SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

Active Directory入門

Active Directoryの構成を検討する(2)

Active Directory 入門(5)


  • X ポスト
  • このエントリーをはてなブックマークに追加

 Windows Server 2000以降で提供されたActive Directory認証では、Windows NT Serverが提供していたNTドメイン環境では不要だった、DNSと時刻同期の仕組みが必要となりました。まずは、Windows Server 2000以降に導入されたActive Directoryがなぜ時刻同期を必要とするのかについて簡単に見て行きたいと思います。

  • X ポスト
  • このエントリーをはてなブックマークに追加

 前回は、Active Directoryの構成を検討する際の検討事項およびFSMOの機能について見てきました。

 Windows Server 2000以降で提供されたActive Directory認証においては、Windows NT Serverが提供していたNTドメイン環境では不要だったDNSと時刻同期の仕組みが必要となりました。まずは、Windows Server 2000以降に導入されたActive Directoryがなぜ時刻同期を必要とするのかについて簡単に見て行きたいと思います。

Kerberos認証と時刻同期

 Windows 2000 Server以降導入されたActive Directoryにてドメイン認証を実施する場合、Kerberosによる認証が行われます。

 Kerberosではネットワークサービスへのアクセス用にチケットを発行し、これらのチケットには、要求されたサービスへのアクセスに対してユーザ本人であることを確認するための暗号化された情報が格納されます。その結果として、ユーザはパスワードなどの資格情報の入力を行わずに認証処理ができるようになります。

 Kerberosを利用するActive Directoryの認証では、資格情報の偽装を防止するため、既定ではサーバとクライアントの時刻が5分以内である必要があります。

 ドメインコントローラと時間が5分以上ずれた場合はドメインにログオンできなくなるため、クライアントがドメインコントローラと時刻同期できる仕組み(ネットワーク通信など)を考慮する必要があります。

 PDCエミュレータのドメインコントローラの時刻を基本して、ドメイン全体を同期します。PDCエミュレータの役割を保持するドメインコントローラに対して、それ以外のドメインコントローラが時刻同期を行う形です。ドメインのメンバサーバやクライアントは、自身がログオンしているドメインコントローラに対して時刻同期を行います。

外部NTPサーバとの時刻同期について

 Active Directory環境は、PDCエミュレータに対して同期を行う仕組みであることを紹介しました。

 他のシステムのサーバと同期を取りたい場合は、個別にサーバ単位で設定してしまうと、ドメインコントローラと時刻がずれて認証ができなくなる可能性があるため、通常はPDCエミュレータに対して設定を行います。

 PDCエミュレータから外部NTPサーバへは、以下のいずれかの方法で参照することができます。

  • コマンドでの設定
  • レジストリへの反映

 具体的な設定方法については、後ほど紹介いたします。

図 時刻同期の経路
図 時刻同期の経路

まとめ

 Active Directoryの認証方式としてはKerberos認証が用いられており、その中でドメインコントローラとクライアントの時刻が5分以上ずれている場合は認証ができない仕様のため、時刻同期の仕組みが不可欠となっています。

 すべてのドメインコントローラは、PDCエミュレータの役割を保持するドメインコントローラへ時刻同期を行い、メンバサーバやクライアントコンピュータは自身がログオンするドメインコントローラへ時刻同期を行います。

 また、外部のNTPサーバへ同期するためには、ファイアウォールなどでUDPの123番ポートを同期先のNTPサーバに対して通信が可能なように構成する必要があります。

 Windows 2000 Server以前は、時刻同期の仕組みとして、Simple Network Time Protocol(SNTP)に対応していました。SNTPの仕様については、RFP1769をあわせて参照ください。

 Windows Server 2003以降では、時刻同期の仕組みとしては、Network Time Protocol(NTP)にも対応し、厳密な時刻同期も行えるようになりました。NTPの仕様については、RFC1305をあわせて参照ください。

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
Active Directory入門連載記事一覧

もっと読む

この記事の著者

櫻井 敬子(たーきょん)(サクライ タカコ)

コンピュータ関係の総合商社、アミューズメント系企業の情報システムを経て、NTTデータ先端技術(株)へ入社。2008年9月より(株)NTTデータ 基盤システム事業本部へ出向し、Microsoft製品、VMwareなどを中心とする部門にて勤務。2011年4月よりシステム基盤全般にかかわる部署へ異動し、各種トラブル対応や標準化にかかわる業務を担当。2011年6月中旬よりNTTデータ先端技術(株)へ出向復帰。Windowsを含...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

黒田 剛(クロダ ゴウ)

(株)NTTデータ 基盤システム事業本部にて、システム基盤全体の技術支援を行う。 

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/5953 2011/06/13 13:22

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング