Slide 1

Slide 1 text

今更学ぶ Active Directory(1) Murachi Akira aka Hebikuzure 1

Slide 2

Slide 2 text

About me • Murachi Akira aka hebikuzure ( 村地 彰 ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

Slide 3

Slide 3 text

3 内容 • Active Directory とは何ですか • Entra IDとActive Directory • これからのActive Directory (次回) • AD DS と Entra Domain Services • AD 構築・構成のポイント (次々回) • クラウド上の AD 構築

Slide 4

Slide 4 text

Active Directory とは 何ですか

Slide 5

Slide 5 text

Active Directory とは何ですか • Active Directory とは、 Microsoft が提供しているローカル エ リア ネットワーク(LAN)内のデバイス(Device)とユーザー (Identity)を管理する機能群の総称(ブランド)です • Windows Server オペレーティングシステムの機能として提供 されています • 中心となる機能は Active Directory Domain Service(AD DS) で、ディレクトリ サービスを提供しています

Slide 6

Slide 6 text

ディレクトリ サービス • コンピューターネットワーク内のリソースを識別し、リソース の属性を管理し、検索できるようにした電子システム • ITU X.500 モデル • ディレクトリ サービスの国際標準 • LDAP • Lightweight Directory Access Protocol、RFC1777 • ディレクトリ アクセスの標準的なプロトコル • X.500 で標準化されたアクセスプロトコルは重厚長大だった(のであ まり実用的でなかった)ことに対して、この名前となった 6

Slide 7

Slide 7 text

Active Directory Domain Services • 元々 Active Directory =ディレクトリ サービスでした • Windows Server の機能強化で “Active Directory” がブランド ネーム化されたため、従来のドメイン システム(ディレクトリ サービス)が “Active Directory Domain Service“ となりました。 • Windows の世界で通常「ドメイン」と言うのはコレのこと 7

Slide 8

Slide 8 text

他の Active Directory ブランド • Active Directory Federation Services(AD FS) • 他の Idp との連携機能 • 一種の認証プロキシとして機能 • Active Directory Rights Management Services (AD RMS) • AD で管理される Identity に基づく DRM 機能 • Active Directory Certificate Services(AD CS) • AD で管理される Device と Identity に対する認証局として機能 • 組織独自の証明書管理 8

Slide 9

Slide 9 text

「ドメイン」という言葉 • Windows ネットワークの認証基盤 • LAN Manager • NT ドメイン • Active Directory ドメイン • 認証基盤(上の意味での「ドメイン」)による認証でアクセス 可能なネットワーク リソースの範囲 • イントラネット • ドメイン ネットワーク 9

Slide 10

Slide 10 text

10 • ---- OS/2 • 1993 Windows NT 3.1 Advanced Server • 1994 Windows NT 3.5 Advanced Server • 1995 Windows NT 3.5.1 Advanced Server • 1996 Windows NT 4.0 Server • 2000 Windows 2000 Server • 2003 Windows Server 2003 • 2005 Windows Server 2003 R2 • 2008 Windows Server 2008 • 2009 Windows Server 2008 R2 • 2012 Windows Server 2012 • 2013 Windows Server 2012 R2 • 2016 Windows Server 2016 • 2018 Windows Server 2019 • 2021 Windows Server 2022 Active Directory LAN Manager NT Domain

Slide 11

Slide 11 text

Active Directory • NTドメインを置き換える新しいドメイン システム • Windows 2000 で登場 • LDAP、DNS、Kerberos などの標準技術を組み合わせ • マルチマスタ システム • NTドメインではPDC/BDCの区分がある • ドメインコントローラーはサーバーの「役割」 • NTドメインではWindows自体をDCとしてインストール • 親子関係、フォレストなどのグループ化が可能 11

Slide 12

Slide 12 text

認証プロトコルの進化 • LAN Manager ⇒LM 認証 • NT ドメイン ⇒NTLM 認証(NT3.1) ⇒NTLMv2認証(NT4.0SP4、2000) • Active Directory ドメイン(2000以降) ⇒Kerberos認証 12

Slide 13

Slide 13 text

よくある誤解 • AD DS は Microsoft の特殊な実装ではありません • LDAP、DNS、Kerberos などの標準技術を組み合わせています • 仕様は Open specifications として公開されています • https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms- adts/d2435927-0999-4c62-8c6d-13ba31a52e1a • SAMBA によるオープンソース実装も利用できます • cf. https://wiki.archlinux.jp/index.php/Samba/Active_Directory_ドメ インコントローラ 13

Slide 14

Slide 14 text

Entra IDとActive Directory

Slide 15

Slide 15 text

Entra ID(旧称 Azure Active Directory) • クラウドベースの ID およびアクセス管理サービス • Azure Active Directory から(今年)改称 • 組織アカウント、ビジネスアカウントなどとも呼ばれる • Microsoft 365、Office 365、Azure、Dynamics CRM Online、 Power Platform のテナント=Entra ID テナント • テナント = 単一に管理されるユーザーとアプリケーションの範囲 15

Slide 16

Slide 16 text

AD DS vs Entra ID AD DS オンプレミス Kerberos デバイスの登録 Windows へのサインイン グループ ポリシー アクセス制御(オンプレミス) Entra ID クラウド 標準準拠の各種プロトコル SAML、WS-Federation、OpenID Connect、OAuth デバイスの登録 Windows へのサインイン ポリシー・MDM(Intune を経由して) アクセス制御(クラウド) 条件付きアクセス 16

Slide 17

Slide 17 text

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Entra ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウド認証(Entra ID 認証) • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 17

Slide 18

Slide 18 text

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Entra ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウド認証(Entra ID 認証) • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 18 NEW!

Slide 19

Slide 19 text

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Entra ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウドベースの SSO • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 19 Active Directory ピンチ!

Slide 20

Slide 20 text

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 (当面は…) 20

Slide 21

Slide 21 text

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 21 オンプレミスの AD DS が必要

Slide 22

Slide 22 text

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 22 オンプレミスの AD 必要 Active Directory は死なず!

Slide 23

Slide 23 text

AD DS と Entra ID の連携 • Entra ID Connect / Entra ID Connect cloud sync • オンプレミス(AD DS)のディレクトリ オブジェクト (ユーザー・グループ)を Entra ID に複製・同期 • AD DS からの一方向同期(パスワード ハッシュのみ双方向可能) • Hybrid Entra ID Join(ハイブリッド Entra ID 参加) • AD DS が丸ごと Entra ID Join するイメージ • デバイスは AD DS に参加すると同時に Entra ID にも参加 • デバイスにサインインすることで Entra ID にもサインイン • オンプレミスでは AD DS 認証、クラウドは Entra ID 認証 23

Slide 24

Slide 24 text

これからの Active Directory

Slide 25

Slide 25 text

Active Directory のこれから • クラウド ファーストになっても Active Directory は無くなりません • オンプレミスの認証基盤は不要にならない • クラウド ベースに置き換え可能な機能は クラウド シフトが望ましい • AD FS、AD RMS、グループ ポリシー管理など • 将来的には AD CS も… 25

Slide 26

Slide 26 text

Windows Server vNEXT • Windows Server 2022 の次のバージョン • 現在開発中 • プレビュービルド提供中 • https://www.microsoft.com/en-us/software-download/windowsinsiderpreviewserver • Active Directory に新機能キタ~ッ! 26

Slide 27

Slide 27 text

Windows Server vNEXT • Windows Server 2022 の次のバージョン • 現在開発中 • プレビュービルド提供中 • https://www.microsoft.com/en-us/software-download/windowsinsiderpreviewserver • Active Directory に新機能キタ~ッ! 27 さっき、Windows Server 2025 になりました Introducing Windows Server 2025! - Microsoft Community Hub https://techcommunity.microsoft.com/t5/windows-server-news-and-best/introducing-windows- server-2025/ba-p/4026374

Slide 28

Slide 28 text

Windows Server 2025 28

Slide 29

Slide 29 text

What's new in Active Directory 29 https://www.youtube.com/watch?v=RHQDynRbvxg

Slide 30

Slide 30 text

Copilot に要約してもらいましたw 30

Slide 31

Slide 31 text

ドメイン/フォレスト機能レベルの追加 31 ※ Active Directory Lightweight Directory Service の機能レベルも追加されています

Slide 32

Slide 32 text

スキーマの追加 32

Slide 33

Slide 33 text

データベース フォーマットの強化 33 ESEデータベースのページサイズが 32KB に拡張 ※ 新しい DC は 32Kフォーマットが既定

Slide 34

Slide 34 text

NUMA サポート • NUMA:Non-Uniform Memory Access • 以前は、AD はグループ 0 の CPU のみを使用していました • Active Directory は 64 コアを超えて拡張できます 34 https://www.intel.com/content/www/us/en/developer/articles/technical/use-intel-quickassist-technology-efficiently-with-numa-awareness.html

Slide 35

Slide 35 text

レプリケーションの優先順位付け • ドメイン オブジェクトの複製(レプリケーション)の優先順位 を構成できるようになる 35

Slide 36

Slide 36 text

パフォーマンス カウンターの追加 • LSA 検索パフォーマンス カウンター • DC ロケーター パフォーマンス カウンター • LDAP クライアント パフォーマンス カウンター 36

Slide 37

Slide 37 text

セキュリティの強化 • 機密属性のセキュリティの強化 • チャネル バインド監査サポート • LDAP の暗号化の優先を既定に設定 • LDAP の TLS 1.3 サポート • レガシ SAM RPC パスワード変更のブロック • Kerberos の AES SHA256/384 サポート • Kerberos の PKINIT サポート 37

Slide 38

Slide 38 text

#ADIsNotDead 38

Slide 39

Slide 39 text

39 ありがとうございました • Murachi Akira aka hebikuzure​ • https://www.linkedin.com/in/akiramurachi/ • https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure