
リアネットワーク（LAN）内のデバイス（Device）とユーザー（Identity）を管理する機能群の総称（ブランド）です • Windows Server オペレーティングシステムの機能として提供されています • 中心となる機能は Active Directory Domain Service（AD DS）で、ディレクトリサービスを提供しています

ディレクトリサービス • コンピューターネットワーク内のリソースを識別し、リソースの属性を管理し、検索できるようにした電子システム • ITU X.500 モデル •
ディレクトリサービスの国際標準 • LDAP • Lightweight Directory Access Protocol、RFC1777 • ディレクトリアクセスの標準的なプロトコル • X.500 で標準化されたアクセスプロトコルは重厚長大だった（のであまり実用的でなかった)ことに対して、この名前となった 6

Active Directory Domain Services • 元々 Active Directory =ディレクトリサービスでした
• Windows Server の機能強化で “Active Directory” がブランドネーム化されたため、従来のドメインシステム（ディレクトリサービス）が “Active Directory Domain Service“ となりました。 • Windows の世界で通常「ドメイン」と言うのはコレのこと 7

他の Active Directory ブランド • Active Directory Federation Services（AD FS）
• 他の Idp との連携機能 • 一種の認証プロキシとして機能 • Active Directory Rights Management Services （AD RMS） • AD で管理される Identity に基づく DRM 機能 • Active Directory Certificate Services（AD CS） • AD で管理される Device と Identity に対する認証局として機能 • 組織独自の証明書管理 8

「ドメイン」という言葉 • Windows ネットワークの認証基盤 • LAN Manager • NT ドメイン
• Active Directory ドメイン • 認証基盤（上の意味での「ドメイン」）による認証でアクセス可能なネットワークリソースの範囲 • イントラネット • ドメインネットワーク 9

10 • ---- OS/2 • 1993 Windows NT 3.1 Advanced
Server • 1994 Windows NT 3.5 Advanced Server • 1995 Windows NT 3.5.1 Advanced Server • 1996 Windows NT 4.0 Server • 2000 Windows 2000 Server • 2003 Windows Server 2003 • 2005 Windows Server 2003 R2 • 2008 Windows Server 2008 • 2009 Windows Server 2008 R2 • 2012 Windows Server 2012 • 2013 Windows Server 2012 R2 • 2016 Windows Server 2016 • 2018 Windows Server 2019 • 2021 Windows Server 2022 Active Directory LAN Manager NT Domain

Active Directory • NTドメインを置き換える新しいドメインシステム • Windows 2000 で登場 •
LDAP、DNS、Kerberos などの標準技術を組み合わせ • マルチマスタシステム • NTドメインではPDC/BDCの区分がある • ドメインコントローラーはサーバーの「役割」 • NTドメインではWindows自体をDCとしてインストール • 親子関係、フォレストなどのグループ化が可能 11

認証プロトコルの進化 • LAN Manager ⇒LM 認証 • NT ドメイン ⇒NTLM
認証（NT3.1） ⇒NTLMv2認証（NT4.0SP4、2000） • Active Directory ドメイン（2000以降） ⇒Kerberos認証 12

よくある誤解 • AD DS は Microsoft の特殊な実装ではありません • LDAP、DNS、Kerberos などの標準技術を組み合わせています
• 仕様は Open specifications として公開されています • https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms- adts/d2435927-0999-4c62-8c6d-13ba31a52e1a • SAMBA によるオープンソース実装も利用できます • cf. https://wiki.archlinux.jp/index.php/Samba/Active_Directory_ドメインコントローラ 13

Entra IDとActive Directory

Entra ID（旧称 Azure Active Directory） • クラウドベースの ID およびアクセス管理サービス •
Azure Active Directory から（今年）改称 • 組織アカウント、ビジネスアカウントなどとも呼ばれる • Microsoft 365、Office 365、Azure、Dynamics CRM Online、 Power Platform のテナント＝Entra ID テナント • テナント＝単一に管理されるユーザーとアプリケーションの範囲 15

AD DS vs Entra ID AD DS オンプレミス Kerberos デバイスの登録
Windows へのサインイングループポリシーアクセス制御（オンプレミス） Entra ID クラウド標準準拠の各種プロトコル SAML、WS-Federation、OpenID Connect、OAuth デバイスの登録 Windows へのサインインポリシー・MDM（Intune を経由して）アクセス制御（クラウド）条件付きアクセス 16

