Active Directory ドメイン サービスの概要
適用対象: Windows Server 2012
.jpeg "All_Symbols_Cloud")
|
Microsoft Azure は同様の機能をクラウドで実現します。Microsoft Azure ID ソリューションの詳細をご覧ください。 Microsoft Azure でのハイブリッド ID ソリューションの作成 |
Active Directory® ドメイン サービス (AD DS) サーバー役割を使用すると、スケーラブルで安全性および管理性に優れた、ユーザーおよびリソース管理のインフラストラクチャを構築できます。さらに、Microsoft® Exchange Server などのディレクトリ対応アプリケーションをサポートすることもできます。
このトピックでは、AD DS サーバー役割の大まかな概要について説明します。Windows Server 2012 の AD DS の新機能の詳細については、「Active Directory ドメイン サービス (AD DS) の新機能」を参照してください。
AD DS では、分散データベースにより、ネットワーク リソース、およびディレクトリ対応アプリケーションに固有のデータが保存、管理されます。 AD DS を実行するサーバーは、ドメイン コントローラーと呼ばれます。 管理者は、AD DS を使用して、ユーザー、コンピューター、その他のデバイスなどのネットワーク要素を、階層化された格納構造で管理できます。 階層化された格納構造は、Active Directory フォレスト、フォレスト内のドメイン、および各ドメイン内の組織単位 (OU) から構成されます。
ネットワーク要素を、階層化された格納構造で管理すると、次のような利点があります。
フォレストにより、組織を保護するセキュリティ境界を設けたり、管理者の権限の範囲を定義したりできます。 既定で、フォレストには 1 つのドメインが含まれます。このドメインは、フォレストのルート ドメインと呼ばれます。
フォレストに別のドメインを作成し、AD DS データをパーティション分割することができます。これにより、組織は必要なデータのみをレプリケートできるようになります。 また、使用できる帯域幅が限られているネットワーク上で、AD DS の全体的な規模を調整できます。 Active Directory ドメインでは、ネットワーク規模のユーザー ID、認証、信頼関係など、管理に関連する多数の重要な機能がサポートされています。
OU により、権限の委任を簡略化でき、多数のオブジェクトの管理が容易になります。 委任を使うと、所有者は、オブジェクトに対するフルまたは制限付きの権限を他のユーザーまたはグループに付与することができます。 この機能は、管理タスクを行うことが認められている複数のユーザーに対して、多数のオブジェクトの管理を割り当てることができるため重要です。
AD DS のセキュリティは、ログオン認証およびディレクトリ内のリソースに対するアクセス制御によって実現されています。 管理者は、シングル ネットワーク ログオンで、ネットワーク全体のディレクトリ データおよび組織を管理できます。 承認されたネットワーク ユーザーも、シングル ネットワーク ログオンで、ネットワーク内のあらゆるリソースにアクセスできます。 ポリシー ベースの管理により、複雑なネットワークの管理を容易に行うことができます。
さらに、AD DS には次の機能があります。
スキーマと呼ばれる一連の規則。スキーマにより、ディレクトリに含まれるオブジェクトのクラスと属性、それらのオブジェクト インスタンスの制限事項、およびオブジェクト名の形式が定義されます。
ディレクトリ内にある各オブジェクトの情報を含むグローバル カタログ。 ユーザーと管理者は、グローバル カタログを使用することで、ディレクトリ情報を検索できます。検索するデータが、ディレクトリ内のどのドメインに含まれているかは関係ありません。
クエリとインデックス機能。オブジェクトとそのプロパティが公開され、ネットワーク ユーザーやアプリケーションがそれらを検索できます。
ディレクトリ データをネットワーク内で分散するレプリケーション サービス。 ドメイン内の書き込み可能なドメイン コントローラーすべては、レプリケーションに参加し、所属するドメインの全ディレクトリ情報の完全なコピーを維持します。 ディレクトリ データへの変更は、ドメイン内のすべてのドメイン コントローラーに対してレプリケートされます。
操作マスターの役割 (フレキシブル シングル マスター操作または FSMO とも呼ばれます)。 操作マスターの役割を持つドメイン コントローラーには、整合性を維持し、ディレクトリでエントリが競合するのを避けるための特定のタスクが割り当てられます。
Active Directory ドメイン サービスを実行するための要件
この機能を使用するためには、どのようなハードウェア、ソフトウェア、または設定の構成が必要でしょうか? この役割を実行するための前提条件は何でしょうか? この役割/機能には特殊なハードウェアが必要でしょうか?
要件 |
説明 |
|---|---|
TCP/IP |
TCP/IP および DNS の適切なサーバー アドレスを構成します。 |
NTFS |
Active Directory ドメイン サービス (AD DS) のデータベース、ログ ファイル、SYSVOL フォルダーを格納するドライブは、ローカルの固定ボリューム上に配置されている必要があります。 SYSVOL は、NTFS ファイル システムでフォーマットしたボリューム上に配置する必要があります。 セキュリティ上の理由から、Active Directory データベースおよびログ ファイルは、NTFS でフォーマットしたボリューム上に配置することをお勧めします。 |
資格情報 |
新しい AD DS フォレストをインストールするには、サーバー上のローカル管理者である必要があります。 既存のドメインに追加のドメイン コントローラーをインストールするには、Domain Admins グループのメンバーである必要があります。 |
ドメイン ネーム システム (DNS) インフラストラクチャ |
DNS インフラストラクチャが配置されていることを確認します。 AD DS をインストールする際に、必要に応じて DNS サーバーのインストールを実施することもできます。 新しいドメインを作成すると、インストール処理中に DNS の委任が自動的に作成されます。 DNS 委任を作成するには、親 DNS ゾーンを更新するアクセス許可がある資格情報が必要です。 詳細については、"DNS オプション" ウィザードに関するページを参照してください。 |
Adprep |
Windows Server 2012 を実行する最初のドメイン コントローラーを既存の Active Directory に追加するために、adprep.exe コマンドが必要に応じて自動的に実行されます。 これらのコマンドには、追加の資格情報および接続要件があります。 詳細については、「Adprep.exe の実行」を参照してください。 |
読み取り専用のドメイン コントローラー (RODC) |
RODC をインストールするための追加要件:
詳細については、「Prerequisites for Deploying an RODC (RODC をデプロイするための前提条件)」を参照してください。 |
注意
DNS サーバーを例外として、一般に、ドメイン コントローラーで他のサーバー役割をホストすることはできません。
Active Directory ドメイン サービスの実行
Windows PowerShell を使用してこの役割を展開して構成する方法
Windows PowerShell® コマンド ライン インターフェイスの ADDSDeployment モジュールを使用して、AD DS をインストールして構成する手順については、「Windows PowerShell を使用して AD DS をインストールする」(https://go.microsoft.com/fwlink/?LinkId=222597) を参照してください。
この役割をマルチサーバー環境に展開して構成する方法
AD DS は、複数のドメイン コントローラー上で実行されるように設計されている分散サービスです。 AD DS を複数のドメイン コントローラー上にインストールして構成する手順については、「Windows PowerShell を使用して AD DS をインストールする」(https://go.microsoft.com/fwlink/?LinkId=222597) を参照してください。
この役割を仮想マシン上で実行する方法
Windows Server 2012 の AD DS には、仮想マシン上での実行に対し、仮想化された AD DS 環境の安全性と一貫性を確保するための保護機能があります。 AD DS を仮想マシン上で実行する方法の詳細については、「Hyper-V でのドメイン コントローラーの実行」(https://go.microsoft.com/fwlink/?LinkID=213293) を参照してください。
この役割の実行に関するセキュリティ上の注意事項
AD DS は、インストール後、セキュリティで保護されるように既定で設計されています。 ドメイン コントローラーの既定のセキュリティ設定、リスク、およびドメイン コントローラーを安全に運用する方法の詳細については、「Best Practice Guide for Securing Active Directory Installations (Active Directory のインストールをセキュリティで保護するためのベスト プラクティス ガイド)」を参照してください。
この役割をリモート管理するための特別な注意事項
AD DS をリモート管理するには、リモート サーバー管理ツール (RSAT) をインストールします。 RSAT には 32 ビット バージョンと 64 ビット バージョンがあります。 詳細については、「Windows 8 用のリモート サーバー管理ツール」(https://go.microsoft.com/fwlink/?LinkId=222628) を参照してください。
役割を Server Core インストール オプション上で管理するための特別な注意事項
AD DS は、Server Core インストールに、または最小サーバー インターフェイスを備えたサーバーにインストールでき、データ センターでの専用サーバー ロール、仮想ゲスト、リモート オフィスでの RODC などのように、オペレーティング システムのインストールのフットプリントを減らすことにメリットがある場合にお勧めします。 Windows Server 2012 以降では、Server Core インストールで動作するドメイン コントローラーを GUI を備えたサーバー インストール (フル インストールとも呼ばれます) に、またはその逆に、変換できます。
以前のバージョンの Windows Server で実行されている Server Core インストールからのアップグレードもサポートされていますが、以前のバージョンの Windows Server の Server Core インストールから GUI を備えたサーバー インストールに直接アップグレードする方法、または GUI を備えたサーバー インストールから Server Core インストールに直接アップグレードする方法はありません。 この場合は、Windows Server 2012 で同じインストールの種類に直接アップグレードし、アップグレード後に必要に応じて別のインストールに変換する必要があります。
詳細については、「Windows Server インストール オプション」を参照してください。
Active Directory ドメイン サービスの役割サービス
UNIX 用 ID 管理は、ドメイン コントローラーにのみインストールできる AD DS の役割サービスです。 NIS サーバーおよびパスワード同期という 2 つの UNIX 用 ID 管理テクノロジにより、Windows® を実行するコンピューターを既存の UNIX エンタープライズに統合しやすくなります。 AD DS 管理者は、NIS サーバーを使用して、ネットワーク情報サービス (NIS) ドメインを管理できます。 パスワード同期は、Windows オペレーティング システムと UNIX オペレーティング システムの間で自動的にパスワードを同期します。
役割サービスのテクノロジ |
役割サービスの説明 |
|---|---|
NIS サーバー |
Microsoft Windows ベースの Active Directory ドメイン コントローラーで UNIX の NIS (ネットワーク情報サービス) ネットワークを管理できるようになります。 詳細については、「NIS サーバーの概要」(https://go.microsoft.com/fwlink/?LinkId=222677) を参照してください。 |
パスワード同期 |
Windows と UNIX の両方の環境でのセキュリティで保護されたパスワードの保守作業を簡略化することにより、Windows ネットワークと UNIX ネットワークの統合を支援します。 詳細については、「パスワード同期の概要」(https://go.microsoft.com/fwlink/?LinkId=222676) を参照してください。 |