検索
連載

第3回 強化されたActive DirectoryWindows Server 2012クラウドジェネレーション(1/3 ページ)

Windows Server 2012のActive Directoryはドメイン・コントローラの仮想化や複製による展開にも対応。ごみ箱ツールがGUI化され、PowerShellやパスワード・ポリシー対応も強化されたActive Directory管理センターにも注目だ。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Windows Server 2012クラウドジェネレーション
Windows Server Insider


「Windows Server 2012クラウドジェネレーション」のインデックス

連載目次

今回の記事は、ベータ版に基づいた以前の記事を、RTM版をベースにして加筆・修正したものです。


 前回は新しいサーバ・マネージャの使い方について解説したが、今回からはServer 2012の個別の機能について解説していく。今回はActive Directory関連の機能強化点について解説する。

Windows Server 2012のActive Directoryの概要

 Windows Server 2012におけるActive Directory関連の主な新機能や機能強化点をまとめると次のようになる。細かい機能追加や改良が多いが、大きなものとしてはドメイン・コントローラ(以下DC)の仮想環境対応とPowerShellによる管理機能の強化、そしてActive Directory管理センターの強化がメインだろうか。特に仮想マシン上でもDCが問題なく動作するようになったことは、大きな改善といえる。

機能 概要/強化点
簡素化されたドメイン導入ウィザード Active Directory ドメイン・サービス(AD DS)の導入処理が簡素化され、事前に個別のツールやdcpromo.exeコマンドを手動で実行する必要はない。Active Directoryドメインを導入するには、サーバ・マネージャからウィザードを起動する
AD DS のインストール処理に統合された事前準備処理 Active Directoryを導入する前には、adprepコマンドで既存ドメインに対して事前チェックを行ったりスキーマを拡張したりする必要があるが、Windows Server 2012のActive Directoryではこれらの処理がドメインの導入ウィザードに統合され、個別に実行する必要がない
Active Directory導入ウィザードのリトライ処理 ネットワークの構成によってはDCへの昇格が失敗することがあったが、Windows Server 2012ではリトライ回数を増やすなどして、失敗しにくくしている
AD FS 2.1 ダイナミック・アクセス制御と統合されたActive Directory Federation Service(AD FS)2.1もサーバの役割で導入可能
PowerShellサポートの強化 ADDSDeploymentモジュールが追加されるなど、PowerShellのActive Directory関連の機能が強化された。これにより、Active Directoryドメイン・サービス役割の導入や削除からドメイン/フォレストの作成、展開、管理など、ほとんどすべてのActive Directory関連の処理をGUIのツールを使わずにPowerShellでスクリプト化して処理できるようになった。特に大量展開の場合などに有用。Active Directory関連のコマンドレット数は、Windows Server 2008 R2では76個だったのに対して、Windows Server 2012では145個に増えている(Active Directoryモジュールのコマンドレットが135個、ADDSDeploymentモジュールのコマンドレットが10個)
ドメイン導入ウィザードでのPowerShellスクリプトの出力 ドメイン導入ウィザードの最後でPowerShell用スクリプトが出力されるので、これを参考にほかのドメインの導入や再セットアップなどが可能
Active Directory導入作業関連の新機能

