KENスクールブログ | パソコン教室・パソコン講座なら個別指導のKENスクール

BLOGKENスクールブログ

  1. KENスクール TOP >
  2. KENスクールブログ > ネットワーク > MCSA資格対策:ActiveDirectory

KENスクールの動画配信サービス「KEN×ONLINE」

マイクロソフト認定資格である「MCSA:Windows Server 2012」出題範囲における技術について、定期的にご紹介します。
「MCSA:Windows Server 2012」資格は【70-410】【70-411】【70-412】の3つの試験に合格することで取得することができます。
今回は【70-410:Windows Server 2012のインストールおよび構成】の出題範囲の 『ActiveDirectory』 についてご紹介します。

組織でWindows Serverを導入する大きな目的として、Active Directoryドメインサービス(AD DS)を利用してユーザーアカウントの集中管理などを行うことが挙げられます。
Active Directoryは、Windows 2000 Serverから導入されたディレクトリサービスです。
ここでは、Active Directoryがどのようなものかといった概要を紹介していきます。

ディレクトリサービスとは

「ディレクトリサービス」とはネットワークシステムで使用するユーザーやコンピューター、共有資源(ファイルやプリンタ等)などのさまざまな情報をデータベースで管理し、容易に検索できるようにした仕組みです。
電話番号案内などと同様に、あいまいな条件(名前や場所、機能等)でユーザーやコンピューター、共有資源(ファイルやプリンタ等)を容易に検索できます。
ディレクトリサービスを利用することで、管理者は情報の一括管理をすることができます。またユーザーも必要な情報を簡単に調べることができるようになります。

pic-20160802_01

またWindows Serverでは、LDAPという仕組みを使ってディレクトリサービスを提供しています。

LDAP

LDAP(Lightweight Directory Access Protocol)は、ディレクトリサービスに接続するためのプロトコルです。
LDAPでは、ディレクトリ構造を持った識別名(DN)によってオブジェクトを示すようになっており、オブジェクトを検索する際にはこの「DN」を指定します。

pic-20160802_02

例えば、「sample.com」というドメインの、「総務」組織単位内の「人事」組織単位で管理されている、「yamada taku」という名前のユーザーを表現する場合は、次のようになります。
cn=yamada taku,ou=人事,ou=総務,dc=sample,dc=com
※ cnは「Common Name」、ouは「Organizational Unit」、dcは「Domain Component」の略です。

また、「sample.com」ドメインの「総務」組織単位で管理されている、「pc01」という名前のコンピューターを表現する場合は、次のようになります。
cn=pc01,ou=総務,dc=sample,dc=com

LDAPの名前付け規約はDNSの名前付け規約に準拠しており、LDAPを使ったディレクトリサービスを利用する際には、名前解決を利用できることが必須条件です。

Windows Server では、ディレクトリサービスの機能がいくつかにまとめられており、その中の基幹サービスとなるものを「Active Directoryドメインサービス(AD DS)」と呼んでいます。
Active Directoryドメインサービスでは、ユーザーアカウントの集約や管理単位の構成などを行うことができます。

Active Directoryドメインサービスの構造

Active Directoryドメインサービスは、以下の論理構造を用いてネットワーク上の情報を管理しています。

pic-20160802_03

pic-20160802_04

ドメインコントローラー(DC)の役割

「ドメインコントローラー(DC)」は、Active Directoryドメイン内のユーザーアカウント管理やセキュリティポリシーを管理し、ユーザー認証を行うための専用サーバーです。

pic-20160802_05Active Directoryでは、フォレスト内に1つ以上のドメインコントローラーを設置しなければならず、大規模システムではサーバーの負荷軽減および可用性確保のために複数台設置するのが一般的です。

Active Directoryのドメインコントローラーは、それぞれのディレクトリデータベースの内容を、他のドメインコントローラーへ自動的に複製(レプリケーション)する機能を持っています。

またドメインコントローラーが複数台存在する場合、どのドメインコントローラー上でも変更を行うことができ、変更内容は必ず他のドメインコントローラーに複製が行われます。

この機能によって、それぞれのドメインコントローラーが互いに自分と相手のディレクトリデータベースの相違点を洗い出し、必要な情報だけをやり取りします。 このような複製の機能を「マルチマスタレプリケーション」といいます。

AD DSのレプリケーションは、次のオブジェクト操作が行われると実行されます。

  • オブジェクトの作成(ユーザーアカウントやコンピューターアカウントの作成など)
  • オブジェクトの変更(ユーザーアカウントの属性の変更や、組織単位(OU)名の変更や移動など)
  • オブジェクトの削除(ユーザーアカウントやグループアカウントの削除など)

Active Directoryドメインサービスの導入

Active Directoryドメインサービスの導入自体は、専用のウィザードによって行うことができるため、さほど難しい作業ではありません。
しかし、導入したActive Directoryドメインサービスの構成を、後から変更するのは非常に大変なため、ネットワークやサーバーの配置、フォレストおよびドメインの構成などを、予め計画しておく必要があります。
Active Directoryドメインサービスの導入作業は、一般的に次のような手順で行います。

pic-20160802_06

Active Directoryの管理ツール

Active Directoryドメインサービスをインストールし、ドメインコントローラーとして設定したコンピューターには、Active Directoryを管理するためのツールが追加されます。

Active Directoryユーザーとコンピューター

Active Directoryドメインのユーザーやコンピューター、組織単位等のオブジェクトの追加や削除等の管理を行うツールです。
以下は、Windows Server 2012 / R2の画面になります。

pic-20160802_07

いかがでしたでしょうか。WindowsServerを導入しようと思っていらっしゃいましたら、ぜひ参考にして下さいね。

 

この記事に関連する講座

情報システム管理のデファクトスタンダード

詳しくはこちら