今更学ぶ Active Directory（２）

Slide 1

Slide 1 text

今更学ぶ Active Directory（２） Murachi Akira aka Hebikuzure 1

Slide 2

Slide 2 text

About me • Murachi Akira aka hebikuzure ( 村地彰 ) • 株式会社エクシードワン技術フェロー • 株式会社シーピーエス技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

Slide 3

Slide 3 text

3 内容（前回） • Active Directory とは何ですか • Entra IDとActive Directory • これからのActive Directory （今回） • AD DS と Entra Domain Services • AD 構築・構成のポイント（次回） • クラウド上の AD 構築

Slide 4

Slide 4 text

#ADIsNotDead 4

Slide 5

Slide 5 text

AD DS と Entra Domain Services

Slide 6

Slide 6 text

Azure での AD 利用 • オンプレミスの（既存の）ドメインコントローラーに閉域網接続を経由して接続して利用 • Azure VM でドメインコントローラーを動作させて利用 • Azure 内で完結したドメイン • 閉域網接続でオンプレミスの（既存の）ドメインを拡張 • Entra ID Domain Services を利用 • Entra ID とのみ連携 • Entra ID Connect を経由してオンプレミスのドメインと連携 6

Slide 7

Slide 7 text

オンプレ AD を利用 7 オンプレミス AD DS 仮想ネットワーク仮想ネットワークゲートウェイ

Slide 8

Slide 8 text

Azure VM の DC を利用 8 オンプレミス AD DS 仮想ネットワーク仮想ネットワークゲートウェイドメインコントローラーの役割の仮想マシン（オプション）

Slide 9

Slide 9 text

Entra ID Domain Services を利用 9 仮想ネットワーク Entra Domain Services のマネージドドメイン

Slide 10

Slide 10 text

Entra Domain Services とは何ですか • Azure 上のマネージドな Domain Services （マネージドドメイン） • 従来の AD DS 機能のサブセット • 利用できる機能 • ドメイン参加 • グループポリシー • LDAP • Kerberos 認証・ NTLM/NTLMv2 認証 • Entra ID と統合されている 10

Slide 11

Slide 11 text

マネージドドメイン • Azure 上で利用できる AD DS のマネージドサービス • 仮想マシン、オペレーティングシステムの構成・管理無しで AD DS の（サブセット）機能を利用できる • サービスの背後で自動的に複数のドメインコントローラーがデプロイされる • 可用性ゾーンがサポートされている Azure リージョンでは自動的にゾーン冗長で作成される 11

Slide 12

Slide 12 text

マネージドドメインの利用 • 仮想ネットワークに接続して利用する 12 Virtual Network マネージドドメイン VM VM VM VM

Slide 13

Slide 13 text

マネージドドメインのユースケース • Azure 上にクラウド化したサービスでの Kerberos/NTLM を用いた SSO • Azure AD アカウントに対する LDAPS 接続の提供 • 以下のシナリオは非推奨 • オンプレミスの Windows のドメイン参加（オンプレAD DS の代替） • 負荷のかかる LDAP 処理の実行 13

Slide 14

Slide 14 text

Entra ID との統合 • Entra ID からマネージドドメインへの同期 • バックグラウンドでの自動同期 • ユーザー・ユーザーグループ・パスワードハッシュ・SID の同期 14 Entra ID マネージドドメイン自動同期

Slide 15

Slide 15 text

オンプレミス AD DSとの統合 • Entra ID Connect でオンプレミスAD DS を Entra ID への同期 • ユーザー・ユーザーグループ・パスワード・SID の同期 • Entra ID からマネージドドメインへの同期 15 Entra ID マネージドドメインオンプレミス AD DS 自動同期 Entra ID Connect

Slide 16

Slide 16 text

オンプレミスから同期されないもの • コンピューターアカウント • 組織単位（OU） • グループポリシーいずれも Entra ID に存在しないものなので、 Entra ID 経由の同期では同期できない 16

Slide 17

Slide 17 text

マネージドドメインの制限 • Domain Admins 権限が利用できない • グループポリシーの管理などの特権を要する一部の操作は、代わりに “AAD DC Administrators” グループを利用 • 組み込み OU が AD DS と異なる • AADDC Computers マネージドドメインに参加しているすべてのコンピューターに関するコンピューターオブジェクトが含まれる • AADDC Users Entra テナントから同期されたユーザーとグループがすべて含まれる（メンバーの追加/削除はできない） 17

Slide 18

Slide 18 text

マネージドドメインの制限（２） • スキーマ拡張は行えない • 機能レベルの変更は行えない • シングルフォレスト/シングルドメイン構成のみ • 参考 • Microsoft のディレクトリベースのサービスを比較する - Microsoft Entra ID | Microsoft Learn 18

Slide 19

Slide 19 text

OU/ユーザーは作成できる • カスタム OU を追加作成できる • Entra ID からの同期以外のユーザーを作成できる作成した OU/ユーザーはマネージドドメイン内のみ有効 Entra ID や AD DS への反映（同期）は行われない • Microsoft Entra Domain Services の組織単位 (OU) を作成する - Microsoft Entra ID | Microsoft Learn 19

Slide 20

Slide 20 text

グループポリシーは構成できる • グループポリシーオブジェクトの作成・編集・リンクが可能 • マネージドドメイン用の組み込み GPO も用意されている • AADDC Computers GPO : AADDC Computers OU にリンク • AADDC Users GPO：AADDC Users OU にリンク • Default Domain Policy と Default Domain Controllers Policy は編集不可 20

