Microsoftdownload.microsoft.com/.../W2012R2ADMIGGUIDE_v1.2.docx · Web viewまた、既定の...
29
Windows Server 2012 R2 最最 Active Directory 最 最 & ~ Windows Server 2003 最最 Windows Server 2012 R2 最最最最最最最/最最最最最最最 ~ Server and Cloud Platform
Transcript of Microsoftdownload.microsoft.com/.../W2012R2ADMIGGUIDE_v1.2.docx · Web viewまた、既定の...
Windows Server 2012 R2 最新 Active Directory の機能&移行ガイド~ Windows Server 2003 から Windows Server 2012 R2 へのフォレスト/ドメインの移行 ~
Server and Cloud Platform
Windows Server 2012 R2 最新 Active Directory の機能&移行ガイド
第 1 版日本マイクロソフト株式会社
Published: 2014 年 1 月 5 日
概要このガイドについてこのガイドは、企業や組織の IT 環境で現在稼働中の Windows Server 2003、Windows Server 2003 R2、Windows Server 2008 ベースの Active Directory ドメイン コントローラーを、 Windows Server 2012 R2 ベースの最新オペレーティング システム (OS) 環境に移行するための、製品の機能やテクノロジ、運用管理に関する情報を提供します。特に、製品サポート ライフサイクルの終了期限が迫っている Windows Server 2003 および Windows Server 2003 R2 環境からの移行の必要性と移行のメリットについて解説します。
対象ユーザーこの評価ガイドは、企業やサービス プロバイダーにおいて IT インフラストラクチャの設計、導入、運用を担当する管理者、担当者、および IT プロフェッショナルを対象としています。
最新情報Windows Server 2012 R2 および System Center 2012 R2 の最新情報については、以下の製品サイトを参照してください。
Windows Server 2012 R2 | マイクロソフト サーバー&クラウド プラットフォーム http://www.microsoft.com/ja-jp/server-cloud/windows-server/windows-server-2012-r2.aspx
System Center 2012 R2 | マイクロソフト サーバー&クラウド プラットフォーム http://www.microsoft.com/ja-jp/server-cloud/system-center/system-center-2012-r2.aspx
著作権情報このドキュメントは、 "現状のまま" 提供されます。このドキュメントに記載されている情報 (URL などのインターネット Web サイトに関する情報を含む) は、将来予告なしに変更することがあります。
このドキュメントは、Microsoft 製品の知的財産権に関する権利をお客様に許諾するものではありません。お客様は、内部的な参照目的に限り、ドキュメントを複製して使用することができます。
© 2014 Microsoft Corporation. All rights reserved.Microsoft、Active Directory、Hyper-V、MS-DOS、Windows、Windows NT、Windows Server、および Windows Vista は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
その他すべての商標は各社が所有しています。
- 1 -
- 2 -
目次概要......................................................................................................................1はじめに................................................................................................................4最新 Active Directory の機能とメリット.............................................................................5
セキュリティとデスクトップのコントロールの強化......................................................................5ドメインの運用管理の強化..........................................................................................................8ドメイン コントローラーの仮想化対応.......................................................................................13Active Directory ベースのボリューム ライセンス認証....................................................................14BYOD 対応の強化.....................................................................................................................15クラウドとの連携....................................................................................................................17
Active Directory ドメインのアップグレード.......................................................................19移行の準備..............................................................................................................................20Windows Server 2012 R2 ドメイン コントローラーの追加............................................................21操作マスターの転送.................................................................................................................23Windows Server 2003 ドメイン コントローラーの降格.................................................................26フォレストおよびドメインの機能レベルの昇格...........................................................................26ドメインの再編とオブジェクトの移行について...........................................................................27
Active Directory ドメインの運用管理.........................................................................28サーバー マネージャーによるサービスと構成の監視....................................................................28Active Directory の管理ツール.....................................................................................................30グループ ポリシーの管理..........................................................................................................32Operations Manager による監視.............................................................................................34ディレクトリのバックアップと回復..........................................................................................34
まとめ.................................................................................................................36評価リソース...........................................................................................................................37
- 3 -
はじめにマイクロソフトは 2013 年 11 月 1 日に、Windows Server と System Center 管理製品の最新バージョンである Windows Server 2012 R2 および System Center 2012 R2 の発売を開始しました。この最新のサーバー OS とシステム管理製品は、多くの企業がいま本当に必要としている IT 環境を実現する、および現在抱えている IT の課題を解決する、さまざまな新機能やテクノロジを提供します。
新しいサーバー OS の登場の一方で、少なからぬ企業において、Windows Server 2003 および Windows Server 2003 R2 の製品サポートの終了という、対処しなければならない課題のタイム リミットが迫ってきました。マイクロソフトは企業向け製品に対して、最短 5 年のメイン ストリーム サポートと最短 5 年の延長サポートの合計最短 10 年の製品サポートを提供しています。Windows Server 2003 および Windows Server 2003 R2 のすべての製品サポートは、2015 年 7 月 15 日 (日本時間) に終了します。
製品サポートが終了すると、以後、重大なセキュリティ問題が発見されたとしても、その詳細な情報が公開されることも、セキュリティ更新プログラムが提供されることもなくなり、セキュリティ リスクは日に日に増大していきます。まだタイム リミットまでには 1 年以上ありますが、現在、サポート終了対象のサーバーを運用している場合は、すぐにでも移行プロジェクトを開始してください。Windows Server 2003 のレガシなテクノロジと Windows Server 2012 R2 の最新テクノロジのギャップは大きく、移行プロジェクトは単純な作業というわけにはいかないでしょう。しかし、Windows Server 2012 R2 は、Windows Server 2003 からの移行に標準で対応する最後のサーバー OS になる予定です。この機会を逃すと、移行はさらに困難になります。
このガイドでは、Windows Server 2003、Windows Server 2003 R2、または Windows Server 2008 のドメイン コントローラーで運用中の Active Directory フォレスト/ドメインを、Windows Server 2012 R2 の最新の Active Directory 環境に移行する手順、および移行後の運用管理について説明します。その前に、Windows Server 2012 R2 の Active Directory ドメイン サービスの新機能を紹介します。Active Directory は企業における ID とセキュリティの重要な基盤サービスです。最新の Active Directory 環境に移行することで得られるメリットを是非とも知ってください。Windows Server 2012 R2 への移行は、単に製品サポートを得るだけではない、さまざまな付加価値を提供します。
- 4 -
最新 Active Directory の機能とメリットWindows Server 2012 R2 は最新の Active Directory ドメイン サービス (AD DS) を提供します。最新の Active Directory ドメイン サービスは、Windows Server 2003 の Active Directory フォレスト/ドメインと下位互換性がありますが、その間に 3 つのバージョン (2008、2008 R2、2012) が存在することから想像できるように、最新の Active Directory はさまざまな面で強化されています。現在、Windows Server 2003 ベースの Active Directory を運用している場合は、Active Directory を最新バージョンにアップグレードするだけでも多くのメリットを得られるでしょう。
セキュリティとデスクトップのコントロールの強化Active Directory は、ID とアクセス制御の基盤を提供します。加えて、企業内のクライアント PC のセキュリティとデスクトップ環境を IT 部門がコントロールする基盤を提供します。Windows Server 2012 R2 の Active Directory は、レガシな Windows から 最新の Windows を実行するクライアント PC までを完全にコントロールできます。
最新のグループ ポリシーによるポリシー管理グループ ポリシーを利用すると、コンピューターのローカル セキュリティ ポリシー、システム設定、ユーザーのデスクトップ環境の設定、ソフトウェアのインストール (Windows インストーラー形式)、スクリプトの自動実行、セキュリティが強化された Windows ファイアウォールの構成、ソフトウェアの制限、証明書の自動発行やルート証明書の配布など、コンピューターとユーザーのセキュリティとデスクトップ環境、アプリケーションに関する広範囲の構成を中央で一元管理し、クライアントに強制することができます。
最新の Active Directory は、Windows 8.1 Pro および Enterprise に対応した新しいポリシーを標準提供します。例えば、新しい UI のカスタマイズやサインイン時のデスクトップへの自動切換え、ストアや SkyDrive の使用制限などをポリシーで構成できます。Windows 7 Enterprise 以降では、AppLocker による実行可能ファイルや Windows インストーラー、スクリプトの実行制限および監査がサポートされましたが、Windows 8.1 Enterprise に対しては Windows ストア アプリの制限にも対応しています。
画面: AppLocker は、Windows ストア アプリの実行許可または禁止をサポート
- 5 -
画面: AppLocker によりアプリの実行がブロックされた様子
グループ ポリシーの基本設定グループ ポリシーの基本設定は、Windows Server 2008 の Active Directory で初めて提供されたグループ ポリシーの拡張機能です。グループ ポリシーの基本設定を使用すると、 Windows の環境変数の設定、ファイルやフォルダーの作成、レジストリの設定、共有のドライブ マッピング、ショートカットの登録 、コントロール パネルの各種設定をグループ ポリシーで行って、クライアントに展開できます。
通常のグループ ポリシーは、グループ ポリシーの対象外になるとポリシー設定が削除されますが、グループ ポリシー基本設定は各種設定を永続的に変更します。例えば、スタート メニューに業務アプリケーションのショートカット メニューを作成したり、管理用のローカル ユーザーをすべてのクライアントに作成したり、サービスのスタートアップを変更したりといった目的で利用できます。
画面: グループ ポリシーの基本設定を利用して、Windows のシステム設定を行う
細かい設定が可能なパスワード ポリシーWindows Server 2003 以前の Active Directory ドメインでは、パスワード ポリシー (パスワードの長さや複雑さの要件など) はドメインに 1 つだけというのが仕様でした。そのため、異なるパスワード ポリシーを利用したいという理由で、ドメインを分割するということもあったようです。パスワード ポリシーがドメインに 1 つという仕様は現在も同じですが、Windows Server 2008 の Active Directory からは「細かい設定が可能なパスワード ポリシー (File-Grained Password Policy) 」を利用して、ユーザーやグループに個別のパスワード ポリシーを適用できるようになりました。
細かい設定が可能なパスワード ポリシーを設定するには、パスワード設定オブジェクト (Password Setting Object: PSO) という特別なディレクトリ オブジェクトを作成し、PSO をユーザーやグループにリンクするという複雑な設定が必要でした。Windows Server 2012 以降の Active Directory では、この複雑な設定を[Active Directory 管理センター]の GUI インターフェイスから簡単に行えるように改善されています。
- 6 -
画面: 細かい設定が可能なパスワード ポリシーの GUI による構成
ダイナミック アクセス制御「ダイナミック アクセス制御」は、Windows 8 および Windows Server 2012 以降に導入された、承認とアクセス制御の上級の機能です。
これまでは、例えばファイル サーバーの共有に対してアクセス制御を行う場合、Active Directory のユーザーやグループに対してアクセス許可 (アクセス制御エントリ: ACE) を設定したアクセス制御リスト (ACL) をファイルやフォルダーごとに設定する必要がありました。ダイナミック アクセス制御を利用すると、「集約型アクセス規則」というアクセス許可設定を中央で一元的に作成し、「集約型アクセス ポリシー」としてグループ ポリシーを通じてファイル サーバーに配布できます。ファイル サーバー管理者は、集約型アクセス ポリシーを共有に割り当てるだけで、適切なアクセス許可設定を簡単に実装できます。
集約型アクセス規則では、従来のアクセス制御エントリ (ACE) に加えて、ユーザーやグループの属性、リソース プロパティに基づいた動的なアクセス許可を構成できます。Windows 8 および Windows Server 2012 以降の Kerberos 認証の拡張により可能になったもので、例えば、ユーザーの所属や役職、アクセス元のコンピューターの種類や場所、ファイルやフォルダーの分類 (ファイル サーバー リソース マネージャーの機能) に基づいて、アクセスの許可または拒否または監査を動的に評価できます。
画面: ダイナミック アクセス制御の集約型アクセス規則
Protected Users グループ
- 7 -
Windows Server 2012 R2 の Active Directory ドメインには、Protected Users というビルトインの新しいグローバル セキュリティ グループが存在します。このグループは、Windows 8.1 を実行する PC やデバイスからの認証セキュリティをさらに強化するために利用できます。
Protected Users のメンバーは、AES 暗号化による Kerberos 認証が必須とされ、強度の弱い暗号化の Kerberos 認証、NTLM 認証、ダイジェスト認証、CredSSP 認証、ユーザー アカウントの Kerberos 委任は使用できなくなります。また、既定の Kerberos チケット保証チケット (TGT) の有効期限が 4 時間になり、4 時間ごとの再認証を要求されます。さらに、Windows 8.1 クライアントのローカルにパスワードがキャッシュされなくなります。
ドメインの運用管理の強化Active Directory ドメインの運用管理面での主な強化点を説明します。
Actvie Directory 管理センターActive Directory のフォレスト/ドメインは、[Active Directory ユーザーとコンピューター]、[Active Directory ドメインと信頼関係]、[Active Directory サイトとサービス]の各スナップインを使い分けて構成および管理します。Windows Server 2008 R2 以降は、Windows PowerShell 用の ActiveDirectory モジュールが標準提供され、Windows PowerShell でほとんどの構成と管理ができるようになりました。場合によっては、Windows PowerShell でなければ構成できないものもあります。
Windows Server 2008 R2 以降では、Windows PowerShell に基づいて開発された[Active Directory 管理センター]も利用できます。[Active Directory 管理センター]は、Windows Server 2012 で大幅に改善、強化され、日常的な管理タスクのほとんどを 1 つの管理コンソールで実行できるようになりました。
[Active Directory ユーザーとコンピューター]スナップインでユーザーを新規作成する場合、ユーザー名とパスワードを設定してユーザーを作成してから、ユーザー オブジェクトのプロパティを開いて、フリガナやグループ メンバーシップ、移動ユーザー プロファイル、組織の情報などの詳細な設定を行いました。同じ管理タスクを[Active Directory 管理センター]から行う場合、[ユーザーの作成]フォームでそのすべてを一度に設定できます。
前述したように、[Active Directory 管理センター]は Windows PowerShell 上で動作するツールです。[Active Directory 管理センター]で行った操作は、Windows PowerShell のコマンドラインとして実行され、その履歴は[Active Directory 管理センター]の下部にある[Windows PowerShell 履歴]エリアで確認することができます。実行されたコマンドラインはクリップ ボードにコピーできるので、Windows PowerShell が得意でないという管理者であっても、ID 管理の繰り返しタスクをスクリプト化して、バッチ実行することができます。
画面: [Active Directory 管理センター]を使用したユーザーの新規作成
- 8 -
Active Directory ごみ箱Windows Server 2012 以降の[Active Directory 管理センター]には、従来、Windows PowerShell でしか構成できなかった 2 つの機能が GUI として統合されています。その 1 つは、前述した細かい設定が可能なパスワード ポリシーの作成とユーザーやグループへの適用です。もう 1 つは、「Active Directory ごみ箱」の機能です。Active Directory ごみ箱を利用すると、Active Directory のバックアップから特定のオブジェクトを回復するという複雑な手順を踏まなくても、削除済みオブジェクトを復元することができます。
Active Directory ごみ箱は Windows Server 2008 R2 の Active Directory で初めてサポートされましたが、有効化するには Windows PowerShell のコマンドラインを実行する必要がありました。また、機能名とは異なり、視覚的なごみ箱は提供されなかったため、Windows PowerShell で削除済みのオブジェクトを検索して、復元するという操作が必要でした。Windows Server 2012 以降の[Active Directory 管理センター]では、Active Directory ごみ箱をクリック操作で有効化することができます。また、視覚的なごみ箱として[Deleted Objects]コンテナーが提供され、簡単な操作で目的のオブジェクトを復元できます。
画面: Windows Server 2012 以降の[Active Directory 管理センター]では視覚的なごみ箱を利用できる
オフライン ドメイン参加コンピューターを Active Directory ドメインに参加させるには、通常、システムのプロパティから GUI で参加設定を行うか、NETDOM コマンドや Windows PowerShell の Add-Computer コマンドレットを使用します。Windows 7 および Windows Server 2008 R2 以降のコンピューターは、これらの方法に加えて「オフライン ドメイン参加」という方法を利用できます。
オフライン ドメイン参加を利用すると、企業内のネットワークに接続されていないコンピューターや、オフラインのイメージ (仮想マシンの仮想ハード ディスクなど) に対して、Active Directory のドメイン参加設定を行い、次に企業内ネットワークに接続した際に参加設定を完了させることができます。オフライン ドメイン参加を行うには、ドメイン環境で DJOIN /PROVISION ... コマンドを実行してプロビジョニング データを作成し、オフライン コンピューターで DJOIN /REQUESTODJ ... コマンドを実行してオフライン ドメイン参加要求を構成します。
Windows 8 および Windows Server 2012 以降は、オフライン ドメイン参加のプロビジョニング データにグループ ポリシー オブジェクトやルート証明書を含めることができるようになりました。 DirectAccess クライアントはグループ ポリシーで構成されるため、オフライン ドメイン参加を利用すると、コンピューターを一度も企業内ネットワークに持ち込むことなく、社外のコンピューターをドメイン メンバーとして構成し、DirectAccess で社内ネットワークにリモート アクセスできるように構成することができます。
グループの管理されたサービス アカウント
- 9 -
「グループの管理されたサービス アカウント (Group Managed Service Account: gMSA)」は、サービスの実行アカウントとして利用可能な、パスワード管理の不要な特殊なアカウントです。グループの管理されたサービス アカウントは、ドメイン コントローラーでパスワードが定期的に自動でリセットされ、複数のドメイン メンバーでサービス アカウントとして利用できます。グループの管理されたサービス アカウントはパスワードの管理が不要であり、Windows のサインイン認証には使用できないため、通常のドメイン アカウントをサービス アカウントとして利用するよりも適しています。
グループの管理されたサービス アカウントは、New-ADServiceAccount コマンドレットを使用して Windows Server 2012 以降のドメイン コントローラーで作成でき、1 台以上の Windows 8 および Windows Server 2012 以降のドメイン メンバーに使用を許可できます。なお、Windows Server 2008 R2 および Windows 7 で導入された「管理されたサービスアカウント (Managed Service Account: MSA)」についても引き続きサポートされます。
画面: グループの管理されたサービス アカウントは、パスワードの入力が不要
BitLocker ドライブ暗号化の回復キーの一元管理BitLocker ドライブ暗号化は、Windows Vista Enterprise および Ultimate エディションで初めて提供された、ドライブ全体を暗号化して保護する企業向けのセキュリティ機能です。 BitLocker の暗号化キーは、コンピューターに搭載される TPM (Trusted Platform Module) セキュリティ チップに安全に格納され、さらに追加の認証として PIN の入力や USB キーを組み合わせることができるます。これにより、紛失や盗難にあった PC が不正に利用されたり、ハード ディスクを取り出して不正にアクセスされたりとった、リスクからシステムやデータを保護できます。Windows 8 以降は Enterprise エディションだけでなく、Pro エディションおよび RT デバイスでも BitLocker ドライブ暗号化がサポートされました。
BitLocker ドライブ暗号化を利用する場合は、通常の方法でドライブのロックを解除できなくなってしまった場合に備えて、暗号化を有効にする際にロックを解除するための 48 桁の回復キーが生成されます。この回復キーがあれば、誰でもロックを解除できてしまうため、安全な場所に厳重に保管しなければなりません。通常、回復キーはファイルに保存するか、印刷するか、Windows 8 以降の場合は Microsoft アカウント (クラウド) に保存するかを選択します。Active Directory のドメイン メンバーであれば、グループ ポリシーを使用して、回復キーを Active Directory に自動的に保存するように構成することができ、ユーザー自身による回復キーの管理を不要にできます。TPM 所有者パスワードのハッシュについても、同様に Active Directory に保存するように構成できます。
ドメインの管理者は、ユーザーからの問い合わせに対して、Active Directory から回復キーを検索してユーザーに提供できます。また、TPM 所有者パスワードのハッシュから TPM 所有者パスワード ファイルを作成して、ユーザーに提供することもできます。
企業や組織によっては、ドメインの管理者が回復キーを参照できることが望ましくない場合もあるでしょう。その場合は、Microsoft Desktop Optimization Pack for Software Assurance (MDOP) に含まれる「Microsoft BitLocker Administration and Monitoring (MBAM)」を 利 用 す る方法が あ り ま す 。MBAM では、透過的なデータ暗号化 (TDE) が有効な SQL Server データベースに回復情報を安全に格納し、特定のユーザーやグループだけに回復情報へのアクセスを制限できます。
Microsoft BitLocker Administration and Monitoring http://technet.microsoft.com/ja-jp/windows/hh826072
- 10 -
画面: Active Directory から回復キー (回復パスワード) を検索する
認証ポリシー サイロ「認証ポリシー サイロ (Authentication Policy Silos)」は、フォレスト レベルで管理される Kerberos 認証の新しいポリシーです。認証ポリシー サイロを使用すると、ユーザー アカウント、コンピューター アカウント、管理されたサービス アカウントのそれぞれに対して、Kerberos チケット保障チケット (TGT) の有効期限を制限したり、ユーザーやデバイスの属性に基づいたアクセス制御条件を定義した認証ポリシーを適用することができます。認証ポリシー サイロは、Windows 8.1 および Windows Server 2012 R2 でサポートされます。
画面: 認証ポリシーとサイロは、Windows Server 2012 R2 からの新しい認証セキュリティ機能
ドメイン コントローラーの仮想化対応Active Directory のドメイン コントローラーを仮想マシンとして実行することは以前から可能でしたが、ドメイン コントローラーを仮想化する上ではさまざまな制約がありました。 Windows Server 2012 以降の Hyper-V および Active Directory ドメイン サービスは、ドメイン コントローラーの仮想化対応が強化されており、これまでの制約が解消されます。
USN ロールバックを自動回避するセーフガード機能ドメイン コントローラーを仮想マシンで実行する場合、これまでは仮想マシンのスナップショット (チェックポイント) 機能を使用してはいけない、仮想マシンをバックアップから単純に回復してはいけないなど、運用上の注意が必要でした。なぜなら、仮想マシンを過去の状態にロールバックする操作は、USN (更新シーケンス番号)ロールバックを発生させ、レプリケーション エラーや残留オブジェクトの発生、
- 11 -
ディレクトリの不整合といった重大な問題を生じさせるからです。
Windows Server 2012 以降の Hyper-V 仮想マシンで Windows Server 2012 以降のドメイン コントローラーを実行する場合、スナップショット (チェックポイント) の適用やバックアップからの仮想マシンの回復は制限されません。
Windows Server 2012 以降の Hyper-V は、仮想マシンに対して「世代 ID (Generation ID)」という識別子を設定します。世代 ID は、スナップショット (チェックポイント) の適用や仮想マシンのインポート、バックアップからの仮想マシンの回復などのタイミングで新しい ID に更新されます。Windows Server 2012 以降の仮想化されたドメイン コントローラーは、世代 ID の不一致を検出して、仮想マシンの状態がロールバックしたことを判断し、他のドメイン コントローラーから最新のディレクトリのレプリケーションを受信して USN ロールバックを回避します。
画面: Windows Server 2012 以降の Hyper-V で稼働する仮想化されたドメイン コントローラーは、世代 ID の変更を検出すると、他のドメイン コントローラーからのレプリケーションによって USN ロールバックを自動回避する
ドメイン コントローラーのクローン展開Windows Server 2012 以降の仮想化されたドメイン コントローラーは、仮想マシンの複製によるクローン展開に対応しています。この機能もまた、Windows Server 2012 以降の Hyper-V が提供する世代 ID を利用した新機能です。
通常、Windows はディスク イメージを複製しただけでは、固有のシステムとして機能しません。同じディスク イメージを使用して複数のコンピューターを展開するには、システム準備ツール (Sysprep) を実行してイメージを一般化するという手続きが必要になります。仮想化されたドメイン コントローラーのクローン展開は、システム準備ツール (Sysprep) による一般化を必要としません。ドメイン コントローラーとして運用中の仮想マシンの複製 (仮想マシンをエクスポートしてインポート ) から、IP アドレスやコンピューター名などのパラメーターを記述した構成ファイル (DCCloneConfig.xml) を使用して、次々に新しいドメイン コントローラーを展開できます。
- 12 -
画面: 仮想マシンの複製にクローン構成ファイルを読み込ませて起動することで、新しいドメイン コントローラーを展開できる
Active Directory ベースのボリューム ライセンス認証Windows Vista および Windows Server 2008 以降の Windows および Office 2010 以降のボリューム ライセンス製品では、ライセンス認証方式として「ボリューム アクティベーション 2.0 (VA 2.0) 」が採用されています。ボリューム アクティベーション 2.0 では、通常、キー管理サービス (KMS) サーバーによる自動ライセンス認証とマルチプル アクティベーション キー (MAK) による個別のライセンス認証のいずれかの方式を利用しますが、Windows Server 2012 以降の Active Directory ドメインでは、もう 1 つ Active Directory によるライセンス認証の方式が提供されます。
Active Directory によるライセンス認証は、Windows Server 2012 以降の「ボリューム ライセンス認証サービス」が提供する機能です。Active Directory によるライセンス認証では、Windows 8 以降、Windows Server 2012 以降、および Office 2013 のボリューム ライセンス認証を、コンピューターが Active Directory のドメインに認証された時点で完了します。KMS は導入するために最小台数要件 (クライアントは 25 台以上、サーバーは 5 台以上) がありますが、Active Directory によるライセンス認証には台数要件がありません。Active Directory によるボリューム ライセンス認証に対応したボリューム ライセンス製品だけを使用している場合は、この方式が導入しやすく、ボリューム ライセンスの管理も簡素化されます。
画面: Active Directory によるライセンス認証は 1 台のクライアントやサーバーから利用できる
BYOD 対応の強化Windows Server の機能の多くは、Windows を実行するドメイン メンバーに対して、完全な機能を提供できます。例えば、DirectAccess は、クライアントが社内外のとこにあっても、シームレスで安全な社内リソースへのアクセスを可能にします。Windows 以外の PC やデバイス、ドメイン メンバーではない個人の PC やデバイスに対しても社内リソースへのアクセスを提供することはできましたが、その場合、コントロール機能が制限されたり、必要な範囲を超えて社内リソースへのアクセスを提供せざるを得なかったりすることが課題でした。
Windows Server 2012 R2 は、BYOD (Bring Your Own Device: 個人所有デバイスの業務利用) のニーズに対応したいくつかのソリューションを提供します。ここでは、Active Directory に関連する機能について説明します。
ワークプレース参加Windows 8.1 のすべてのエディション、Windows RT 8.1 デバイス、および iOS を実行するデバイス (iPad や iPhone) は、「ワークプレース参加 (Workplace Join)」というドメイン参加 (Domain Join) とは別の方法で Active Directory に登録することができます。登録済みデバイスに対しては、デバイス認証に基づいて Web アプリケーションに対するシングル サイン オンを提供できます。
- 13 -
ワークプレース参加のために Active Directory フェデレーション サービス (AD FS) に「デバイス登録サービス (Device Registration Service)」が追加されました。デバイス登録サービスは、ワークプレース参加要求に対して、Active Directory のディレクトリにデバイス オブジェクトを登録し、デバイスを識別する証明書をデバイスに提供します。Active Directory フェデレーション サービスは、Active Directory と連携して登録済みデバイスを認証し、アプリケーションへのアクセスを提供します。
画面: Windows 8.1 および Windows RT 8.1 には、ワークプレース参加のための設定が用意されている
Web アプリケーション プロキシActive Directory フェデレーション サービスはこれまで、クレーム (要求) 対応アプリケーションに対する AD FS 認証を提供するものでした。Windows Server 2012 R2 では、新たにクレーム非対応アプリケーションの AD FS 認証もサポートします。これは、Windows Server 2012 R2 に追加された「Web アプリケーション プロキシ」と組み合わせることで実現されます。
Web アプリケーション プロキシは、HTTPS のリバース プロキシとして機能し、社内の Web アプリケーションをインターネット上のクライアントに公開するために利用できます。 Web アプリケーション プロキシは、AD FS 事前認証をサポートしており、クレーム対応およびクレーム非対応アプリケーションに AD FS 認証に基づいたアクセス許可を提供できます。Web アプリケーション プロキシは AD FS プロキシとしても機能するため、ワークプレース参加設定をインターネット経由で可能にすることもできます。
画面: Web アプリケーション プロキシによる社内アプリケーションの公開
多要素認証Windows Server 2012 R2 の Active Directory フェデレーション サービスは、多要素認証の実装が容易になりました。標準で証明書認証 (スマートカード認証) に対応しており、追加の認証として簡単に有効化できます。
- 14 -
多要素認証は、ワークプレース参加と併用することが可能です。Active Directory フェデレーション サービスは、デバイスが登録済みであるかないか、アクセス元の場所がイントラネットかエクストラネットであるかどうかを評価することができるので、例えば、エクストラネットからの未登録デバイスに対しては、ワークプレース参加やアプリケーションへのサイン インのために ID 認証に加えて、スマートカード認証を要求するといった対応が可能です。
画面: スマートカード認証による多要素認証は標準対応
クラウドとの連携Windows Server 2012 R2 は“クラウド OS (the Cloud OS)”の中核として開発されたサーバー OS です。クラウド OS とは、内部設置型 (オンプレミス)、マイクロソフトのパブリック クラウドである Windows Azure、およびサービス プロバイダーのクラウドに、1 つのプラットフォームを提供するものです。例えば、Hyper-V の仮想マシンは、Windows Azure 仮想マシンとしてクラウド上に展開できます。Visual Studio で開発した Web アプリケーションは、内部設置型の IIS Web サイトと Windows Azure クラウド サービスのどちらにでも展開できます。ID 認証についても、Active Directory が 1 つのプラットフォームを提供します。
Active Directory フェデレーション サービスクラウドのサービスやアプリケーションの利用が促進される中、Windows Server 2012 R2 の Active Directory フェデレーション サービスはこれまで以上に重要な役割を担うようになります。Active Directory フェデレーション サービスは、クレーム対応アプリケーションに対して信頼に基づいた認証を提供するものですが、この機能は企業の境界を超えて、クラウドにまで拡張できます。例えば、内部設置型の Active Directory で管理される ID を使用して、クラウドのサービス (Office 365 など) やアプリケーションをシングル サイン オンで利用することができます。
- 15 -
画面: Active Directory フェデレーション サービス
Windows Azure Active DirectoryWindows Azure Active Directory は、Windows Azure が提供する ID およびアクセス制御の基盤サービスです。Windows Azure Active Directory は、Windows Azure のクラウド サービスに展開したアプリケーションやその他のクラウド サービスに対して ID 管理と認証機能を提供します。例えば、Office 365 や Windows Intune といったマイクロソフトの SaaS は、ID 管理に Windows Azure Active Directory を使用しています。
Windows Azure Active Directory は、内部設置型の Active Directory と Active Directory フェデレーション サービスを介して統合することができ、両者のディレクトリ同期や、内部設置型の ID を使用したクラウドおよび内部アプリケーションのシングル サイン オン、多要素認証を実装できます。
画面: Windows Azure Active Directory
- 16 -
Active Directory ドメインのアップグレードここからは、運用中の Windows Server 2003 ベースの Active Directory を最新の Active Directory にアップグレードする手順について説明します。
Windows Server 2012 R2 の Active Directory は、Windows Server 2003 以降の Active Directory からのアップグレードをサポートしています。Windows Server 2012 R2 のインプレース アップグレード (アップグレード インストール) は、Windows Server 2008 R2 SP1 以降のサーバーでのみ実行可能です。Windows Server 2008 R2 SP1 以降のドメイン コントローラーであれば、インプレース アップグレードで Windows Server 2012 R2 にアップグレードすることで、最新の Active Directory フォレスト/ドメインにスムーズにアップグレードできます。
アップグレード パスに含まれない Windows Server 2003 のドメイン コントローラーは、直接、Windows Server 2012 R2 にインプレース アップグレードすることはできません。Windows Server 2003 の Active Directory を Windows Server 2012 R2 の Active Directory に移行するには、次のように段階的に行うことで可能です。
1. Windows Server 2003 の既存の Active Directory ドメインに 1 台以上の Windows Server 2012 R2 のドメイン コントローラーを追加する。
2. Windows Server 2012 R2 のドメイン コントローラーに、Windows Server 2003 のドメイン コントローラーからすべての FSMO の操作マスターの役割を転送する。
3. Windows Server 2003 のすべてのドメイン コントローラーをメンバー サーバーに降格する。
4. すべてのドメイン コントローラーが Windows Server 2012 R2 だけになった時点で、ドメインおよびフォレストの機能レベルを[Windows Server 2012 R2]に昇格する。
図: Windows Server 2003 Active Directory から Windows Server 2012 R2 Active Directory への段階的なアップグレード
移行の準備Windows Server 2012 R2 の Active Directory ドメイン サービスは、[Windows Server 2003]以上のフォレストおよびドメインの機能レベルをサポートしているため、Windows Server 2003 の Active Directory フォレスト/ドメインからの段階的なアップグレードが可能です。アップグレード後にフォレストおよびドメインの機能レベルを[Windows Server 2012 R2]に昇格することで、最新の Active Directory のすべての機能を利用できるようになります。
フォレストおよびドメインの機能レベルは、フォレストおよびドメインでサポートされる Active Director
- 17 -
y の機能と、ドメイン コントローラーの最小バージョン要件を規定するものです。 Windows Server 2003 の Active Directory フォレスト/ドメインを Windows Server 2012 R2 の Active Directory フォレスト/ドメインにアップグレードするには、アップグレードする現在のフォレストおよびドメインの機能レベルが[Windows Server 2003]以上である必要があります。
現在のフォレストおよびドメインの機能レベルは、[Active Directory ドメインと信頼関係]スナップイン (domain.msc) を使用して確認、および変更することができます。フォレストの機能レベルは、[Active Directory ドメインと信頼関係]スナップインの最上位のコンテナー (Active Directory ドメインと信頼関係) を右クリックして[フォレストの機能レベルを上げる]を選択すると確認および変更できます。ドメインの機能レベルは、[Active Directory ドメインと信頼関係]スナップインでドメインのコンテナーを右クリックして[ドメインの機能レベルを上げる]を選択すると、確認および変更できます。
現在のフォレストの機能レベルが[Windows 2000]で、ドメインの機能レベルが[Windows 2000 ネイティブ]または[Windows 2000 混在]になっている場合は、それぞれ[Windows Server 2003]に変更して機能レベルを昇格ください。機能レベルの昇格は、ドメイン、フォレストの順番で行います。
画面: ドメインの機能レベルを[Windows Server 2003]に昇格する
画面: フォレストの機能レベルを[Windows Server 2003]に昇格する
なお、フォレストおよびドメインの機能レベルを[Windows Server 2003]に昇格する場合は、Windows 2000 Server のドメイン コントローラーが存在しないことを確認してから実行してください。Windows 2000 Server のドメイン コントローラーが存在する場合は、Windows 2000 Server のドメイン コントローラーに配置されている操作マスターを Windows Serer 2003 以降のドメイン コントローラーに転送し、Windows 2000 Server のドメイン コントローラーをメンバー サーバーに降格する必要があります。Windows 2000 Server のドメイン コントローラーからの操作マスターの転送とドメイン コントローラーの降格の手順については、このあと説明する Windows Server 2003 の手順と共通です。
- 18 -
[Windows Server 2003]機能レベルのサポート
Windows Server 2012 R2 の Active Directory ドメイン サービスは、フォレストおよびドメインの最小の機能レベルとして[Windows Server 2003]をサポートしていますが、新規に作成するドメ イ ン に お い て[Windows Server 2003]の 機 能 レ ベ ル を選択す る こ と は で き ま せ ん 。[Windows Server 2003]の機能レベルは、既存のフォレスト/ドメインに追加するドメイン コントローラーでサポートされます。なお、[Windows Server 2003]の機能レベルのサポートは、将来の Windows Server バージョンから削除される可能性があります。
Windows Server 2012 R2 ドメイン コントローラーの追加既存のドメインに Windows Server 2012 R2 のサーバーをメンバー サーバーとして追加し、既存のドメインの追加のドメイン コントローラーとしてセットアップします。
1. Windows Server 2012 R2 を新規インストールし、静的な IP アドレスを設定して、既存のドメインのメンバー サーバーとして構成します。
2. [サーバー マネージャー]から[役割と機能の追加ウィザード]を開始し、[Active Directory ドメイン サービス]の役割をインストールします。
画面: Windows Server 2012 R2 に[Active Directory ドメイン サービス]をインストールする
3. 役割のインストールが完了すると、ウィザードの最後のページに[このサーバーをドメイン コントローラーに昇格する]リンクが表示されるので、このリンクをクリックして[Active Directory ドメイン サービス構成ウィザード]を開始します。なお、Windows Server 2008 R2 以前は Dcpromo.exe コマンドを実行して[Active Directory のインストール ウィザード]を使用してドメイン コントローラーをインストールしましたが、Windows Server 2012 以降は Dcpromo.exe コマンドを使用しなくなりました。
画面: [このサーバーをドメイン コントローラーに昇格する]リンクをクリックする
- 19 -
4. [Active Directory ドメイン サービス構成ウィザード]が開始したら、[配置構成]ページで[既存のドメインにドメイン コントローラーを追加する]を選択し、追加先のドメインとドメイン管理者の資格情報を指定します。
画面: 既存のドメインの追加のドメイン コントローラーとして構成する
5. [ドメイン コントローラー オプション]ページでは、既定で選択されれるオプションを受け入れ、ディレクトリ サービス復元モードのパスワードを設定します。なお、このページには[Windows Server 2008 以降を実行しているドメイン コントローラーが、このドメインで見つかりませんでした...]という警告メッセージが表示されますが、問題ありません。
画面: ディレクトリ サービス復元モードのパスワードを設定する
6. ウィザードのその他の項目は既定のまま進んで構いません。以前のバージョンの Active Directory ドメインに Windows Server 2012 R2 のドメイン コントローラーを追加するには、フォレストおよびドメインで Active Directory スキーマの拡張を行う必要があり、[準備オプション]ページに次のように表示されます。このメッセージは Active Directory スキーマの拡張が行われることを通知するものであり、Active Directory スキーマの拡張はこの後のドメイン コントローラーのインストール中にウィザードが自動的に実行します。そのため、追加の手順が必要になることはありません。
画面: フォレストとドメインの準備は、ウィザードが自動実行する
7. [インストール]ボタンをクリックして、ドメイン コントローラーのインストールを開始します。インストール中にコンピューターが自動的に再起動され、再起動が完了するとドメイン コントローラーになります。
- 20 -
操作マスターの転送Windows Server 2012 R2 のドメイン コントローラーを追加したら、旧バージョンのドメイン コントローラーからこのドメイン コントローラーに対して、すべての FSMO (Flexible Single Master Operation) の操作マスターの役割を転送します。操作マスターには次の 5 つの種類が存在し、ドメインまたはフォレストに 1 つずつ存在します。
RID プール マスター (ドメインに 1 台)
PDC エミュレーター (ドメインに 1 台)
インフラストラクチャ マスター (ドメインに 1 台)
ドメイン名前付けマスター (フォレストに 1 台)
スキーマ マスター (フォレストに 1 台)
これらの操作マスターを新しいドメイン コントローラーに転送するには、次の手順で操作します。
1. 操作マスターの転送先である Windows Server 2012 R2 のドメイン コントローラーに、ドメイン管理者としてサイン インします。
2. RID プール マスター、PDC エミュレーター、インフラストラクチャ マスターの 3 つについては、[Active Directory ユーザーとコンピューター]スナップイン (dsa.msc) を使用して役割を転送します。ドメインを右クリックして[操作マスター]を選択し、[操作マスター]ダイアログ ボックスを開いたら、[RID][PDC][インフラストラクチャ]の各タブで現在の操作マスターのドメイン コントローラーと転送先のドメイン コントローラーを確認し、[変更]ボタンをクリックして役割を転送します。
画面: [RID][PDC][インフラストラクチャ]の各タブを使用して、新しいドメイン コントローラーに操作マスターの役割を転送する
3. ドメイン名前付けマスターについては、[Active Directory ドメインと信頼関係]スナップイン (Domain.msc) を使用して役割を転送します。最上位のコンテナーを右クリックして[操作マスター]を選択し、[操作マスター]ダイアログ ボックスで現在の操作マスターのドメイン コントローラーと転送先のドメイン コントローラーを確認し、[変更]ボタンをクリックして役割を転送します。
- 21 -
画面: ドメイン名前付けマスターの役割を新しいドメイン コントローラーに転送する
4. 最後のスキーマ マスターについては、[Active Directory スキーマ]スナップインを使用します。ただし、このスナップインは、既定ではドメイン コントローラーにインストールされません。コマンド プロンプトで regsvr32 schmmgmt.dll を実行し、システムにスナップインを登録して、空の Microsoft 管理コンソール (mmc.exe) にスナップインを追加する必要があります。
[Active Directory スキーマ]スナップインを開いたら、[Active Directory スキーマ]を右クリックして[Active Directory ドメイン コントローラーの変更]を選択して、転送先のドメイン コントローラーにスナップインの接続を切り替えます。続いて、[操作マスター]を選択し、[スキーマ マスターの変更]ダイアログ ボックスで現在の操作マスターのドメイン コントローラーと転送先のドメイン コントローラーを確認し、[変更]ボタンをクリックして役割を転送します。
画面: スキーマ マスターの役割を新しいドメイン コントローラーに転送する
Windows Server 2003 ドメイン コントローラーの降格Windows Server 2012 R2 のドメイン コントローラーにすべての操作マスターの役割を転送したら、Wind
- 22 -
ows Server 2003 のドメイン コントローラーをメンバー サーバーに降格します。それには、Dcpromo.exe コマンドを実行して[Active Directory のインストール ウィザード]を実行して、ドメイン コントローラーから Active Directory を削除します。ウィザードの[Active Directory の削除]ページでは、[このサーバーはドメイン最後のドメイン コントローラーです]オプションはチェックしないようにしてください。
旧ドメイン コントローラーをメンバー サーバーに降格したらサーバーをドメインから削除して、撤去します。メンバー サーバーとして引き続き利用することもできますが、古い Windows バージョンのまま運用を続けるのはお勧めしません。
画面: Dcpromo.exe コマンドを実行して、Windows Server 2003 のドメイン コントローラーをメンバー サーバーに降格する
フォレストおよびドメインの機能レベルの昇格フォレストおよびドメインのすべてのドメイン コントローラーが Windows Server 2012 R2 だけになったら、ドメインおよびフォレストの機能レベルをそれぞれ[Windows Server 2012 R2]に昇格します。
[Active Directory ドメインと信頼関係]スナップイン (domain.msc) を開き、ドメインのコンテナーを右クリックして[ドメインの機能レベルの昇格]を選択し、[ドメインの機能レベルの昇格]ダイアログ ボックスでドメインの機能レベルを[Windows Server 2012 R2]に引き上げます。また、最上位のコンテナー (Active Directory ドメインと信頼関係) を右クリックして[フォレストの機能レベルの昇格]を選択し、[フォレストの機能レベルの昇格]ダイアログ ボックスでフォレストの機能レベルを[Windows Server 2012 R2]に引き上げます。
画面: ドメインの機能レベルを[Windows Server 2012 R2]に昇格する
- 23 -
画面: フォレストの機能レベルを[Windows Server 2012 R2]に昇格する
ドメインの再編とオブジェクトの移行についてActive Directory を最新バージョンにアップグレードするのに合わせて、ドメインの統合や再構築を行いたい場合は、Active Directory 移行ツール (ADMT) を使用できます。ADMT は、Windows Server 2003 以降のバージョンの Active Directory の移行と再構築をサポートします。このツールを使用すると、異なるフォレストに属するドメイン間、同じフォレストの異なるドメイン間で、ユーザー、グループ、サービス アカウント、コンピューター アカウントのオブジェクトを簡単な操作で移行できます。また、ユーザー プロファイルやセキュリティ、パスワードの移行や変換も可能です。
現行の最新バージョンである ADMT 3.2 は、Windows Server 2008 R2 にインストールして使用できます。Windows Server 2012 以降にはインストールできないことに留意してください。Windows Server 2012 以降に対応した ADMT の更新バージョンは、2014 年第 1 四半期中に提供される予定です。
現時点で ADMT 3.2 を使用して Windows Server 2012 R2 の Active Directory に移行するには、移行先の Active Directory のフォレストおよびドメイン機能レベルを[Windows Server 2008 R2]以下でセットアップし、Windows Server 2008 R2 のメンバー サーバー上で ADMT v3.2 を実行してドメインを移行したあと、フォレストおよびドメイン機能レベルを[Windows Server 2012 R2]に昇格します。
Active Directory 移行ツール Version 3.2 http://www.microsoft.com/ja-jp/download/details.aspx?id=8377ADMT 3.2 and PES 3.1 installation errors on Windows Server 2012 http://support.microsoft.com/kb/2753560/en-usAsk the Directory Services Team > An update for AMDT, and a few other things too. http://blogs.technet.com/b/askds/archive/2013/12/13/an-update-for-admt-and-a-few-other-things-too.aspx
- 24 -
画面: Active Directory 移行ツール (ADMT)
Active Directory ドメインの運用管理Windows Server 2012 R2 の Active Directory ドメインの構成と管理に使用する、主なツールについて説明します。また、Windows Server 2003 の Active Directory ドメインの管理との違いについても説明します。
サーバー マネージャーによるサービスと構成の監視Windows Server 2012 R2 の[サーバー マネージャー]は、複数サーバーの統合管理に対応しており、Windows Server 2012 R2 および Windows Server 2012 のサーバーの基本的な構成と管理をリモートから行えるように設計されています。[サーバー マネージャー]は Windows Server 2012 R2 の GUI 使用サーバーに含まれますが、Windows 8.1 用のリモート サーバー管理ツールをインストールすることで、Windows 8.1 Pro または Windows 8.1 Enterprise のコンピューターでも利用可能です。
Windows 8.1 用のリモート サーバー管理ツール http://www.microsoft.com/ja-jp/download/details.aspx?id=39296
[サーバー マネージャー]に Active Directory ドメイン内のすべてのドメイン コントローラーを管理対象として追加すると、[サーバー マネージャー > AD DS]の管理インターフェイスを使用して、各ドメイン コントローラーで発生したイベント、サービスの稼働状況、パフォーマンス (CPU およびメモリ)、インストール済みの役割サービスを確認できます。[サーバー マネージャー]にはさまざまなサーバーの役割に対応したベスト プラクティス アナライザー (BPA) が付属しており、ドメイン コントローラーに対してスキャンを実行することで、Active Directory の構成上の問題や推奨設定を確認することができます。
[サーバー マネージャー]のサーバーの一覧から特定のドメイン コントローラーを選択して右クリックすると、コンテキスト メニューからドメイン コントローラーの再起動 (ローカル サーバーの場合はシャットダウン) したり、後述する Active Directory の管理ツールを開始して、選択したドメイン コントローラーに接続して管理できます。
- 25 -
画面: ベスト プラクティス アナライザーを使用して、構成上の問題点や推奨設定を確認する
画面: [サーバー マネージャー]から Active Directory の管理ツールを開始する
Active Directory の管理ツールActive Directory には、さまざまな管理ツールと管理インターフェイスが用意されています。
MMC スナップインActive Directory の管理のために提供される MMC スナップインとしては、次の 5 つがあります。いずれも、以前のバージョンの Active Directory から存在する、お馴染みのスナップインでしょう。
Active Directory ユーザーとコンピューター(Dsa.msc) このスナップインは、ユーザー、コン・・・ピューター、グループ、共有プリンターなどのディレクトリ オブジェクトの管理と、組織単位 (OU) による階層化、パスワードのリセットなどを行うためのツールです。ドメインの FSMO の操作マスターの役割 (RID プール マスター、PDC エミュレーター、インフラストラクチャ マスター) の変更やドメインの機能レベルの昇格、BitLocker ドライブ暗号化の回復キーの検索にも使用します。
Active Directory ドメインと信頼関係 (Domain.msc) このスナップインは、フォレスト レベルの管・・・理を行うためのツールであり、フォレスト内のドメインや外部ドメインとの信頼関係を管理します。また、フォレストの操作マスターであるドメイン名前付けマスターの役割の変更やフォレストの機能レベルの昇格、各ドメインの機能レベルの昇格、および UPN (ユーザー プリンシパル名) サフィックスの管理を行います。
- 26 -
Active Directory サイトとサービス (Dssite.msc) このスナップインは、・・・ Active Directory のサイトの作成とドメイン内およびサイト間のレプリケーション トポロジを管理するためのツールです。既定で Default-First-Site-Name サイトが作成されますが、物理ネットワークの IP サブネットに合わせてサイトを分割し、レプリケーションを最適化するのが一般的です。
Active Direcroty スキーマ このスナップインは、・・・ Active Directory スキーマの表示とセキュリティを管理するためのツールです。このスナップインは既定ではインストールされません。スナップインを利用するには、regsvr32.exe schmmgmt.dll を実行して、空の MMC スナップイン (mmc.exe) に手動で追加する必要があります。
ADSI エディター (Adsiedit.msc) このスナップインは、・・・ LDAP 編集ツールです。フォレストおよびドメインのすべてのオブジェクトの参照と、属性値の編集が可能です。
Windows Server 2008 以降の Active Directory では、組織単位 (OU) やディレクトリ オブジェクトに[誤って削除されないようにオブジェクトを保護する]というオプションが追加されました。Windows Server 2003 の Active Directory には無かった設定なので、ここで説明しておきます。
新規に作成する組織単位 (OU) では、このオプションが既定で有効になります。このオプションが有効になっている場合、組織単位 (OU) やオブジェクトを削除しようとしてもブロックされます。組織単位 (OU) はディレクトリ階層を定義する重要な要素であり、グループ ポリシーの適用対象にもなるため、誤って削除されると影響が大きく、既定で保護されます。オブジェクトの保護を解除するには、[Active Directory ユーザーとコンピューター]の[表示]メニューから[拡張機能]を選択してから組織単位 (OU) やオブジェクトのプロパティを開き、[オブジェクト]タブで[誤って削除されないようにオブジェクトを保護する]のチェック ボックスをオフにします。
画面: 組織単位 (OU) ではオブジェクトの保護が既定で有効
コマンドライン ツールActive Directory には、Active Directory のさまざまな管理タスクの実行やトラブルシューティングに利用できる、多数のコマンドライン ツールが用意されています。具体的には、Dcdiag.exe、Dsacls.exe、Dsdbutil.exe、Dsmgmt.exe、Ldp.exe、Netdom.exe、Nltest.exe、Ntdsutil.exe、Repadmin.exe、Gpfixup.exe、Dcgpofix.exe といったツールがあります。
Windows PowerShell 用の Active Directory モジュールWindows PowerShell 用の ActiveDirectory モジュールは、150 近くの豊富なコマンドレットを提供します。コマンドレットの一覧は、次のコマンドラインを実行して取得できます。
Get-command -module ActiveDirectory
Active Directory 管理センター
- 27 -
[Active Directory 管理センター](Dsac.exe) は、Windows PowerShell 用の ActiveDirectory モジュールが初めて標準搭載された Windows Server 2008 R2 から提供されている、比較的新しい管理ツールです。前述したように、この管理ツールの特徴は Windows PowerShell のテクノロジに基づいており、従来の MMC スナップイン ベースの管理ツールを横断して管理を行える点にあります。Active Directory の基本的な管理タスクは、この管理ツールだけで行えます。[Windows PowerShell 履歴]を使用できるので、Windows PowerShell による管理を学んだり、繰り返しタスクをスクリプト化したりするのに利用できます。また、Active Directory ごみ箱、細かい設定が可能なパスワード ポリシー、ダイナミック アクセス制御、認証ポリシー サイロの設定は、この管理ツールを使用して行います。
画面: Active Directory 管理センター
グループ ポリシーの管理Active Directory のドメインを導入するとグループ ポリシーによるポリシー管理が可能になりますが、そのための管理ツールとして[グループ ポリシーの管理]スナップイン (Gpmc.msc) が提供されます。
このスナップインは、Windows Server 2008 で初めて標準搭載されました。Windows Server 2003 に対してもオプションでダウンロード提供されていたので、ご存知の方は多いはずです。このスナップインが提供される以前は、[Active Directory ユーザーとコンピューター]で Domain Controllers コンテナーや OU (組織単位) のプロパティを開き、[グループ ポリシー]タブからグループ ポリシー オブジェクトのリンクや編集を行う必要がありました。
管理用テンプレートの追加Windows Server 2012 R2 のグループ ポリシーは、グループ ポリシーをサポートする Windows XP および Windows Server 2003 以前の Windows の管理が可能です。Windows Server 2003 の Active Directory ドメインからアップグレードした場合は、以前のグループ ポリシーの設定がそのまま引き継がれます。ただし、Windows Server 2008 および Windows Vista 以降の Windows では、レジストリ ベースのグループ ポリシー設定 (管理用テンプレート) を提供するテンプレートに ADMX という新しい形式が採用されていることには注意が必要です。
新しい管理用テンプレートは言語に依存しない ADMX (.admx) ファイルと言語固有の ADMX (.adml) ファイルで構成され、既定で ADMX (.admx) ファイルは %Systemroot%\PolicyDefinitions に、ADMX (.adml) ファイルは %Systemroot%\PolicyDefinitions\ja-JP や en-US に格納されています。[グループ ポリシーの管理]スナップインから起動する[グループ ポリシー管理エディター]スナップイン (Gpme.msc) は、これらの ADMX ファイルを参照して[コンピューターの構成\ポリシー\管理用テンプレート]および[ユーザーの構成\ポリシー\管理用テンプレート]を表示します。
ADMX 形式の管理用テンプレートは、[管理用テンプレート]を右クリックして[テンプレートの追加と削除]を選択しても追加することはできません。%Systemroot%\PolicyDefinitions の下に ADMX ファイルを保存して追加する必要があります。例えば、以下の URL から Office 2013 の管理用テンプレートを取得
- 28 -
できますが、展開したファイルに含まれる ADMX ファイルは %Systemroot%\PolicyDefinitions の下に配置してください。
Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool http://www.microsoft.com/en-us/download/details.aspx?id=35554
この方法で追加した管理用テンプレートを利用できるのは、%Systemroot%\PolicyDefinitions の下に ADMX ファイルをコピーしたコンピューターに限られます。すべてのドメイン コントローラーで常に同じ管理用テンプレートを利用するには、管理用テンプレートのセントラル ストアを構成してください。
セントラル ストアの構成セントラル ストアを構成するには、任意のドメイン コントローラーの %Windir%\Sysvol\domain\Policies\PolicyDefinitions にローカルの PolicyDefinitions の内容をコピーします。この場所は SYSVOL 共有に含まれるため、すべてのドメイン コントローラーにレプリケーションされます。[グループ ポリシー管理エディター]スナップインは、SYSVOL 共有にセントラル ストアを検見つけると、セントラル ストアから管理用テンプレートを取得します。
なお、旧形式の管理用テンプレートである ADM (.adm) ファイルの使用も引き続きサポートされます。旧形式の管理用テンプレートを追加するには、[管理テンプレート]を右クリックして[テンプレートの追加と削除]をクリックして追加します。追加した旧形式のテンプレートは、[管理用テンプレート\従来の管理用テンプレート (ADM)]の下に表示され、編集可能になります。なお、追加した旧形式の管理用テンプレートは、グループ ポリシー オブジェクトのリソースとして SYSVOL 共有に保存されるため、セントラル ストアの存在に関係なく、すべてのドメイン コントローラーで編集可能になります。
画面: 管理用テンプレートのセントラル ストアを構成する
グループ ポリシーの基本設定の旧 Windows のサポートWindows Server 2008 以降の Active Directory ドメイン サービスでは、グループ ポリシーの基本設定というグループ ポリシーの拡張機能が導入されました。Windows Vista SP1 以降の Windows はグループ ポリシーの基本設定に標準で対応しています。Windows Vista RTM、Windows XP SP2 以降、および Windows Server 2003 以降は、「グループ ポリシーの基本設定クライアント側拡張機能」をインストールすることで対応可能です。詳しくは、以下のドキュメントで確認してください。
グループ ポリシー基本設定ファースト ステップ ガイド http://technet.microsoft.com/ja-jp/library/cc731892(v=ws.10).aspx
Operations Manager による監視System Center 2012 R2 Operations Manager の監視環境を利用できる場合は、以下の URL で公開されている Active Directory ドメイン サービス用の管理パックをインポートすることで、Windows
- 29 -
Server 2003 から Windows Server 2012 R2 までの Active Directory の正常性と可用性、パフォーマンスを詳細に監視することができます。
Active Directory Domain Services Management Pack for System Center (言語: English) http://www.microsoft.com/en-us/download/details.aspx?id=21357
画面: 管理パックが提供する Active Directory のダイアグラム ビュー
ディレクトリのバックアップと回復Active Directory のディレクトリおよび SYSVOL 共有は、Windows Server 2012 R2 標準のバックアップ ツールである[Windows Server バックアップ]や、System Center 2012 R2 Data Protection Manager でスケジュール バックアップすることができます。
Active Directory の回復に必要なデータは、[システム状態]に含まれます。[システム状態]には、Active Directory のディレクトリと SYSVOL 共有のデータ以外にも、レジストリ、COM+クラス登録データベース、ブート ファイル、Windows ファイル保護で保護されるシステム ファイルなど、多数のファイルが含まれます。クリーン インストールしたドメイン コントローラーの場合でも、[システム状態]だけで 7 GB 以上になります。[システム状態]を個別に選択した場合、バックアップ対象を選択するためにファイル システム全体が検索され、負荷が増大します。そのため、[システム全体]または[ベアメタル回復]または C: ドライブ全体のバックアップの一部として、[システム状態]をバックアップすることをお勧めします。
- 30 -
画面: [システム状態]個別よりも[システム全体]または[ベアメタル回復]のほうが効率的
バックアップの有効期限Active Directory のバックアップには 180 日という有効期限があることにも注意が必要です。有効期限が切れたバックアップからはディレクトリを回復することはできません。180 日の有効期限は Windows Server 2003 SP1 以降からもののです。Windows Server 2003 の時点で Active Directory ドメインを導入した場合で、新しいバージョンの Active Directory に段階的にアップグレードした場合は、Windows Server 2003 以前の既定の有効期限である 60 日のままの場合もあります。
Active Directory のシステム状態のバックアップの有効期間について http://support.microsoft.com/kb/216993/ja
ディレクトリの回復ドメイン コントローラーで[システム状態]を復元する場合は、ドメイン コントローラーをディレクトリ サービスの修復モード (起動時に F8キーを押してモードを選択) で起動して、WBADMIN コマンドを使用して権限のない復元 (Nonauthoritative Restore) または権限のある復元 (Authoritative Restore) のいずれかを実行します。権限のない復元を実行する場合は、WBADMIN コマンドに -authsysvol オプションを指定してシステム状態を復元します。権限のある復元を実行する場合は、WBADMIN コマンドでシステム状態を復元 (-authsysvol を指定しない) したあと、NTDSUTIL AUTHORITATIVE RESTORE コマンドを使用してオブジェクトに権限ありのマークを付けます。詳しくは、以下のドキュメントで確認してください。
AD DS の権限のない復元の実行 http://technet.microsoft.com/ja-jp/library/cc730683(v=ws.10)
削除された AD DS オブジェクトの権限のある復元の実行 http://technet.microsoft.com/ja-jp/library/cc755296(v=ws.10).aspx
画面: Active Directory のディレクトリをバックアップから回復するには、ディレクトリ サービス復元モードで起動して特別な回復操作を実行する必要がある
Windows Server 2012 以降の Hyper-V 上で Windows Server 2012 以降の仮想化されたドメイン コントローラーを運用している場合は、仮想マシンのバックアップから仮想マシン単位でドメイン コントローラーを回復できます。ディレクトリ サービス復元モードしての回復操作は必要ありません。仮想環境上でのセーフ ガード機能 (「USN ロールバックを自動回避するセーフガード機能 」を参照) が働き、最新のディレクトリを正常なドメイン コントローラーからレプリケーションで取得して、権限のない復元による回復と同様の正常な状態にまで自動復旧します。
- 31 -
まとめWindows Server 2012 R2 は、次の 10 年の IT 基盤を支える、サーバー、仮想化、およびクラウド プラットフォームです。延長サポートは最短でも 2023 年 1 月 11 日 (日本時間) まで続くので、修正プログラムやセキュリティ更新プログラムにより、安全で安心なサーバー運用が可能です。
このガイドで説明したように、Windows Server 2012 R2 の Active Directory フォレスト/ドメインに移行することで、細かい設定が可能なパスワード ポリシーや Active Directory ごみ箱、動的アクセス制御など、Active Directory のすべての機能が利用可能になるほか、グループ ポリシーを使用した最新 Windows のセキュリティ設定やデスクトップ環境を一元管理できるようになります。さらには、マイクロソフトのパブリック クラウドと連携したディレクトリ統合やシングル サインオンの実装が容易になります。ドメイン コントローラーの仮想化対応により、ディレクトリのバックアップや回復がより簡単に実施できるようになります。
現在、Windows Server 2003 ベースで運用している場合でも、いま Windows Server 2012 R2 の Active Directory フォレスト/ドメインに移行を済ませておけば、次期バージョンへの移行はインプレース アップグレードで対応できるので簡単です。Windows Server 2003 のフォレストおよびドメインの機能レベルのサポートは、早ければ次のバージョンで削除される予定です。このガイドで説明した方法による移行ができるのは、これが最後の機会になるかもしれません。
評価リソース
製品評価版評価版のダウンロード: Windows Server 2012 R2 http://technet.microsoft.com/ja-jp/evalcenter/dn205286.aspx
評価版のダウンロード: System Center 2012 R2 http://technet.microsoft.com/ja-JP/evalcenter/dn205295
評価版のダウンロード: Windows 8.1 Enterprise http://technet.microsoft.com/ja-jp/evalcenter/hh699156.aspx
評価版のダウンロード: Microsoft System Center 2012 R2 Configuration Manager および Endpoint Protection http://technet.microsoft.com/ja-JP/evalcenter/dn205297.aspx
ホワイト ペーパーWindows Server 2012 R2 & System Center 2012 R2 評価ガイド http://download.microsoft.com/download/C/7/7/C770DF09-5B00-4546-8FE9-DB7F3D759156/WSSC12R2GA_EvalGuide_v1.0.docxWindows Server 2012 R2 マイグレーション ガイド http://download.microsoft.com/download/0/7/B/07BE7A3C-07B9-4173-B251-6865ADA98E5D/WS2012R2_MigrationGuide_v2.0.docxその他のホワイト ペーパー http://technet.microsoft.com/ja-jp/windowsserver/hh553001
- 32 -
