Active Directoryについて学ぶ ~お試し構築~

サーバー

Active Directoryとは

Active Directoryって??

ActiveDirectoryという言葉をよく聞くが、私はActiveDirectoryを全く知らない。
Windowsを業務で使っている企業は導入されていることが多い?らしい。
人数が少人数であれば各マシンを設定すればいい話だが、台数が多くなると大変。
したがって、管理するリソースをまとめ、一元管理できるようにしたもの。
会社のリソースをディレクトリとしてわかりやすく管理出来る。

※初学習なので間違っているかもしれません。違う点があればご指摘くださいm(_ _)m

Kerberos認証

このチケットを使った認証の仕組みを「Kerberos認証」という。
ActiveDirectoryではWindowsServerがドメインコントローラーの役割を担い、
各リソースを一元管理する。
ActiveDirectoryにて認証を行い、ログインに成功するとチケットが発行され、各サーバにアクセスが可能になる。
各サーバへのアクセスはチケットにより認証が必要なくなる。
これをSSO(シングルサインオン)と呼ぶ。

用語

ドメイン

ActiveDirectoryではドメインという単位を使ってリソースを管理する。
このリソースにはユーザやグループ、マシンが含まれている。
ここには同じポリシーが設定される。

ドメインコントローラ

ActiveDirectoryのデータベースを管理するサーバのこと。
ドメインコントローラは冗長性の観点から2台以上は配置したい。
複数設置した場合は他のコントローラに複製される。

ドメインツリー

DNSのサブドメインと同じように子ドメインと親ドメインで信頼しあう。

フォレスト

独立したドメインツリー同士を信頼しあう。
ActiveDirectoryの中で最も大きい管理単位となる。

構築

試しにActiveDirectoryを設定してみる。
ドメインツリーやフォレストは行わない。
リソースやライセンスが足りないので構成は以下の通り。
ルートドメインは「ad01.izuminmin.com」を利用する。

DNSはWindowsServerと分離する。
win2019がドメインコントローラとなり、windows10proの2台を参加させる。
それぞれ違うユーザでログイン出来るようにしてみる。

エラーの排除

まずはWindowsServer(win2019)から設定をおこなう。
エディションはWindow Server 2019 Essentials

まずはIPアドレスを固定する。
これは通常のWindowsと変わらず、アダプターのオプションから設定。

続いて、サーバーマネージャーから設定を行う。
スタートメニューからサーバーマネージャーを起動。
ローカルサーバでエラーが出ており、見た目が悪いので修正する。

今回エラーが出ているのはMapsBrokerというサービス。
今回は必要ないので無効にする。
スタートメニューで「サービス」と入力して開き、
「Downlaoded Maps Manager」のプロパティから無効。

その後、サーバーマネージャー右上の更新ボタンから更新するとエラーは消える。

役割と機能の追加

サーバーマネージャーから役割と機能の追加をクリック

開始する前に画面。次へ

インストールの種類。そのまま次へ

自分自身のサーバーを選択して次へ

ActiveDirectoryドメインサービスにチェックを入れる。
ウィザードが出るので機能の追加をクリックして次へ。

機能の選択。そのまま次へ。

AD DS そのまま次へ

確認画面。正しければインストールをクリックし、インストールされるのを待つ。

インストールが完了すると「このサーバをドメインコントローラーに昇格する」と表示されるのでクリック。

配置場所を選択。上で確認したフォレストという単語が出てきている。
今回は初作成であり、フォレストは存在しないので新規で作成する。
ルートドメインはここでは「ad01.izuminmin.com」を登録した。

今回、DNSは外部のBINDを利用するためここでは無効化する。
ディレクトリサービス復元モードのパスワードを入力する。
このDSRMはADに問題が起きた際に復元モードとしてログインするときのパスワードらしい。

次にNetBIOSドメイン名をきめる。
これは今回のドメインの先頭部分である「AD01」を適用する。

パスはデフォルトで次へ進む。


確認し、次へ進む。

チェックに合格したのでインストールする。
インストール完了後、自動的に再起動される。

ホスト名変更

ここに来てホスト名を変更してなかったので変更。
サーバーマネージャーからコンピュータ名をクリック

変更をクリックし、変更する。

DNSサーバの設定

今回はBINDがDNSサーバとして動いているため、今回作成したドメインのレコードを登録する。

まずはname.confを編集する。

zone "ad01.izuminmin.com" IN {
        type master;
        file "ad01.izuminmin.com.zone";
};

次にZoneファイルを編集する。
アクティブディレクトリではSRVレコードが必要。

$TTL 3600
@                IN      SOA dns.ad01.izuminmin.com. root.ad01.izuminmin.com. (
                         2021031101 ; serial
                         3600       ; refresh 1hr
                         900        ; retry 15min
                         604800     ; expire 1w
                         86400      ; min 24hr
)

                                IN      NS      dns.ad01.izuminmin.com.
dns                             IN      A       192.168.2.1
win2019                         IN      A       192.168.1.200
_kerberos._tcp                  IN      SRV     0       0       88      win2019
_ldap._tcp                      IN      SRV     0       0       389     win2019
_kerberos._tcp.dc._msdcs        IN      SRV     0       0       88      win2019
_ldap._tcp.dc._msdcs            IN      SRV     0       0       389     win2019
ADに参加させるユーザを作成する。

Windows ServerのスタートメニューからActiveDirectoryユーザとコンピュータを選択。

ユーザーを追加する際にわかりやすいように組織単位(OU)を追加する。
今回は「ad01-users」とする。

続いてユーザを追加する。

ユーザ「user01」と「user02」を追加する。


今回はパスワードは固定にするので、パスワードは無期限にチェックを入れて次へ
※パスワードポリシーで記号、大文字が必要。

無事にユーザが追加された

ADに参加するクライアント設定

続いて、ADに参加する方法を確認する。
まずはホスト名を変える。
このPCの名前を変えるで名前を変える。

設定→アカウント→職場または学校にアクセスする
このデバイスをローカルのActiveDirectoryドメインに参加させるをクリック

再起動する。
起動するとADユーザとしてログインが可能。

ログインすると新しいユーザとしてログイン出来る。

ADユーザとしてログインに成功。

以上がADの追加からクライアント参加までの流れ。
初めて触ったのでわからないことが多かったが、少しイメージが湧いた。
今後もAzureと連携などいろいろ試してみたい。

タイトルとURLをコピーしました