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Entra
ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウド認証（Entra ID 認証） • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 17

ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウド認証（Entra ID 認証） • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 18 NEW！

ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウドベースの SSO • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 19 Active Directory ピンチ！

Entra ID で置き換えできないもの • オンプレミスリソースのアクセス制御 • DACL によるアクセス制御 •
ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミスネットワーク（イントラネット）内の証明書管理（当面は…） 20

ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミスネットワーク（イントラネット）内の証明書管理 21 オンプレミスの AD DS が必要

ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミスネットワーク（イントラネット）内の証明書管理 22 オンプレミスの AD 必要 Active Directory は死なず！

AD DS と Entra ID の連携 • Entra ID Connect
/ Entra ID Connect cloud sync • オンプレミス（AD DS）のディレクトリオブジェクト（ユーザー・グループ）を Entra ID に複製・同期 • AD DS からの一方向同期（パスワードハッシュのみ双方向可能） • Hybrid Entra ID Join（ハイブリッド Entra ID 参加） • AD DS が丸ごと Entra ID Join するイメージ • デバイスは AD DS に参加すると同時に Entra ID にも参加 • デバイスにサインインすることで Entra ID にもサインイン • オンプレミスでは AD DS 認証、クラウドは Entra ID 認証 23

これからの Active Directory

Active Directory のこれから • クラウドファーストになっても Active Directory は無くなりません •
オンプレミスの認証基盤は不要にならない • クラウドベースに置き換え可能な機能はクラウドシフトが望ましい • AD FS、AD RMS、グループポリシー管理など • 将来的には AD CS も… 25

Windows Server vNEXT • Windows Server 2022 の次のバージョン • 現在開発中
• プレビュービルド提供中 • https://www.microsoft.com/en-us/software-download/windowsinsiderpreviewserver • Active Directory に新機能キタ～ッ！ 26

Windows Server vNEXT • Windows Server 2022 の次のバージョン • 現在開発中
• プレビュービルド提供中 • https://www.microsoft.com/en-us/software-download/windowsinsiderpreviewserver • Active Directory に新機能キタ～ッ！ 27 さっき、Windows Server 2025 になりました Introducing Windows Server 2025! - Microsoft Community Hub https://techcommunity.microsoft.com/t5/windows-server-news-and-best/introducing-windows- server-2025/ba-p/4026374

Windows Server 2025 28

What's new in Active Directory 29 https://www.youtube.com/watch?v=RHQDynRbvxg

Copilot に要約してもらいましたw 30

ドメイン/フォレスト機能レベルの追加 31 ※ Active Directory Lightweight Directory Service の機能レベルも追加されています

スキーマの追加 32

データベースフォーマットの強化 33 ESEデータベースのページサイズが 32KB に拡張 ※ 新しい DC は
32Kフォーマットが既定

NUMA サポート • NUMA：Non-Uniform Memory Access • 以前は、AD はグループ 0
の CPU のみを使用していました • Active Directory は 64 コアを超えて拡張できます 34 https://www.intel.com/content/www/us/en/developer/articles/technical/use-intel-quickassist-technology-efficiently-with-numa-awareness.html

レプリケーションの優先順位付け • ドメインオブジェクトの複製（レプリケーション）の優先順位を構成できるようになる 35

パフォーマンスカウンターの追加 • LSA 検索パフォーマンスカウンター • DC ロケーターパフォーマンス
カウンター • LDAP クライアントパフォーマンスカウンター 36

セキュリティの強化 • 機密属性のセキュリティの強化 • チャネルバインド監査サポート • LDAP の暗号化の優先を既定に設定 •
LDAP の TLS 1.3 サポート • レガシ SAM RPC パスワード変更のブロック • Kerberos の AES SHA256/384 サポート • Kerberos の PKINIT サポート 37

#ADIsNotDead 38

39 ありがとうございました • Murachi Akira aka hebikuzure • https://www.linkedin.com/in/akiramurachi/ •
https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure

今更学ぶ Active Directory（１）

今更学ぶ Active Directory（１）

More Decks by Murachi Akira

Other Decks in Technology

Featured

Transcript