連載
第3回 強化されたActive Directory:Windows Server 2012クラウドジェネレーション(1/3 ページ)
Windows Server 2012のActive Directoryはドメイン・コントローラの仮想化や複製による展開にも対応。ごみ箱ツールがGUI化され、PowerShellやパスワード・ポリシー対応も強化されたActive Directory管理センターにも注目だ。
今回の記事は、ベータ版に基づいた以前の記事を、RTM版をベースにして加筆・修正したものです。
前回は新しいサーバ・マネージャの使い方について解説したが、今回からはServer 2012の個別の機能について解説していく。今回はActive Directory関連の機能強化点について解説する。
Windows Server 2012のActive Directoryの概要
Windows Server 2012におけるActive Directory関連の主な新機能や機能強化点をまとめると次のようになる。細かい機能追加や改良が多いが、大きなものとしてはドメイン・コントローラ(以下DC)の仮想環境対応とPowerShellによる管理機能の強化、そしてActive Directory管理センターの強化がメインだろうか。特に仮想マシン上でもDCが問題なく動作するようになったことは、大きな改善といえる。
機能 | 概要/強化点 |
---|---|
簡素化されたドメイン導入ウィザード | Active Directory ドメイン・サービス(AD DS)の導入処理が簡素化され、事前に個別のツールやdcpromo.exeコマンドを手動で実行する必要はない。Active Directoryドメインを導入するには、サーバ・マネージャからウィザードを起動する |
AD DS のインストール処理に統合された事前準備処理 | Active Directoryを導入する前には、adprepコマンドで既存ドメインに対して事前チェックを行ったりスキーマを拡張したりする必要があるが、Windows Server 2012のActive Directoryではこれらの処理がドメインの導入ウィザードに統合され、個別に実行する必要がない |
Active Directory導入ウィザードのリトライ処理 | ネットワークの構成によってはDCへの昇格が失敗することがあったが、Windows Server 2012ではリトライ回数を増やすなどして、失敗しにくくしている |
AD FS 2.1 | ダイナミック・アクセス制御と統合されたActive Directory Federation Service(AD FS)2.1もサーバの役割で導入可能 |
PowerShellサポートの強化 | ADDSDeploymentモジュールが追加されるなど、PowerShellのActive Directory関連の機能が強化された。これにより、Active Directoryドメイン・サービス役割の導入や削除からドメイン/フォレストの作成、展開、管理など、ほとんどすべてのActive Directory関連の処理をGUIのツールを使わずにPowerShellでスクリプト化して処理できるようになった。特に大量展開の場合などに有用。Active Directory関連のコマンドレット数は、Windows Server 2008 R2では76個だったのに対して、Windows Server 2012では145個に増えている(Active Directoryモジュールのコマンドレットが135個、ADDSDeploymentモジュールのコマンドレットが10個) |
ドメイン導入ウィザードでのPowerShellスクリプトの出力 | ドメイン導入ウィザードの最後でPowerShell用スクリプトが出力されるので、これを参考にほかのドメインの導入や再セットアップなどが可能 |
Active Directory導入作業関連の新機能
機能 | 概要/強化点 |
---|---|
Active Directory管理センターの強化 | Active Directory管理センターの機能が強化され、Active Directoryごみ箱やパスワード・ポリシー、PowerShellスクリプトなどが使えるようになった |
Active Directoryごみ箱のGUIサポート | Windows Server 2008 R2ではActive Directoryのごみ箱機能が導入されたが、PowerShellで操作するなどの処理が必要だった。Windows Server 2012のActive Directory管理センターではごみ箱機能がサポートされ、GUIで操作できるようになった |
PowerShell履歴 | Active Directory管理センターでユーザーが行った操作はPowerShellによって実行されているが、実行したPowerShellのコマンドレットの履歴を確認できるようになった。管理者が自分でPowerShellを利用する場合の参考にできる |
細かい設定が可能なパスワード・ポリシーのGUI | Windows Server 2008で導入された「細かい設定が可能なパスワード・ポリシー」を使うと、ドメイン内で複数のパスワード・ポリシーを設定できるが、これを設定するためのGUI画面がActive Directory管理センターに用意された |
Group Managed Service Accounts(gMSA) | Windows 7/Windows Server 2008 R2で導入されたManaged Service Account(MSA。管理されたサービス・アカウント)をドメイン全体で利用できるようにしたもの |
PowerShellによるActive Directoryの複製やトポロジー管理 | Active Directoryの複製やサイト・トポロジーの管理などがすべてPowerShell上で実行可能。いままでのように多数のコマンド(repadmin、ntdsutil、Active Directoryサイトとサービスなど)を使わなくてもよい |
