Windows Server 2008ドメイン環境設計における4つの典型的な誤解

Windows
ネットワーク環境では、ドメインが中心です。実際、ドメインの概念はNT時代から提案されており、継続的に改善されてきました。 2008年のサーバー環境では、それはまったく完璧だと言えます。残念ながら、多くのシステム管理者はさまざまな理由でドメイン構造を設計する際にいくつかの典型的な誤解をしています。著者はここでいくつかの要約をします、私は読者が変更されることを願っています、そして誰もが戴冠しないでしょう。

神話1：機能レベルを混同してもパフォーマンスを最大化することはできません。

Windows 2008サーバー環境では、2003年と同様に、機能レベルの設計も採用されました。機能のレベルは、主にレガシードメインバージョンとの下位互換性を保証するために採用されています。新しいネットワーク環境では、2008年にも互換性を維持するための独自レベルの機能があります。

以下のレベルの機能が2008年にサポートされるようになりました。 2000ローカル機能レベル（コントローラが2008、2003、および2000 SP3バージョンを採用することを可能にします、それが2000ドメインコントローラである場合、それはSP3とパッチを当てる必要があることに注意してください）フォレストに追加された機能には、譲渡可能な信頼、2008年機能レベル（すべてのドメインコントローラに2008年のサーバーバージョンが必要）が含まれます。このレベルの機能は、他のサーバーやクライアントのバージョンに関係なく、主にドメインコントローラに対して見られます。デフォルトでは、サーバーは互換性の低下モードを使用して操作を実行します。

低レベルの機能を使用すると、2008年の新機能を使用できなくなります。 2003レベルの機能を使用すると、きめ細かいパスワードポリシーを採用することができなくなり、ドメインDSの機能を完全に実装することができなくなります。ご覧のとおり、機能のレベルが異なると、実際にはシステム管理者が利用できる機能が制限されます。これを行うには、ドメイン設計で、システムアナリストは2008年の新機能を確認し、これらの新機能を少なくともそのレベルで実行する必要があることを確認する必要があります。その後、企業の実態に応じてこれらの機能を使用する必要があるかどうかを判断してください。最終的に採用する必要がある機能のレベルを決定します。最初にあるレベルの機能を紹介する代わりに、どの機能が利用できないかを検討してください。この場合、馬の前のカートは逆さまになっています。

神話2：オフィスごとにドメインを設定します。

現在会社がある場合、上海と広州に1つの事務所があり、本社は北京にあります。この場合、上海と広州のそれぞれにドメインを設定する必要がありますか？多くのシステム設計者が以前にこれを行いました。実際、そのような必要性はありません。特にMicrosoftが2008年に読み取り専用ドメインコントローラを提案した後、いくつかのオフィスのために別々のドメインを設定する必要はありません。それ以外の場合は、システム管理者の作業負荷が増加するだけです。

実際、ドメインはマイクロソフトのネットワーク環境の最初の論理境界または最小の論理境界です。システムエンジニアは、ドメインの境界内からユーザーとコンピュータを管理および保存します。プリンタ、ユーザーアカウント情報、アクセス許可などが含まれます。セキュリティの観点からは、ドメインはオブジェクトの管理セキュリティ境界としても機能し、独自のセキュリティポリシーを含みます。簡単に言えば、ドメインはオブジェクトの論理構造であり、簡単に複数の物理的な場所にまたがることができるということです。これは、ドメイン構造を設計するときに、物理的な場所が主な要因ではなく（そして時には考慮する必要がある）、それが主にエンタープライズアプリケーション環境の論理構造に依存することを示しています。

したがって、実際には、地理的に異なる場所にあるオフィスに複数のドメインを設定する必要はありません。私たちはこのような昔の生活を避けるために全力を尽くさなければなりません。 2008年のアプリケーション環境では、システム管理者は読み取り専用ドメインコントローラを使用して、オフィスまたは支店のセキュリティ問題を解決できます。

わずか数十人というように、会社の支店や事務所が小さい場合は、別のドメインを設定する必要はないと考えています。反対に、企業の支店が単一の法人である場合、またはその規模が数百人の場合、企業はこの支店に専門的なシステム管理者を配置する必要があります。この時点では、管理の柔軟性を高めるために、このブランチ用に別のドメインを設定できます。つまり、場所に関係なく、地理的な場所のためにオフィスに別々のドメインを設定するのは不合理です。

神話＃3：アクセス権を使用した信頼できる配信の混乱

複数のドメインがドメインツリーを形成します。または、ドメインツリーが双方向の推移的信頼接続によって接続された複数のドメインで構成されています。この定義では、信頼双方向推移的と呼ばれるコアキーワードがあります。今ドメイン番号がある場合、A.comは信頼されたルートドメインで、B.A.COMとC.A.COMはその2つのパラレルサブドメインです。双方向の推移的信頼規則によると、AドメインがBを信頼する場合、BドメインもAドメインを信頼します。 CドメインがAドメインを信頼している場合、AドメインもBドメインを信頼しています。配信規則に従って、BはAを信頼し、AはCを信頼し、BドメインもCドメインを信頼します。

さて、質問をすると、Aドメインの管理者がBドメインとCドメインを管理できるのであれば、Bドメインの管理者もCドメインを管理できるということですか？BはAを信じているのでAはCを信じ、BはCを管理できますか？実際、ここでは概念的な誤りがあります。アクセス権と信頼を混在させます。あなたは彼をとても信頼している友達がいるようです。しかし、それは彼があなたの家事を管理できるという意味ではありません。

このため、システム管理者は、ドメインツリー環境では信頼は双方向であり、受け渡しが可能であることに留意する必要があります。しかし、これはすべてのユーザーがフルアクセス権を持っているという意味ではありません。ドメイン間の管理者にとっても、信頼はあるドメインから別のドメインへのパスを1つだけ提供します。または、信頼が管理の前提条件です。それを管理する権限を与えることができるのは、信頼に基づいてのみです。デフォルトでは、システムはあるドメインから別のドメインへのアクセスを許可しません。ドメインの管理者は、自分のドメインのリソースにアクセスするために、ユーザーまたは別のドメインの管理者に権限を付与する必要があります。

ただし、ドメインツリー内の各ドメインは共通のスキーマとグローバルカタログを共有しています。ツリー内のすべてのドメインは同じネームスペースを共有します。デフォルトのセキュリティメカニズムによれば、サブドメインの管理者はそのドメイン全体を相対的に制御できます。別のサブドメイン、さらにはルートドメインでさえ、許可なくそのドメイン内のリソースにアクセスすることはできません。このことからも、不信とアクセスが根本的に異なることがわかります。もちろん、信頼に基づいて、システム管理者は他のドメインユーザーまたはルートドメインユーザーに、必要に応じて特定の権限を付与して、自分のドメインの特定のリソースにアクセスできるようにすることができます。

要するに、システム管理者は接続と信頼権とアクセス権の違いを区別する必要があり、両者を混同することはできません。次に、これに基づいて、他のドメインのユーザーに適切なアクセス権を設定する必要があるかどうかを検討します。

神話4：デフォルトのドメイン認証モードを採用します。

2008年ネットワーク環境では、NTLM認証とKerberos認証という2つのデフォルトドメイン認証モードがサポートされています。 NTLMはNT LAN Managerの略です。この名前からわかるように、それはマイクロソフトの初期のNTネットワーク環境の認証システムに従います。このタイプのオーセンティケーターは、暗号化されたパスワードをハッシュ形式でネットワーク経由で渡します。ネットワークで送信されたコマンドの暗号化が行われますが、それでも特定のセキュリティリスクがあります。第三者の復号化ツールを使用して解読する前に、誰でもネットワークを介して渡されたハッシュ情報を監視して収集できます。クラッキングの難しさは暗号化の複雑さによって異なります。通常の本番の場合、攻撃者は辞書またはブルートフォース攻撃技術を使用してパスワードを解読できます。クラックは時間の問題です。

Kerberos認証方法が異なります。簡単に言うと、この認証方法はネットワーク上でパスワード情報を送信しないため、独自の暗号化方法はNTローカルエリアネットワーク認証システムよりも安全です。残念ながら、前方互換性のために、2008年の環境でも、マイクロソフトはデフォルトで比較的安全性の低いNTLM認証方法を採用しています。アプリケーションのセキュリティ要件が比較的高い場合には、このデフォルトのセキュリティメカニズムが採用されているため、多くのセキュリティ問題が発生しています。

システム管理者は、2つの認証モードの違いを理解する必要があります。次に、企業の実際の状況に応じて、セキュリティレベルの要件が比較的高い場合は、採用される認証モードを切り替える必要があり、より安全なKerberos認証モードが選択されます。