機能 概要/強化点
Active Directory管理センターの強化 Active Directory管理センターの機能が強化され、Active Directoryごみ箱やパスワード・ポリシー、PowerShellスクリプトなどが使えるようになった
Active Directoryごみ箱のGUIサポート Windows Server 2008 R2ではActive Directoryのごみ箱機能が導入されたが、PowerShellで操作するなどの処理が必要だった。Windows Server 2012のActive Directory管理センターではごみ箱機能がサポートされ、GUIで操作できるようになった
PowerShell履歴 Active Directory管理センターでユーザーが行った操作はPowerShellによって実行されているが、実行したPowerShellのコマンドレットの履歴を確認できるようになった。管理者が自分でPowerShellを利用する場合の参考にできる
細かい設定が可能なパスワード・ポリシーのGUI Windows Server 2008で導入された「細かい設定が可能なパスワード・ポリシー」を使うと、ドメイン内で複数のパスワード・ポリシーを設定できるが、これを設定するためのGUI画面がActive Directory管理センターに用意された
Group Managed Service Accounts(gMSA) Windows 7/Windows Server 2008 R2で導入されたManaged Service Account(MSA。管理されたサービス・アカウント)をドメイン全体で利用できるようにしたもの
PowerShellによるActive Directoryの複製やトポロジー管理 Active Directoryの複製やサイト・トポロジーの管理などがすべてPowerShell上で実行可能。いままでのように多数のコマンド(repadmin、ntdsutil、Active Directoryサイトとサービスなど)を使わなくてもよい
Active Directoryベースのアクティベーション(Active Directory-based Activation:AD BA) 従来のKMS(Key Management Service)サーバではなく、Active Directoryを使ったボリューム・ライセンス製品のアクティベーションが可能になった。特別なサーバなどを用意せずともActive Directoryでアクティベーションできる。ただし現在サポートされているアクティベーション可能な製品は、Windows 8とWindows Server 2012、Office 2013のみ。これを利用するためには、Active Directoryのスキーマ・レベルがWindows Server 2012になっている必要がある。なおWindows Server 2012にはKMS役割サービスもあらかじめ用意されているので、KMSが必要な場合でも別途ダウンロードする必要はなくなった
ダイナミック・アクセス制御 動的なアクセス権機能。従来の静的なアクセス権(アクセス制御リスト)では実現が困難なアクセス制御を行える。例えば、同じユーザーであっても特定の属性(社員かどうかなど)を持つユーザーなら許可し、そうでなければ拒否するといった規則を定義できる。従来は複数のセキュリティ・グループを組み合わせないと実現できなかったような複雑な規則が簡単に実現できる。リソースへのアクセス制御だけでなく、監査などでも利用できる
オフライン・ドメイン参加機能の強化 インターネットのDirect Access経由でのドメイン参加が可能
RID管理機能の改善 SID(オブジェクトの内部的な識別用ID。TIPS「オブジェクトを識別するSIDとは?」参照)を作成する際に利用するRID(Relative ID)関連の機能が強化された。元々RIDは2の30乗個しか利用できないが、未使用のRIDを返却するメカニズムなどはないし(ポリシーに合致せず、作成されなかったオブジェクトにもRIDを割り当てて、それを回収していなかった)、非効率なブロックの割り当てなどにより、大規模なドメインでは不足することがあった。Windows Server 2012では最大2の31乗個(2倍)まで増加させたほか、RIDの供給数に制限を設けたり、利用状況のログ出力などの機能改善を行った
新しい機能レベル Active Directoryのフォレストやドメインには「機能レベル」と呼ばれる、利用できる機能を限定するレベル設定がある。Windows Server 2012では新しく「Windows Server 2012」という機能レベルが定義されている。ドメインがWindows Server 2012レベルだと、ダイナミック・アクセス制御やKerberos armoring(Kerberos防御)などが有効になる。フォレストがWindows Server 2012レベルだと、新規作成したドメインの機能レベルがWindows Server 2012になる。
Active Directoryドメイン管理関連の新機能

機能 概要/強化点
DC VMスナップショットの復元対応 DCをインストールした仮想マシンをスナップショットで以前の状態に戻すと、DCが保持している内部シーケンス番号(USN)が戻り、Active Directoryデータベースに矛盾が生じるといった、USNロールバック問題が発生する。Windows Server 2012のDCをWindows Server 2012のHyper-V上で動作させると、USNのロールバックが起こってもActive Directoryのデータベースや複製に問題が生じないように適切な対応が行われる
DC VMの複製による展開対応 Windows Server 2012ではないActive DirectoryのDCを複製(VHDファイルのコピーか、仮想マシンのエクスポート/インポート)で展開すると、内部データベースに矛盾が生じる。これに対してWindows Server 2012では、2台目以降のDCを仮想マシンの複製機能で展開してもよい。複製はPowerShellを使って高速に展開できる
sysprepの仮想マシン化対応 特にActive Directoryとは関係ないが、OSイメージ複製時の準備用コマンドであるsysprep.exeに「/mode:vm」というオプションが追加されている。これを指定すると、起動時のハードウェア・チェックなどが一部省略され、高速に起動する
Active Directoryの 仮想化対応関連の新機能

機能 概要/強化点
ダイナミック・アクセス制御との統合 Active Directoryのダイナミック・アクセス制御と統合されたActive Directory Federationサービスにより、AD DSとAD FSを組み合わせたセキュリティ・システムを構築できる
サーバ・マネージャでの管理 以前のAD FSでは独立した管理ツールが必要だったが、Windows Server 2012ではサーバ・マネージャでそのまま管理できる。PowerShellによる管理も可能
Active Directory Federationサービス(AD FS)関連の新機能

機能 概要/強化点
エディションを問わないインストール 以前はOSのエディションごとにインストールできる役割サービスに制約があったが、Windows Server 2012ではすべてのエディションで、6つの役割サービスをすべてインストールできる。Server Coreインストールでも利用可能
サーバ・マネージャでの管理 以前の証明書サービスと異なり(以前はインストールと構成が同じウィザードであった)、証明書サービスの役割を追加すると、Windows Server 2012のサーバ・マネージャでそのまま管理できる。PowerShellによる管理も可能
ドメインに参加していないコンピュータの証明書の自動更新 ドメインに参加していないコンピュータの証明書を自動更新できる
国際化ドメイン名のサポート 国際化ドメイン名(IDN)を使った証明書や証明書執行リスト(CRL)を作成/登録できるし、管理ツールでも操作できる
Active Directory証明書サービス関連の新機能


Copyright© Digital Advantage Corp. All Rights Reserved.

       | 次のページへ
ページトップに戻る