Slide 1

Slide 1 text

今更学ぶ Active Directory(2) Murachi Akira aka Hebikuzure 1

Slide 2

Slide 2 text

About me • Murachi Akira aka hebikuzure ( 村地 彰 ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

Slide 3

Slide 3 text

3 内容 (前回) • Active Directory とは何ですか • Entra IDとActive Directory • これからのActive Directory (今回) • AD DS と Entra Domain Services • AD 構築・構成のポイント (次回) • クラウド上の AD 構築

Slide 4

Slide 4 text

#ADIsNotDead 4

Slide 5

Slide 5 text

AD DS と Entra Domain Services

Slide 6

Slide 6 text

Azure での AD 利用 • オンプレミスの(既存の)ドメイン コントローラーに閉域網接 続を経由して接続して利用 • Azure VM でドメイン コントローラーを動作させて利用 • Azure 内で完結したドメイン • 閉域網接続でオンプレミスの(既存の)ドメインを拡張 • Entra ID Domain Services を利用 • Entra ID とのみ連携 • Entra ID Connect を経由してオンプレミスのドメインと連携 6

Slide 7

Slide 7 text

オンプレ AD を利用 7 オンプレミス AD DS 仮想ネットワーク 仮想ネットワーク ゲートウェイ

Slide 8

Slide 8 text

Azure VM の DC を利用 8 オンプレミス AD DS 仮想ネットワーク 仮想ネットワーク ゲートウェイ ドメイン コントローラー の役割の仮想マシン (オプション)

Slide 9

Slide 9 text

Entra ID Domain Services を利用 9 仮想ネットワーク Entra Domain Services の マネージド ドメイン

Slide 10

Slide 10 text

Entra Domain Services とは何ですか • Azure 上のマネージドな Domain Services (マネージドドメイン) • 従来の AD DS 機能のサブセット • 利用できる機能 • ドメイン参加 • グループ ポリシー • LDAP • Kerberos 認証 ・ NTLM/NTLMv2 認証 • Entra ID と統合されている 10

Slide 11

Slide 11 text

マネージドドメイン • Azure 上で利用できる AD DS のマネージドサービス • 仮想マシン、オペレーティングシステムの構成・管理無しで AD DS の(サブセット)機能を利用できる • サービスの背後で自動的に複数のドメインコントローラーが デプロイされる • 可用性ゾーンがサポートされている Azure リージョンでは自動的に ゾーン冗長で作成される 11

Slide 12

Slide 12 text

マネージド ドメインの利用 • 仮想ネットワークに接続して利用する 12 Virtual Network マネージド ドメイン VM VM VM VM

Slide 13

Slide 13 text

マネージドドメインのユースケース • Azure 上にクラウド化したサービスでの Kerberos/NTLM を用 いた SSO • Azure AD アカウントに対する LDAPS 接続の提供 • 以下のシナリオは非推奨 • オンプレミスの Windows のドメイン参加(オンプレAD DS の代替) • 負荷のかかる LDAP 処理の実行 13

Slide 14

Slide 14 text

Entra ID との統合 • Entra ID からマネージド ドメインへの同期 • バックグラウンドでの自動同期 • ユーザー・ユーザーグループ・パスワードハッシュ・SID の同期 14 Entra ID マネージドドメイン 自動同期

Slide 15

Slide 15 text

オンプレミス AD DSとの統合 • Entra ID Connect でオンプレミスAD DS を Entra ID への同期 • ユーザー・ユーザーグループ・パスワード・SID の同期 • Entra ID からマネージド ドメインへの同期 15 Entra ID マネージドドメイン オンプレミス AD DS 自動同期 Entra ID Connect

Slide 16

Slide 16 text

オンプレミスから同期されないもの • コンピューター アカウント • 組織単位(OU) • グループポリシー いずれも Entra ID に存在しないものなので、 Entra ID 経由の同期では同期できない 16

Slide 17

Slide 17 text

マネージドドメインの制限 • Domain Admins 権限が利用できない • グループポリシーの管理などの特権を要する一部の操作は、 代わりに “AAD DC Administrators” グループを利用 • 組み込み OU が AD DS と異なる • AADDC Computers マネージドドメインに参加しているすべてのコンピューターに関する コンピューターオブジェクトが含まれる • AADDC Users Entra テナントから同期されたユーザーとグループがすべて含まれる (メンバーの追加/削除はできない) 17

Slide 18

Slide 18 text

マネージドドメインの制限(2) • スキーマ拡張は行えない • 機能レベルの変更は行えない • シングルフォレスト/シングルドメイン構成のみ • 参考 • Microsoft のディレクトリ ベースのサービスを比較する - Microsoft Entra ID | Microsoft Learn 18

Slide 19

Slide 19 text

OU/ユーザーは作成できる • カスタム OU を追加作成できる • Entra ID からの同期以外のユーザーを作成できる 作成した OU/ユーザーはマネージドドメイン内 のみ有効 Entra ID や AD DS への反映(同期)は行われない • Microsoft Entra Domain Services の組織単位 (OU) を作成する - Microsoft Entra ID | Microsoft Learn 19

Slide 20

Slide 20 text

グループポリシーは構成できる • グループポリシーオブジェクトの作成・編集・リンクが可能 • マネージドドメイン用の組み込み GPO も用意されている • AADDC Computers GPO : AADDC Computers OU にリンク • AADDC Users GPO:AADDC Users OU にリンク • Default Domain Policy と Default Domain Controllers Policy は編集不可 20

Slide 21

Slide 21 text

カスタムポリシーの注意点 • 同期されたユーザーはカスタム OU に移動できないので、WMI フィルターやグループとセキュリティフィルターで頑張る • Create WMI Filters for the GPO | Microsoft Learn • Assign Security Group Filters to the GPO | Microsoft Learn • 参考 • Microsoft Entra Domain Services でのグループ ポリシーの作成と管 理 - Microsoft Entra ID | Microsoft Learn 21

Slide 22

Slide 22 text

同期の注意点 • オンプレミス AD DS とマネージドドメインのパスワード同期 では以下を同期する必要がある • NTLM パスワードハッシュ(AD の unicodePwd 属性) • Kerberos パスワードハッシュ(AD の supplementalCredentials 属性) • 通常の Entra ID Connect ではこれらは同期されない • Entra ID に送信されるのはパスワードハッシュの SHA256 ハッシュ • Entra ID Connect で追加作業が必要 • Microsoft Entra Domain Services でパスワード ハッシュ同期を有効 にする - Microsoft Entra ID | Microsoft Learn 22

Slide 23

Slide 23 text

(参考)パスワード同期の参考情報 • Microsoft Entra Connect 同期を使用してパスワード ハッシュ 同期を実装する - Microsoft Entra ID | Microsoft Learn • パスワードの技術概要 | Microsoft Learn • おまけ • Microsoft Entra IDからのNTハッシュのダンプ | Secureworks 23

Slide 24

Slide 24 text

オンプレミス AD との信頼関係 • マネージドドメインからオンプレミス AD に対して出力方向の フォレストの信頼を作成可能 • 逆向きの信頼は作成不可 24 マネージドドメイン オンプレミス AD DS 信頼関係

Slide 25

Slide 25 text

信頼関係のシナリオ • パスワードハッシュ同期を行わず、オンプレ AD アカウントで マネージドドメインのリソースにアクセスしたい • オンプレ AD でもっぱらスマートカード認証を行っていて、 ユーザーはパスワードを知らない • 参考 • チュートリアル - Microsoft Entra Domain Services でフォレストの信 頼を作成する - Microsoft Entra ID | Microsoft Learn 25

Slide 26

Slide 26 text

Entra Domain Services の価格 • Standard: 16,170.42円/月 • Enterprise: 43,121.10円/月 • Premium: 172,484.40円/月 • 参考 • 価格 - Microsoft Entra Domain Services | Microsoft Azure 26

Slide 27

Slide 27 text

参考情報 • Microsoft Entra Domain Services の概要 - Microsoft Entra ID | Microsoft Learn • Microsoft Entra Domain Services に関してよくあるご質問 - Microsoft Entra ID | Microsoft Learn 27

Slide 28

Slide 28 text

AWS の類似サービス • AWS Directory Service for Microsoft Active Directory • AWS Managed Microsoft AD - AWS Directory Service (amazon.com) • AWS Managed Microsoft AD の開始 - AWS Directory Service (amazon.com) • Windows Server 2019 ベースのマネージド サービス • オンプレミスADとの連携は信頼関係の作成 28

Slide 29

Slide 29 text

GCP の類似サービス • マネージド Microsoft AD • マネージド Microsoft AD の概要 | マネージド Microsoft AD のド キュメント | Google Cloud • Active Directory リソース フォレストをデプロイする | マネージド Microsoft AD のドキュメント | Google Cloud • オンプレミスADとの連携は信頼関係の作成 29

Slide 30

Slide 30 text

AD 構築・構成のポイント

Slide 31

Slide 31 text

ドメイン名 • 単一ラベルドメイン名を使わない • host、company などサフィックスを含まない名前 • インターネット レジストラーに登録したドメイン名(DNS ド メイン名)を利用する • example.com が登録されている場合、example.com や corp.example.com・tokyo.example.com • 予約語を使わない • 予約語の表 31

Slide 32

Slide 32 text

命名の参考情報 • ドメイン名を割り当てる | Microsoft Learn • コンピューター、ドメイン、サイト、OU の命名 - Windows Server | Microsoft Learn • Complying with Name Restrictions for Hosts and Domains | Microsoft Learn • Active Directory: Best Practices for Internal Domain and Network Names | Microsoft Learn 32

Slide 33

Slide 33 text

IP アドレス • ドメインコントローラーの IP アドレスは固定されていること • IP アドレスが変更されると以下のような問題が発生する • ドメインコントローラー間の複製に失敗する • クライアントがドメインコントローラーを見つけれなくなる • クライアントがドメインコントローラーの DNS を参照できなくなる • ドメインに参加するコンピュータから IP reachable でなければ ならない 33

Slide 34

Slide 34 text

DNS • ドメインネットワーク内の DNS は Active Directory 統合ゾー ンの DNS を利用する • ドメインコントローラー自身の DNS サーバーは自分以外のド メインコントローラーを指定 • ドメインに参加するクライアント/メンバーサーバーの DNS サーバー指定は必ずドメインコントローラーとする • 代替DNSであってもドメインコントローラー以外の指定は NG • IPv6 アドレスの DNS も指定しておかないとドメイン参加できない場 合有り 34

Slide 35

Slide 35 text

DNS の参考情報 • DNS と AD DS | Microsoft Learn • How DNS Support for Active Directory Works: Active Directory | Microsoft Learn 35

Slide 36

Slide 36 text

トラブルシュート情報 • Windows ベースのコンピューターをドメインに参加させると きに発生するエラーのトラブルシューティング - Windows Server | Microsoft Learn • DNS Server becomes an island - Windows Server | Microsoft Learn • ドメイン コントローラーの配置方法 - Windows Server | Microsoft Learn 36

Slide 37

Slide 37 text

#ADIsNotDead 37

Slide 38

Slide 38 text

38 ありがとうございました • Murachi Akira aka hebikuzure​ • https://www.linkedin.com/in/akiramurachi/ • https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure