Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Windows Server 30周年! 「ドメイン」のこれまでとこれから

Murachi Akira
August 26, 2023
Technology
0
220

Windows Server 30周年! 「ドメイン」のこれまでとこれから

.NETラボ 勉強会 2023年8月のセッション「Windows Server 30周年! 「ドメイン」のこれまでとこれから」のスライドです。
2023年7月27日で Windows Server は最初の製品 Windows NT 3.1 のリリースから30周年を迎えました。このセッションでは Windows Server の大きな機能である「ドメイン」について、その歴史とこれからの役割を解説します。
さまざまなシステムのクラウドシフトが進む中、オンプレミスの機能であるドメインは役割を終えるのかそれとも新しい役割が拓かれるのか、これからのドメインの位置付けについて考えます。

Murachi Akira

August 26, 2023
Tweet

More Decks by Murachi Akira

See All by Murachi Akira
今更学ぶ Active Directory(2)
murachiakira
0
220
今更学ぶ Active Directory(1)
murachiakira
0
230
お客様、そこは秘孔です!突かないでください! HTTP/2 Rapid reset の概要と対策
murachiakira
0
1.3k
HTTP/2 Rapid reset attack の概要
murachiakira
0
77
Windows Defender Credential Guard の機能と管理
murachiakira
0
450
Windows 365 Frontline すべての働く人にクラウド PC を!
murachiakira
0
320
セキュアな Cookie の使い方
murachiakira
0
320
Power Platform の通信デバッグ
murachiakira
0
3.4k

Other Decks in Technology

See All in Technology
One engineer company with Ruby on Rails
rstankov
2
420
Babylon.jsと色々なものを組み合わせる:ブラウザのAPIやガジェットや2D描画ライブラリなど / Babylon.js 勉強会 vol.3
you
PRO
0
160
Gradle Build Scanを使ってビルドのことを知ろう potatotips #87
tomorrowkey
2
150
Max out Local LLM in Challenging Environments
sashimimochi
1
100
Microsoft for Startups Founders Hub_20240429 update
daikikanemitsu
1
2.4k
リテール金融(キャッシュレス・ネット銀行・ネット証券)の競争環境と経済圏
8maki
0
1.6k
Cypress or Playwright?
rainerhahnekamp
0
170
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
460
M5stackで使用できるpHセンサの開発
shinrinakamura
0
110
How to do well in consulting–Balkan Ruby 2024
irinanazarova
0
130
Handling focus in 2024
tahia910
0
220
AWS学習者向けにAzureの解説スライドを作成した話
handy
3
190

Featured

See All Featured
Statistics for Hackers
jakevdp
790
220k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Scaling GitHub
holman
457
140k
In The Pink: A Labor of Love
frogandcode
138
21k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
323
20k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
242
1.2M
The MySQL Ecosystem @ GitHub 2015
samlambert
244
12k
Build The Right Thing And Hit Your Dates
maggiecrowley
25
2k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
33
6k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Building Applications with DynamoDB
mza
88
5.6k

Transcript

  1. Windows Server 30周年! 「ドメイン」のこれまでとこれから Murachi Akira aka Hebikuzure 1

  2. About me • Murachi Akira aka hebikuzure ( 村地 彰

    ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

  3. 3 内容 • Windows Server の系譜 OS/2 から 2022 まで

    • ドメインとは何か • Active Directory • Microsoft Entra ID • Entra ID と Active Directory

  4. Windows Server の系譜 OS/2 から 2022 まで

  5. 5 • ---- OS/2 • 1993 Windows NT 3.1 Advanced

    Server • 1994 Windows NT 3.5 Advanced Server • 1995 Windows NT 3.5.1 Advanced Server • 1996 Windows NT 4.0 Server • 2000 Windows 2000 Server • 2003 Windows Server 2003 • 2005 Windows Server 2003 R2 • 2008 Windows Server 2008 • 2009 Windows Server 2008 R2 • 2012 Windows Server 2012 • 2013 Windows Server 2012 R2 • 2016 Windows Server 2016 • 2018 Windows Server 2019 • 2021 Windows Server 2022 Server 版と Workstation 版 Desktop Client とは別バージョン 2001 Windows XP(NTカーネルのクライアント) 2015 Windows 10 2021 Windows 11

  6. ドメインとは何か

  7. ドメイン • Windows ネットワークの認証基盤 • LAN Manager • NT ドメイン

    • Active Directory ドメイン • 認証基盤(上の意味での「ドメイン」)による認証でアクセス 可能なネットワーク リソースの範囲 • イントラネット • ドメイン ネットワーク 7

  8. 認証プロトコルの進化 • LAN Manager ⇒LM 認証 • NT ドメイン ⇒NTLM

    認証(NT3.1) ⇒NTLMv2認証(NT4.0SP4、2000) • Active Directory ドメイン(2000以降) ⇒Kerberos認証 8

  9. Active Directory

  10. ディレクトリ サービス • コンピューターネットワーク内のリソースを識別し、リソース の属性を管理し、検索できるようにした電子システム • ITU X.500 モデル •

    ディレクトリ サービスの国際標準 • LDAP • Lightweight Directory Access Protocol、RFC1777 • ディレクトリ アクセスの標準的なプロトコル • X.500 で標準化されたアクセスプロトコルは重厚長大だった(のであ まり実用的でなかった)ことに対して、この名前となった 10

  11. Active Directory • NTドメインを置き換える新しいドメイン システム • Windows 2000 で登場 •

    LDAP、DNS、Kerberos などの標準技術を組み合わせ • マルチマスタ システム • NTドメインではPDC/BDCの区分がある • ドメインコントローラーはサーバーの「役割」 • NTドメインではWindows自体をDCとしてインストール • 親子関係、フォレストなどのグループ化が可能 11

  12. Active Directory Domain Services • “Active Directory“ がブランドネーム化されたため、従来のド メイン システムに付けられた名前

    • AD DS • Windows の世界で通常「ドメイン」と言うのはコレのこと • 他の Active Directory ブランド • Active Directory Federation Services(AD FS) • Active Directory Rights Management Services (AD RMS) • Active Directory Certificate Services(AD CS) 12

  13. よくある誤解 • AD DS は Microsoft の特殊な実装ではありません • LDAP、DNS、Kerberos などの標準技術を組み合わせています

    • 仕様は Open specifications として公開されています • https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms- adts/d2435927-0999-4c62-8c6d-13ba31a52e1a • SAMBA によるオープンソース実装も利用できます • cf. https://wiki.archlinux.jp/index.php/Samba/Active_Directory_ドメ インコントローラ 13

  14. Microsoft Entra ID

  15. Entra ID(旧称 Azure Active Directory) • クラウドベースの ID およびアクセス管理サービス •

    Azure Active Directory から(今年)改称 • 組織アカウント、ビジネスアカウントなどとも呼ばれる • Microsoft 365、Office 365、Azure、Dynamics CRM Online、 Power Platform のテナント=Entra ID テナント • テナント = 単一に管理されるユーザーとアプリケーションの範囲 15

  16. 16 https://news.microsoft.com/ja-jp/2023/07/12/230712-azure-ad-is-becoming-microsoft-entra-id/ から引用

  17. 17 https://news.microsoft.com/ja-jp/2023/07/12/230712-azure-ad-is-becoming-microsoft-entra-id/ から引用

  18. Entra IDとActive Directory

  19. AD DS vs Entra ID AD DS オンプレミス Kerberos デバイスの登録

    Windows へのサインイン グループ ポリシー アクセス制御(オンプレミス) Entra ID クラウド 標準準拠の各種プロトコル SAML、WS-Federation、OpenID Connect、OAuth デバイスの登録 Windows へのサインイン ポリシー・MDM(Intune を経由して) アクセス制御(クラウド) 条件付きアクセス 19

  20. Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Azure

    AD 参加 • グループポリシー⇒Intune • AD FS⇒クラウドベースの SSO • AD RMS⇒Azure RMS 20

  21. Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Azure

    AD 参加 • グループポリシー⇒Intune • AD FS⇒クラウドベースの SSO • AD RMS⇒Azure RMS 21 Active Directory ピンチ!

  22. Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 •

    ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 • 認証局の作成・運用 22

  23. Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 •

    ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 • 認証局の作成・運用 23 オンプレミスの AD 必要

  24. Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 •

    ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 • 認証局の作成・運用 24 オンプレミスの AD 必要 Active Directory は死なず!

  25. AD DS と Entra ID の連携 • Azure AD Connect

    / Azure AD Connect cloud sync • オンプレミス(AD DS)のディレクトリ オブジェクト (ユーザー・グループ)を Entra ID に複製・同期 • AD DS からの一方向同期(パスワード ハッシュのみ双方向可能) • Hybrid Azure AD Join(ハイブリッド Azure AD 参加) • AD DS が丸ごと Azure AD Join するイメージ • デバイスは AD DS に参加すると同時に Entra ID にも参加 • デバイスにサインインすることで Entra ID にもサインイン • オンプレミスでは AD DS 認証、クラウドは Entra ID 認証 25

  26. Active Directory の将来 • クラウド ファーストになっても Active Directory は無くなりません •

    オンプレミスの認証基盤は不要にならない • クラウド ベースに置き換え可能な機能は クラウド シフトが望ましい • AD FS、AD RMS、グループ ポリシー管理など • 大きな機能変更や動作変更は行われない(でしょう) • Active Directory は20年以上利用されている安定した ソリューション 26

  27. 27 まとめ • Windows Server の系譜 OS/2 から 2022 まで

    • ドメインとは何か • Active Directory • Microsoft Entra ID • Entra ID と Active Directory

  28. 28 ありがとうございました • Murachi Akira aka hebikuzure​ • https://www.linkedin.com/in/akiramurachi/ •

    https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure