今更学ぶ Active Directory（１） Murachi Akira aka Hebikuzure 1

About me • Murachi Akira aka hebikuzure ( 村地 彰 ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

3 内容 • Active Directory とは何ですか • Entra IDとActive Directory • これからのActive Directory （次回） • AD DS と Entra Domain Services • AD 構築・構成のポイント （次々回） • クラウド上の AD 構築

Active Directory とは 何ですか

Active Directory とは何ですか • Active Directory とは、 Microsoft が提供しているローカル エ リア ネットワーク（LAN）内のデバイス（Device）とユーザー （Identity）を管理する機能群の総称（ブランド）です • Windows Server オペレーティングシステムの機能として提供 されています • 中心となる機能は Active Directory Domain Service（AD DS） で、ディレクトリ サービスを提供しています

ディレクトリ サービス • コンピューターネットワーク内のリソースを識別し、リソース の属性を管理し、検索できるようにした電子システム • ITU X.500 モデル • ディレクトリ サービスの国際標準 • LDAP • Lightweight Directory Access Protocol、RFC1777 • ディレクトリ アクセスの標準的なプロトコル • X.500 で標準化されたアクセスプロトコルは重厚長大だった（のであ まり実用的でなかった)ことに対して、この名前となった 6

Active Directory Domain Services • 元々 Active Directory =ディレクトリ サービスでした • Windows Server の機能強化で “Active Directory” がブランド ネーム化されたため、従来のドメイン システム（ディレクトリ サービス）が “Active Directory Domain Service“ となりました。 • Windows の世界で通常「ドメイン」と言うのはコレのこと 7

他の Active Directory ブランド • Active Directory Federation Services（AD FS） • 他の Idp との連携機能 • 一種の認証プロキシとして機能 • Active Directory Rights Management Services （AD RMS） • AD で管理される Identity に基づく DRM 機能 • Active Directory Certificate Services（AD CS） • AD で管理される Device と Identity に対する認証局として機能 • 組織独自の証明書管理 8

「ドメイン」という言葉 • Windows ネットワークの認証基盤 • LAN Manager • NT ドメイン • Active Directory ドメイン • 認証基盤（上の意味での「ドメイン」）による認証でアクセス 可能なネットワーク リソースの範囲 • イントラネット • ドメイン ネットワーク 9

10 • ---- OS/2 • 1993 Windows NT 3.1 Advanced Server • 1994 Windows NT 3.5 Advanced Server • 1995 Windows NT 3.5.1 Advanced Server • 1996 Windows NT 4.0 Server • 2000 Windows 2000 Server • 2003 Windows Server 2003 • 2005 Windows Server 2003 R2 • 2008 Windows Server 2008 • 2009 Windows Server 2008 R2 • 2012 Windows Server 2012 • 2013 Windows Server 2012 R2 • 2016 Windows Server 2016 • 2018 Windows Server 2019 • 2021 Windows Server 2022 Active Directory LAN Manager NT Domain

Active Directory • NTドメインを置き換える新しいドメイン システム • Windows 2000 で登場 • LDAP、DNS、Kerberos などの標準技術を組み合わせ • マルチマスタ システム • NTドメインではPDC/BDCの区分がある • ドメインコントローラーはサーバーの「役割」 • NTドメインではWindows自体をDCとしてインストール • 親子関係、フォレストなどのグループ化が可能 11

認証プロトコルの進化 • LAN Manager ⇒LM 認証 • NT ドメイン ⇒NTLM 認証（NT3.1） ⇒NTLMv2認証（NT4.0SP4、2000） • Active Directory ドメイン（2000以降） ⇒Kerberos認証 12

よくある誤解 • AD DS は Microsoft の特殊な実装ではありません • LDAP、DNS、Kerberos などの標準技術を組み合わせています • 仕様は Open specifications として公開されています • https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms- adts/d2435927-0999-4c62-8c6d-13ba31a52e1a • SAMBA によるオープンソース実装も利用できます • cf. https://wiki.archlinux.jp/index.php/Samba/Active_Directory_ドメ インコントローラ 13

Entra IDとActive Directory

Entra ID（旧称 Azure Active Directory） • クラウドベースの ID およびアクセス管理サービス • Azure Active Directory から（今年）改称 • 組織アカウント、ビジネスアカウントなどとも呼ばれる • Microsoft 365、Office 365、Azure、Dynamics CRM Online、 Power Platform のテナント＝Entra ID テナント • テナント ＝ 単一に管理されるユーザーとアプリケーションの範囲 15

AD DS vs Entra ID AD DS オンプレミス Kerberos デバイスの登録 Windows へのサインイン グループ ポリシー アクセス制御（オンプレミス） Entra ID クラウド 標準準拠の各種プロトコル SAML、WS-Federation、OpenID Connect、OAuth デバイスの登録 Windows へのサインイン ポリシー・MDM（Intune を経由して） アクセス制御（クラウド） 条件付きアクセス 16

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Entra ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウド認証（Entra ID 認証） • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 17

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Entra ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウド認証（Entra ID 認証） • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 18 NEW！

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Entra ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウドベースの SSO • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 19 Active Directory ピンチ！

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク（イントラネット）内の証明書管理 （当面は…） 20

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク（イントラネット）内の証明書管理 21 オンプレミスの AD DS が必要

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク（イントラネット）内の証明書管理 22 オンプレミスの AD 必要 Active Directory は死なず！

AD DS と Entra ID の連携 • Entra ID Connect / Entra ID Connect cloud sync • オンプレミス（AD DS）のディレクトリ オブジェクト （ユーザー・グループ）を Entra ID に複製・同期 • AD DS からの一方向同期（パスワード ハッシュのみ双方向可能） • Hybrid Entra ID Join（ハイブリッド Entra ID 参加） • AD DS が丸ごと Entra ID Join するイメージ • デバイスは AD DS に参加すると同時に Entra ID にも参加 • デバイスにサインインすることで Entra ID にもサインイン • オンプレミスでは AD DS 認証、クラウドは Entra ID 認証 23

これからの Active Directory

Active Directory のこれから • クラウド ファーストになっても Active Directory は無くなりません • オンプレミスの認証基盤は不要にならない • クラウド ベースに置き換え可能な機能は クラウド シフトが望ましい • AD FS、AD RMS、グループ ポリシー管理など • 将来的には AD CS も… 25

Windows Server vNEXT • Windows Server 2022 の次のバージョン • 現在開発中 • プレビュービルド提供中 • https://www.microsoft.com/en-us/software-download/windowsinsiderpreviewserver • Active Directory に新機能キタ～ッ！ 26

Windows Server vNEXT • Windows Server 2022 の次のバージョン • 現在開発中 • プレビュービルド提供中 • https://www.microsoft.com/en-us/software-download/windowsinsiderpreviewserver • Active Directory に新機能キタ～ッ！ 27 さっき、Windows Server 2025 になりました Introducing Windows Server 2025! - Microsoft Community Hub https://techcommunity.microsoft.com/t5/windows-server-news-and-best/introducing-windows- server-2025/ba-p/4026374

Windows Server 2025 28

What's new in Active Directory 29 https://www.youtube.com/watch?v=RHQDynRbvxg

Copilot に要約してもらいましたw 30

ドメイン/フォレスト機能レベルの追加 31 ※ Active Directory Lightweight Directory Service の機能レベルも追加されています

スキーマの追加 32

データベース フォーマットの強化 33 ESEデータベースのページサイズが 32KB に拡張 ※ 新しい DC は 32Kフォーマットが既定

NUMA サポート • NUMA：Non-Uniform Memory Access • 以前は、AD はグループ 0 の CPU のみを使用していました • Active Directory は 64 コアを超えて拡張できます 34 https://www.intel.com/content/www/us/en/developer/articles/technical/use-intel-quickassist-technology-efficiently-with-numa-awareness.html

レプリケーションの優先順位付け • ドメイン オブジェクトの複製（レプリケーション）の優先順位 を構成できるようになる 35

パフォーマンス カウンターの追加 • LSA 検索パフォーマンス カウンター • DC ロケーター パフォーマンス カウンター • LDAP クライアント パフォーマンス カウンター 36

セキュリティの強化 • 機密属性のセキュリティの強化 • チャネル バインド監査サポート • LDAP の暗号化の優先を既定に設定 • LDAP の TLS 1.3 サポート • レガシ SAM RPC パスワード変更のブロック • Kerberos の AES SHA256/384 サポート • Kerberos の PKINIT サポート 37

#ADIsNotDead 38

39 ありがとうございました • Murachi Akira aka hebikuzure​ • https://www.linkedin.com/in/akiramurachi/ • https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure