【ActiveDirectory】サイト間の変更通知を有効化する

これ知らなかった。
サイト内のドメインコントローラーに対しては、アカウントロックやパスワード変更などが発生すると、15秒を待たずに緊急複製が行われる。
しかし、サイト外のドメインコントローラーには、緊急複製は行われずに通常と同様のサイトリンクのスケジュールに従ってレプリケーションされる。
サイト外ドメインコントローラーにも緊急複製を行う場合、変更通知機能を有効にする必要がある。

サイトとサービス→変更通知を有効にするサイトリンク

「USE_NOTIFY」とひょじされていればOK。

【ActiveDirectory】サイト作成

サイト作成方法を忘れている不届きものなので、反省として書きます。
TokyoとOsakaということで作ります。

TOKYOサイト作成

OSAKAサイト作成

TOKYO-OSAKAサイトリンク作成

それぞれ2台ともグローバルカタログサーバであることを確認
検索処理の可用性のために各サイト1台は作るとよいみたい

各ADサーバをTOKYO、OSAKAへ移動
サーバーオブジェクトを右クリ→移動



【ActiveDirectory】ADFSサーバ構築でつまずいたところ

検証&勉強のためにADFSをオンプレで作りました。WAPは作っておりません。
WindowsServer2016で構築。
忘れないようにとりあえず、メモっておこう。
あまりさらさないほうが良いきもするけど、画像にマスクするのが面倒くさいのでそのまま張ってしまう!

今回のフェデレーションサービス名は「chaseoffice365.neoultimate.black」ということになる。
フェデレーションサービス名とAzureADのディレクトリ名がごっちゃになりがちだけれど、基本的にフェデレーションサービス名しか設定しないという風に覚えておくとよいかも。

・Office365で別名ドメインで紐づけをしておく
登録時にDNSをチェックされるので、ドメインを契約しているDNSサーバにレコードを足す

・サーバ証明書のオブジェクト名は「sts.フェデレーションサービス名」

・「sts.フェデレーションサービス名」のDNSレコードを作ってADFSサーバのIPアドレスをAレコードで登録

・ログインさせたいユーザは、ユーザーログオン名の箇所をフェデレーションサービス名に合わせる

・最後、動作確認でOffice365にログインすると、証明書エラーが出たけどこのせい?

こちらのサイトを参考にさせていただきました。ありがとうございます。
https://miya1beginner.com/office365-federationid-adfs1

【ActiveDirectory】共有フォルダをActiveDirectoryのオブジェクトとして登録する

共有フォルダをActiveDirectoryに登録することで、ドメインメンバサーバ、クライアントPCから探しやすくすることができる。
初めて知ったのでメモっておこう。

まず、共有フォルダを作ります

ActiveDirectoryユーザーとコンピュータ→新規作成→共有フォルダ

必要に応じて、キーワードを登録しておくと探しやすくなる

クライアントからエクスプローラ→ネットワークを開く

ネットワークタブ→ActiveDirectoryの検索を選択

設定したキーワードで検索すると表示される

ネットワークパスをコピーして、エクスプローラで開く

検索してからクリックとかでネットワークデバイスとして追加されるわけではないんだね。

【ActiveDirectory】NetBIOSドメインとDNSドメインの違い

今日はActiveDirectoryのお勉強をする。

「test.local」というActiveDirectoryのドメインを例に考えてみる。
「test」と「test.local」は異なるもの。「test」は、NetBIOSドメイン名で、「test.local」はDNSドメイン名にあたるよ

ドメイン参加させるときに、「test」でも「test.local」でも、どちらでもドメイン参加できることがほとんどだと思う。
なぜなら、「test」はブロードキャストでの名前解決になるため、同一セグメントにADサーバがあれば、成功する。
一方で、「test.local」は、DNSサーバをADサーバに指定していれば、ADサーバ自身が名前解決をして、成功する。

ドメインの種類 名前解決の方法
test NetBIOSドメイン名 ブロードキャスト、Imhosts、WINS
test.local DNSドメイン名 DNS、hosts

結果、どっちでもいいんじゃね。と思われがちだけど、そうでもない。

「test.local」を入力して、ドメイン参加すべきなんだね。
なぜならば、ActiveDirectoryでは、すべてのコンピュータがDNSを利用して名前解決をして、ドメインを探すことができることが前提としているから。「test.local」でドメイン参加できるということは、つまりDNSによる名前解決のテストにもなっているんだね。

「「test.local」を入れて失敗した。「test」を入れたら成功した。」というパターンがあったとする。
これはとてもまずいことなんだね。DNSでの名前解決ができないと、Kerberos認証を使うことができないため、後々様々なトラブルを引き起こしてしまう可能性があるんだね。

