ドメインコントローラ
目次
Windowsネットワークの中心にあるドメインコントローラー
ユーザーが会社のPCにドメインアカウントでサインインしたり、共有プリンターに印刷したり、ファイルサーバーを開いたりするとき、あるコンポーネントが静かに「許可」または「拒否」を決定する。 ドメインコントローラ.
ユーザーIDを保存し、パスワードを検証し、Windowsドメイン全体のセキュリティールールを実施する。.
ドメインコントローラーが停止すると、ログオンが停止し、ディスク上にデータがまだ存在していても、共有リソースに到達することが困難になる。.
コアコンセプトドメイン、ディレクトリ、認証
A ドメイン は、ユーザー、コンピュータ、リソースを1つのルールの下にグループ化するセキュリティ境界である。.
それらを説明するディレクトリは アクティブ・ディレクトリ・ドメイン・サービス(AD DS).
A ドメインコントローラ は、AD DSを実行し、認証要求に応答するWindowsサーバーである。.
ディレクトリ・データベースの書き込み可能なコピーを保持し、クライアントから “このユーザーは誰ですか?”“このユーザーは何ができますか?”と尋ねられたときに応答する。”
ドメインコントローラーの日常業務
ドメインコントローラーは、誰かがネットワークを使用するたびに、いくつかの重要なタスクを処理する。.
主な機能
対話型ログオンおよびシングルサインオン時に認証情報を検証する
Kerberosチケットの発行とセキュリティトークンの管理
グループポリシーをユーザーとコンピュータに適用する
ユーザー、グループ、OUなどのADオブジェクトの保存と複製
監査人が後で確認するセキュリティイベントをログに記録する
DCはトラスト・パスに位置するため、ユーザーがファイル・サーバー、アプリケーション、バックアップ・システムに安全にアクセスする方法に直接影響する。.
ドメインコントローラ、Active Directory、DNS:これらの関係
ドメインコントローラとActive Directoryの比較
Active Directoryはディレクトリサービスとデータベースである。.
ドメインコントローラーは、ドメインのこのサービスをホストするサーバーである。.
AD DSは情報、スキーマ、ルールであり、ドメインコントローラはその情報を保存し、複製し、クライアントの要求に答えるマシンであると考えることができる。.
ドメインコントローラーとDNSサーバーの比較
ドメインコントローラは DNS サービスを探す.
多くの環境では、同じWindows ServerインスタンスがAD DSとDNSの両方を実行している。.
DNSの役割は、ホスト名をIPアドレスに変換し、クライアントがドメインコントローラーを見つけるのに役立つサービスレコード(SRV)を公開する。.
DCはIDを処理し、DNSサービスは名前解決を処理する。.
ドメインコントローラーの種類
管理者は、基礎となるOSがWindows Serverのままであっても、いくつかの機能タイプの ドメインコントローラーを使用する。.
一般的なカテゴリーには以下のようなものがある:
書き込み可能なドメインコントローラ: 変更を受け入れ、それを複製する標準的なDC。.
読み取り専用ドメインコントローラー(RODC): 多くの場合、物理的なセキュリティが弱い支社で使用される。.
FSMOのロールホルダー: PDCエミュレーター、RIDマスター、スキーママスターなどの特別な役割を持つDC。.
グローバル・カタログ・サーバー: フォレスト内のすべてのオブジェクトの部分的なレプリカを保存し、高速な検索とログオンを可能にする。.
設計の選択は、セキュリティ、WANの品質、組織のサイト数によって決まる。.
必要なドメインコントローラーの数を計画する
通常、冗長性のためにドメインごとに少なくとも2つのドメインコントローラーを配置する。.
片方のサーバーに障害が発生しても、もう片方のサーバーはユーザーの認証とポリシーの適用を継続する。.
DC数に影響を与える要因:
ユーザー数とコンピューター台数
物理的なサイトとWANリンクの数
ログオンとアプリケーションのロード
ダウンタイムへの耐性
小規模な組織では、1つのサイトで2つのDCを運用することがよくある。.
大規模な環境では、サイトごとにDCを追加し、単一障害点を避けるためにFSMOの役割を分散させる。.
ドメインコントローラとデータ保護
ドメイン・コントローラーはユーザー・ドキュメントを保存しないが、誰がそのドキュメントにアクセスできるかを制御する。.
DCに障害が発生した場合、ファイルサーバーはオンライン状態のまま、ドメインユーザーは認証できない可能性がある。.
リカバリーの観点から、あなたは計画を立てる:
システム状態のバックアップ 各ドメインコントローラの
DCをリストアし、USNのロールバックを処理する手順をテストした。
AD統合DNSゾーンの保護
エンドポイントレベルでは Amagicsoftデータ復旧 ユーザがローカルファイルや共有ファイルを紛失した場合、DCはIDやアクセス制御を提供し続ける。.
IDリカバリーとファイル・リカバリーを合わせると、完全なレジリエンス・プランとなる。.
Windows 7/8/10/11およびWindows Serverをサポート
実務管理チェックリスト
管理者は日常的な作業でドメインコントローラーの信頼性を向上させることができる。.
推奨される行動
冗長ストレージを備えた安定したハードウェアまたは仮想プラットフォーム上にDCを維持する
WindowsサーバーとADコンポーネントに速やかにパッチを当てる
レプリケーションの健全性とイベントログを監視する
隔離されたラボでのシステム状態のバックアップとリストアのテスト
厳格なアクセス制御と専用の管理者アカウントによるDCの保護
ディレクトリが健全に保たれているとき、, データ復旧 メンバーのサーバーやワークステーションでの作業は、より簡単になる。.
Windows 7/8/10/11およびWindows Serverをサポート。.
よくある質問
ドメインコントローラーは何に使うのか?
Active Directoryとドメインコントローラーの違いは何ですか?
ドメインコントローラーにはどのような種類がありますか?
ドメインコントローラーとDNSサーバーの違いは何ですか?
ドメインコントローラーの別の名前は何ですか?
ドメインコントローラーは何台必要ですか?
ドメインコントローラーの役割は何ですか?
ドメインコントローラーは必要ですか?
DNSとは何か、なぜ使われるのか?
ドメインコントローラーの例とは?
ドメイン名は誰のもの?