Active Directoryベースのアクティベーション(Active Directory-based Activation:AD BA) | 従来のKMS(Key Management Service)サーバではなく、Active Directoryを使ったボリューム・ライセンス製品のアクティベーションが可能になった。特別なサーバなどを用意せずともActive Directoryでアクティベーションできる。ただし現在サポートされているアクティベーション可能な製品は、Windows 8とWindows Server 2012、Office 2013のみ。これを利用するためには、Active Directoryのスキーマ・レベルがWindows Server 2012になっている必要がある。なおWindows Server 2012にはKMS役割サービスもあらかじめ用意されているので、KMSが必要な場合でも別途ダウンロードする必要はなくなった |
ダイナミック・アクセス制御 | 動的なアクセス権機能。従来の静的なアクセス権(アクセス制御リスト)では実現が困難なアクセス制御を行える。例えば、同じユーザーであっても特定の属性(社員かどうかなど)を持つユーザーなら許可し、そうでなければ拒否するといった規則を定義できる。従来は複数のセキュリティ・グループを組み合わせないと実現できなかったような複雑な規則が簡単に実現できる。リソースへのアクセス制御だけでなく、監査などでも利用できる |
オフライン・ドメイン参加機能の強化 | インターネットのDirect Access経由でのドメイン参加が可能 |
RID管理機能の改善 | SID(オブジェクトの内部的な識別用ID。TIPS「オブジェクトを識別するSIDとは?」参照)を作成する際に利用するRID(Relative ID)関連の機能が強化された。元々RIDは2の30乗個しか利用できないが、未使用のRIDを返却するメカニズムなどはないし(ポリシーに合致せず、作成されなかったオブジェクトにもRIDを割り当てて、それを回収していなかった)、非効率なブロックの割り当てなどにより、大規模なドメインでは不足することがあった。Windows Server 2012では最大2の31乗個(2倍)まで増加させたほか、RIDの供給数に制限を設けたり、利用状況のログ出力などの機能改善を行った |
新しい機能レベル | Active Directoryのフォレストやドメインには「機能レベル」と呼ばれる、利用できる機能を限定するレベル設定がある。Windows Server 2012では新しく「Windows Server 2012」という機能レベルが定義されている。ドメインがWindows Server 2012レベルだと、ダイナミック・アクセス制御やKerberos armoring(Kerberos防御)などが有効になる。フォレストがWindows Server 2012レベルだと、新規作成したドメインの機能レベルがWindows Server 2012になる。 |
Active Directoryドメイン管理関連の新機能
機能 | 概要/強化点 |
---|---|
DC VMスナップショットの復元対応 | DCをインストールした仮想マシンをスナップショットで以前の状態に戻すと、DCが保持している内部シーケンス番号(USN)が戻り、Active Directoryデータベースに矛盾が生じるといった、USNロールバック問題が発生する。Windows Server 2012のDCをWindows Server 2012のHyper-V上で動作させると、USNのロールバックが起こってもActive Directoryのデータベースや複製に問題が生じないように適切な対応が行われる |
DC VMの複製による展開対応 | Windows Server 2012ではないActive DirectoryのDCを複製(VHDファイルのコピーか、仮想マシンのエクスポート/インポート)で展開すると、内部データベースに矛盾が生じる。これに対してWindows Server 2012では、2台目以降のDCを仮想マシンの複製機能で展開してもよい。複製はPowerShellを使って高速に展開できる |
sysprepの仮想マシン化対応 | 特にActive Directoryとは関係ないが、OSイメージ複製時の準備用コマンドであるsysprep.exeに「/mode:vm」というオプションが追加されている。これを指定すると、起動時のハードウェア・チェックなどが一部省略され、高速に起動する |
Active Directoryの 仮想化対応関連の新機能
機能 | 概要/強化点 |
---|---|
ダイナミック・アクセス制御との統合 | Active Directoryのダイナミック・アクセス制御と統合されたActive Directory Federationサービスにより、AD DSとAD FSを組み合わせたセキュリティ・システムを構築できる |
サーバ・マネージャでの管理 | 以前のAD FSでは独立した管理ツールが必要だったが、Windows Server 2012ではサーバ・マネージャでそのまま管理できる。PowerShellによる管理も可能 |
Active Directory Federationサービス(AD FS)関連の新機能
機能 | 概要/強化点 |
---|---|
エディションを問わないインストール | 以前はOSのエディションごとにインストールできる役割サービスに制約があったが、Windows Server 2012ではすべてのエディションで、6つの役割サービスをすべてインストールできる。Server Coreインストールでも利用可能 |
サーバ・マネージャでの管理 | 以前の証明書サービスと異なり(以前はインストールと構成が同じウィザードであった)、証明書サービスの役割を追加すると、Windows Server 2012のサーバ・マネージャでそのまま管理できる。PowerShellによる管理も可能 |
ドメインに参加していないコンピュータの証明書の自動更新 | ドメインに参加していないコンピュータの証明書を自動更新できる |
国際化ドメイン名のサポート | 国際化ドメイン名(IDN)を使った証明書や証明書執行リスト(CRL)を作成/登録できるし、管理ツールでも操作できる |
Active Directory証明書サービス関連の新機能
Copyright© Digital Advantage Corp. All Rights Reserved.