今更学ぶ Active Directory（２）

Transcript

1. 今更学ぶ Active Directory（２） Murachi Akira aka Hebikuzure 1

2. About me • Murachi Akira aka hebikuzure ( 村地 彰

   ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

3. 3 内容 （前回） • Active Directory とは何ですか • Entra IDとActive

   Directory • これからのActive Directory （今回） • AD DS と Entra Domain Services • AD 構築・構成のポイント （次回） • クラウド上の AD 構築

4. #ADIsNotDead 4

5. AD DS と Entra Domain Services

6. Azure での AD 利用 • オンプレミスの（既存の）ドメイン コントローラーに閉域網接 続を経由して接続して利用 • Azure

   VM でドメイン コントローラーを動作させて利用 • Azure 内で完結したドメイン • 閉域網接続でオンプレミスの（既存の）ドメインを拡張 • Entra ID Domain Services を利用 • Entra ID とのみ連携 • Entra ID Connect を経由してオンプレミスのドメインと連携 6

7. オンプレ AD を利用 7 オンプレミス AD DS 仮想ネットワーク 仮想ネットワーク ゲートウェイ

8. Azure VM の DC を利用 8 オンプレミス AD DS 仮想ネットワーク

   仮想ネットワーク ゲートウェイ ドメイン コントローラー の役割の仮想マシン （オプション）

9. Entra ID Domain Services を利用 9 仮想ネットワーク Entra Domain Services

   の マネージド ドメイン

10. Entra Domain Services とは何ですか • Azure 上のマネージドな Domain Services （マネージドドメイン）

    • 従来の AD DS 機能のサブセット • 利用できる機能 • ドメイン参加 • グループ ポリシー • LDAP • Kerberos 認証 ・ NTLM/NTLMv2 認証 • Entra ID と統合されている 10

11. マネージドドメイン • Azure 上で利用できる AD DS のマネージドサービス • 仮想マシン、オペレーティングシステムの構成・管理無しで AD

    DS の（サブセット）機能を利用できる • サービスの背後で自動的に複数のドメインコントローラーが デプロイされる • 可用性ゾーンがサポートされている Azure リージョンでは自動的に ゾーン冗長で作成される 11

12. マネージド ドメインの利用 • 仮想ネットワークに接続して利用する 12 Virtual Network マネージド ドメイン VM

    VM VM VM

13. マネージドドメインのユースケース • Azure 上にクラウド化したサービスでの Kerberos/NTLM を用 いた SSO • Azure

    AD アカウントに対する LDAPS 接続の提供 • 以下のシナリオは非推奨 • オンプレミスの Windows のドメイン参加（オンプレAD DS の代替） • 負荷のかかる LDAP 処理の実行 13

14. Entra ID との統合 • Entra ID からマネージド ドメインへの同期 • バックグラウンドでの自動同期

    • ユーザー・ユーザーグループ・パスワードハッシュ・SID の同期 14 Entra ID マネージドドメイン 自動同期

15. オンプレミス AD DSとの統合 • Entra ID Connect でオンプレミスAD DS を

    Entra ID への同期 • ユーザー・ユーザーグループ・パスワード・SID の同期 • Entra ID からマネージド ドメインへの同期 15 Entra ID マネージドドメイン オンプレミス AD DS 自動同期 Entra ID Connect

16. オンプレミスから同期されないもの • コンピューター アカウント • 組織単位（OU） • グループポリシー いずれも Entra

    ID に存在しないものなので、 Entra ID 経由の同期では同期できない 16

17. マネージドドメインの制限 • Domain Admins 権限が利用できない • グループポリシーの管理などの特権を要する一部の操作は、 代わりに “AAD DC

    Administrators” グループを利用 • 組み込み OU が AD DS と異なる • AADDC Computers マネージドドメインに参加しているすべてのコンピューターに関する コンピューターオブジェクトが含まれる • AADDC Users Entra テナントから同期されたユーザーとグループがすべて含まれる （メンバーの追加/削除はできない） 17

18. マネージドドメインの制限（２） • スキーマ拡張は行えない • 機能レベルの変更は行えない • シングルフォレスト/シングルドメイン構成のみ • 参考 •

    Microsoft のディレクトリ ベースのサービスを比較する - Microsoft Entra ID | Microsoft Learn 18

19. OU/ユーザーは作成できる • カスタム OU を追加作成できる • Entra ID からの同期以外のユーザーを作成できる 作成した

    OU/ユーザーはマネージドドメイン内 のみ有効 Entra ID や AD DS への反映（同期）は行われない • Microsoft Entra Domain Services の組織単位 (OU) を作成する - Microsoft Entra ID | Microsoft Learn 19

20. グループポリシーは構成できる • グループポリシーオブジェクトの作成・編集・リンクが可能 • マネージドドメイン用の組み込み GPO も用意されている • AADDC Computers

    GPO : AADDC Computers OU にリンク • AADDC Users GPO：AADDC Users OU にリンク • Default Domain Policy と Default Domain Controllers Policy は編集不可 20

21. カスタムポリシーの注意点 • 同期されたユーザーはカスタム OU に移動できないので、WMI フィルターやグループとセキュリティフィルターで頑張る • Create WMI Filters

    for the GPO | Microsoft Learn • Assign Security Group Filters to the GPO | Microsoft Learn • 参考 • Microsoft Entra Domain Services でのグループ ポリシーの作成と管 理 - Microsoft Entra ID | Microsoft Learn 21

22. 同期の注意点 • オンプレミス AD DS とマネージドドメインのパスワード同期 では以下を同期する必要がある • NTLM パスワードハッシュ（AD

    の unicodePwd 属性） • Kerberos パスワードハッシュ（AD の supplementalCredentials 属性) • 通常の Entra ID Connect ではこれらは同期されない • Entra ID に送信されるのはパスワードハッシュの SHA256 ハッシュ • Entra ID Connect で追加作業が必要 • Microsoft Entra Domain Services でパスワード ハッシュ同期を有効 にする - Microsoft Entra ID | Microsoft Learn 22

23. （参考）パスワード同期の参考情報 • Microsoft Entra Connect 同期を使用してパスワード ハッシュ 同期を実装する - Microsoft

    Entra ID | Microsoft Learn • パスワードの技術概要 | Microsoft Learn • おまけ • Microsoft Entra IDからのNTハッシュのダンプ | Secureworks 23

24. オンプレミス AD との信頼関係 • マネージドドメインからオンプレミス AD に対して出力方向の フォレストの信頼を作成可能 • 逆向きの信頼は作成不可

    24 マネージドドメイン オンプレミス AD DS 信頼関係

25. 信頼関係のシナリオ • パスワードハッシュ同期を行わず、オンプレ AD アカウントで マネージドドメインのリソースにアクセスしたい • オンプレ AD でもっぱらスマートカード認証を行っていて、

    ユーザーはパスワードを知らない • 参考 • チュートリアル - Microsoft Entra Domain Services でフォレストの信 頼を作成する - Microsoft Entra ID | Microsoft Learn 25

26. Entra Domain Services の価格 • Standard： 16,170.42円/月 • Enterprise： 43,121.10円/月

    • Premium： 172,484.40円/月 • 参考 • 価格 - Microsoft Entra Domain Services | Microsoft Azure 26

27. 参考情報 • Microsoft Entra Domain Services の概要 - Microsoft Entra

    ID | Microsoft Learn • Microsoft Entra Domain Services に関してよくあるご質問 - Microsoft Entra ID | Microsoft Learn 27

28. AWS の類似サービス • AWS Directory Service for Microsoft Active Directory

    • AWS Managed Microsoft AD - AWS Directory Service (amazon.com) • AWS Managed Microsoft AD の開始 - AWS Directory Service (amazon.com) • Windows Server 2019 ベースのマネージド サービス • オンプレミスADとの連携は信頼関係の作成 28

29. GCP の類似サービス • マネージド Microsoft AD • マネージド Microsoft AD

    の概要 | マネージド Microsoft AD のド キュメント | Google Cloud • Active Directory リソース フォレストをデプロイする | マネージド Microsoft AD のドキュメント | Google Cloud • オンプレミスADとの連携は信頼関係の作成 29

30. AD 構築・構成のポイント

31. ドメイン名 • 単一ラベルドメイン名を使わない • host、company などサフィックスを含まない名前 • インターネット レジストラーに登録したドメイン名（DNS ド

    メイン名）を利用する • example.com が登録されている場合、example.com や corp.example.com・tokyo.example.com • 予約語を使わない • 予約語の表 31

32. 命名の参考情報 • ドメイン名を割り当てる | Microsoft Learn • コンピューター、ドメイン、サイト、OU の命名 -

    Windows Server | Microsoft Learn • Complying with Name Restrictions for Hosts and Domains | Microsoft Learn • Active Directory: Best Practices for Internal Domain and Network Names | Microsoft Learn 32

33. IP アドレス • ドメインコントローラーの IP アドレスは固定されていること • IP アドレスが変更されると以下のような問題が発生する •

    ドメインコントローラー間の複製に失敗する • クライアントがドメインコントローラーを見つけれなくなる • クライアントがドメインコントローラーの DNS を参照できなくなる • ドメインに参加するコンピュータから IP reachable でなければ ならない 33

34. DNS • ドメインネットワーク内の DNS は Active Directory 統合ゾー ンの DNS

    を利用する • ドメインコントローラー自身の DNS サーバーは自分以外のド メインコントローラーを指定 • ドメインに参加するクライアント/メンバーサーバーの DNS サーバー指定は必ずドメインコントローラーとする • 代替DNSであってもドメインコントローラー以外の指定は NG • IPv6 アドレスの DNS も指定しておかないとドメイン参加できない場 合有り 34

35. DNS の参考情報 • DNS と AD DS | Microsoft Learn

    • How DNS Support for Active Directory Works: Active Directory | Microsoft Learn 35

36. トラブルシュート情報 • Windows ベースのコンピューターをドメインに参加させると きに発生するエラーのトラブルシューティング - Windows Server | Microsoft

    Learn • DNS Server becomes an island - Windows Server | Microsoft Learn • ドメイン コントローラーの配置方法 - Windows Server | Microsoft Learn 36

37. #ADIsNotDead 37

38. 38 ありがとうございました • Murachi Akira aka hebikuzure​ • https://www.linkedin.com/in/akiramurachi/ •

    https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure