Shoeisha Technology Media

CodeZine(コードジン)

記事種別から探す

Active Directoryの構成を検討する(2)

Active Directory 入門(5)

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2011/06/02 14:00

 Windows Server 2000以降で提供されたActive Directory認証では、Windows NT Serverが提供していたNTドメイン環境では不要だった、DNSと時刻同期の仕組みが必要となりました。まずは、Windows Server 2000以降に導入されたActive Directoryがなぜ時刻同期を必要とするのかについて簡単に見て行きたいと思います。

 前回は、Active Directoryの構成を検討する際の検討事項およびFSMOの機能について見てきました。

 Windows Server 2000以降で提供されたActive Directory認証においては、Windows NT Serverが提供していたNTドメイン環境では不要だったDNSと時刻同期の仕組みが必要となりました。まずは、Windows Server 2000以降に導入されたActive Directoryがなぜ時刻同期を必要とするのかについて簡単に見て行きたいと思います。

Kerberos認証と時刻同期

 Windows 2000 Server以降導入されたActive Directoryにてドメイン認証を実施する場合、Kerberosによる認証が行われます。

 Kerberosではネットワークサービスへのアクセス用にチケットを発行し、これらのチケットには、要求されたサービスへのアクセスに対してユーザ本人であることを確認するための暗号化された情報が格納されます。その結果として、ユーザはパスワードなどの資格情報の入力を行わずに認証処理ができるようになります。

 Kerberosを利用するActive Directoryの認証では、資格情報の偽装を防止するため、既定ではサーバとクライアントの時刻が5分以内である必要があります。

 ドメインコントローラと時間が5分以上ずれた場合はドメインにログオンできなくなるため、クライアントがドメインコントローラと時刻同期できる仕組み(ネットワーク通信など)を考慮する必要があります。

 PDCエミュレータのドメインコントローラの時刻を基本して、ドメイン全体を同期します。PDCエミュレータの役割を保持するドメインコントローラに対して、それ以外のドメインコントローラが時刻同期を行う形です。ドメインのメンバサーバやクライアントは、自身がログオンしているドメインコントローラに対して時刻同期を行います。

外部NTPサーバとの時刻同期について

 Active Directory環境は、PDCエミュレータに対して同期を行う仕組みであることを紹介しました。

 他のシステムのサーバと同期を取りたい場合は、個別にサーバ単位で設定してしまうと、ドメインコントローラと時刻がずれて認証ができなくなる可能性があるため、通常はPDCエミュレータに対して設定を行います。

 PDCエミュレータから外部NTPサーバへは、以下のいずれかの方法で参照することができます。

  • コマンドでの設定
  • レジストリへの反映

 具体的な設定方法については、後ほど紹介いたします。

図 時刻同期の経路
図 時刻同期の経路

まとめ

 Active Directoryの認証方式としてはKerberos認証が用いられており、その中でドメインコントローラとクライアントの時刻が5分以上ずれている場合は認証ができない仕様のため、時刻同期の仕組みが不可欠となっています。

 すべてのドメインコントローラは、PDCエミュレータの役割を保持するドメインコントローラへ時刻同期を行い、メンバサーバやクライアントコンピュータは自身がログオンするドメインコントローラへ時刻同期を行います。

 また、外部のNTPサーバへ同期するためには、ファイアウォールなどでUDPの123番ポートを同期先のNTPサーバに対して通信が可能なように構成する必要があります。

 Windows 2000 Server以前は、時刻同期の仕組みとして、Simple Network Time Protocol(SNTP)に対応していました。SNTPの仕様については、RFP1769をあわせて参照ください。

 Windows Server 2003以降では、時刻同期の仕組みとしては、Network Time Protocol(NTP)にも対応し、厳密な時刻同期も行えるようになりました。NTPの仕様については、RFC1305をあわせて参照ください。



  • LINEで送る
  • このエントリーをはてなブックマークに追加

著者プロフィール

  • 櫻井 敬子(たーきょん)(サクライ タカコ)

    コンピュータ関係の総合商社、アミューズメント系企業の情報システムを経て、NTTデータ先端技術(株)へ入社。2008年9月より(株)NTTデータ 基盤システム事業本部へ出向し、Microsoft製品、VMwareなどを中心とする部門にて勤務。2011年4月よりシステム基盤全般にかかわる部署へ異動し、各...

  • 黒田 剛(クロダ ゴウ)

    (株)NTTデータ 基盤システム事業本部にて、システム基盤全体の技術支援を行う。  

バックナンバー

連載:Active Directory入門
All contents copyright © 2005-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5