逆パターンはOK。DNSでの名前解決成功という前提条件をクリアしているからだね。

【Active Directory】複数のUPNサフィックス構成

Active Directory環境においてユーザーの表記形式には次のようなものがあり、どちらの方法でもドメインへのログインができる。

・ドメイン名\ユーザー名(chase\administrator)
・ユーザー名@ドメイン名(administrator@chase.local)

このうち、ユーザー名@ドメイン名の記述方法をUPN(User Principal Name)といい、@より後ろの部分をUPNサフィックスという。
たとえばドメイン名が長かったら、osaka.west.contoso.comだったら毎回入力するのが大変。
だから、新しく短いUPNサフィックスを定義することで、短い入力でログインできるようになる。

サーバー側でActive Directoryドメインと信頼関係からプロパティを開き、別名を定義

 

対象ユーザのUPNサフィックスを変更

 

変更後のUPNサフィックスでログインできるかチェック


【Active Directory】FSRとDFS-R

Active Directoryインストール時に、SYSVOL共有フォルダがドメインことローラー上に作成される。
SYSVOLには、ログイオンスクリプト用ファイルや、グループポリシー設定ファイル等が格納されている。
同一ドメイン内のドメインコントローラは、FSRかDFS-RのレプリケーションによりSYSVOLを複製している。

・FSR(ファイル複製サービス)
以前から使用されていたレプリケーションサービスで、SYSVOLのレプリケーションを行う。
Windows Server 2016でも引き続き使用可能。

・DFS-R(分散ファイルシステム複製)
Windows Server 2003 R2からサポートされたファイルレプリケーションサービスで、Windows Server 2008からSYSVOLのレプリケーションにも使用されている。
DFS-Rを使用すると、SYSVOLをより高速でセキュアにレプリケーションすることができ、ドメイン機能レベルがWindows Server 2008以上に設定する必要がある。

なので、Active Directoryデータベースのレプリケーションとは別に、ファイルシステムのレプリケーションはDFS-Rでやってる。
というのは、ちょっとAD噛んでないと分からないことのような気がする。現に運用保守で触ってた時はこんなの意識してなかったしね。

【Active Directory】Active Directoryデータベーススナップショット

Active Directoryでは、過去のデータベースの状態を保存できるスナップショット機能がある。
スナップショットを作成しておくと、その時点の属性情報を確認できるので、廃棄済みオブジェクトやリサイクル済みオブジェクトを回復した後、消去されてしまった属性を主導で再設定する際に便利。
スナップショットは過去のある一時点のデータベースを参照するだけなので、属性を自動的に取り込むようなことはできない。

Active Directoryデータベースのスナップショットの作成から接続までの流れは、以下の通り。
① スナップショットの作成
② スナップショットのマウント
③ スナップショットの公開
④ スナップショットへ接続

 

① スナップショットの作成 & ② スナップショットのマウント

Cドライブにマウントされている

 

③ スナップショットの公開

 

④ スナップショットへ接続



 

スナップショット公開時のポートは389以外を指定する。通常のActive Directoryデータベースへの接続は389おldapで行われているから。
そういえば、以前のプロジェクトでAD移行担当だったけど、移行時にテンポラリOU作ってそこに削除対象のオブジェクトを突っ込んで、安定稼働したら消すっていうのをやってた。
消す前にこういうスナップショット取っておくといいんだろうなって思いました。

【Active Directory】GPOを管理するための権限

GPOを管理するには権限が必要で、GPOの作成、編集、リンクなどの管理操作を行うためには、権限を持ったグループのメンバーであるか、個別に権限を与える必要がある。
サイトへリンクを行う場合、Enterprise AdminsかフォルストルートドメインのDomain Adminsメンバーである必要がある。

操作 グループ 個別の権限を付与する場所
作成 Domain Admins
Enterprise Admins
Group Policy Create Owners
「グループポリシーオブジェクト」の「委任」タブ
編集 Domain Admins
Enterprise Admins
GPOの選択時の「委任」タブ
リンク Domain Admins
Enterprise Admins
ドメイン、OU、サイト選択時の「委任」タブ

・「グループポリシーオブジェクト」の「委任」タブ

・GPOの洗濯時の「委任」タブ

・ドメイン、OU、サイト選択時の「委任」タブ

【Active Directory】パスワードレプリケーションポリシーは拒否判定のほうが強い

以下では、User2がAllowd RODC Password Replication Groupに所属しているからパスワードキャッシュが効くと思いきや、バイネームで拒否設定が入っていので、どっちが勝つのかなという疑問。

結果として、拒否設定のほうが強いので、パスワードキャッシュされなくなる。ということみたい。
こういう競合しそうな設定はセキュリティ的な観点からか、やっぱりできないほうが勝つようになっているのが王道なんだろう。って思った。