Slide 21

Slide 21 text

カスタムポリシーの注意点 • 同期されたユーザーはカスタム OU に移動できないので、WMI フィルターやグループとセキュリティフィルターで頑張る • Create WMI Filters for the GPO | Microsoft Learn • Assign Security Group Filters to the GPO | Microsoft Learn • 参考 • Microsoft Entra Domain Services でのグループポリシーの作成と管理 - Microsoft Entra ID | Microsoft Learn 21

Slide 22

Slide 22 text

同期の注意点 • オンプレミス AD DS とマネージドドメインのパスワード同期では以下を同期する必要がある • NTLM パスワードハッシュ（AD の unicodePwd 属性） • Kerberos パスワードハッシュ（AD の supplementalCredentials 属性) • 通常の Entra ID Connect ではこれらは同期されない • Entra ID に送信されるのはパスワードハッシュの SHA256 ハッシュ • Entra ID Connect で追加作業が必要 • Microsoft Entra Domain Services でパスワードハッシュ同期を有効にする - Microsoft Entra ID | Microsoft Learn 22

Slide 23

Slide 23 text

（参考）パスワード同期の参考情報 • Microsoft Entra Connect 同期を使用してパスワードハッシュ同期を実装する - Microsoft Entra ID | Microsoft Learn • パスワードの技術概要 | Microsoft Learn • おまけ • Microsoft Entra IDからのNTハッシュのダンプ | Secureworks 23

Slide 24

Slide 24 text

オンプレミス AD との信頼関係 • マネージドドメインからオンプレミス AD に対して出力方向のフォレストの信頼を作成可能 • 逆向きの信頼は作成不可 24 マネージドドメインオンプレミス AD DS 信頼関係

Slide 25

Slide 25 text

信頼関係のシナリオ • パスワードハッシュ同期を行わず、オンプレ AD アカウントでマネージドドメインのリソースにアクセスしたい • オンプレ AD でもっぱらスマートカード認証を行っていて、ユーザーはパスワードを知らない • 参考 • チュートリアル - Microsoft Entra Domain Services でフォレストの信頼を作成する - Microsoft Entra ID | Microsoft Learn 25

Slide 26

Slide 26 text

Entra Domain Services の価格 • Standard： 16,170.42円/月 • Enterprise： 43,121.10円/月 • Premium： 172,484.40円/月 • 参考 • 価格 - Microsoft Entra Domain Services | Microsoft Azure 26

Slide 27

Slide 27 text

参考情報 • Microsoft Entra Domain Services の概要 - Microsoft Entra ID | Microsoft Learn • Microsoft Entra Domain Services に関してよくあるご質問 - Microsoft Entra ID | Microsoft Learn 27

Slide 28

Slide 28 text

AWS の類似サービス • AWS Directory Service for Microsoft Active Directory • AWS Managed Microsoft AD - AWS Directory Service (amazon.com) • AWS Managed Microsoft AD の開始 - AWS Directory Service (amazon.com) • Windows Server 2019 ベースのマネージドサービス • オンプレミスADとの連携は信頼関係の作成 28

Slide 29

Slide 29 text

GCP の類似サービス • マネージド Microsoft AD • マネージド Microsoft AD の概要 | マネージド Microsoft AD のドキュメント | Google Cloud • Active Directory リソースフォレストをデプロイする | マネージド Microsoft AD のドキュメント | Google Cloud • オンプレミスADとの連携は信頼関係の作成 29

Slide 30

Slide 30 text

AD 構築・構成のポイント

Slide 31

Slide 31 text

ドメイン名 • 単一ラベルドメイン名を使わない • host、company などサフィックスを含まない名前 • インターネットレジストラーに登録したドメイン名（DNS ドメイン名）を利用する • example.com が登録されている場合、example.com や corp.example.com・tokyo.example.com • 予約語を使わない • 予約語の表 31

Slide 32

Slide 32 text

命名の参考情報 • ドメイン名を割り当てる | Microsoft Learn • コンピューター、ドメイン、サイト、OU の命名 - Windows Server | Microsoft Learn • Complying with Name Restrictions for Hosts and Domains | Microsoft Learn • Active Directory: Best Practices for Internal Domain and Network Names | Microsoft Learn 32

Slide 33

Slide 33 text

IP アドレス • ドメインコントローラーの IP アドレスは固定されていること • IP アドレスが変更されると以下のような問題が発生する • ドメインコントローラー間の複製に失敗する • クライアントがドメインコントローラーを見つけれなくなる • クライアントがドメインコントローラーの DNS を参照できなくなる • ドメインに参加するコンピュータから IP reachable でなければならない 33

Slide 34

Slide 34 text

DNS • ドメインネットワーク内の DNS は Active Directory 統合ゾーンの DNS を利用する • ドメインコントローラー自身の DNS サーバーは自分以外のドメインコントローラーを指定 • ドメインに参加するクライアント/メンバーサーバーの DNS サーバー指定は必ずドメインコントローラーとする • 代替DNSであってもドメインコントローラー以外の指定は NG • IPv6 アドレスの DNS も指定しておかないとドメイン参加できない場合有り 34

Slide 35

Slide 35 text

DNS の参考情報 • DNS と AD DS | Microsoft Learn • How DNS Support for Active Directory Works: Active Directory | Microsoft Learn 35

Slide 36

Slide 36 text

トラブルシュート情報 • Windows ベースのコンピューターをドメインに参加させるときに発生するエラーのトラブルシューティング - Windows Server | Microsoft Learn • DNS Server becomes an island - Windows Server | Microsoft Learn • ドメインコントローラーの配置方法 - Windows Server | Microsoft Learn 36

Slide 37

Slide 37 text

#ADIsNotDead 37

Slide 38

Slide 38 text

38 ありがとうございました • Murachi Akira aka hebikuzure • https://www.linkedin.com/in/akiramurachi/ • https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure