読者です 読者をやめる 読者になる 読者になる

Windows Serverをゆるゆると愛でる

Windows Server(主にActive Directory関連)について割とヌルく取り上げるブログです。

ドメインの機能レベルを考える(4)Windows Server 2008(前編)

ドメインの機能レベルについてあーだこーだ言うブログ、4回目の今回はWindows Server 2008です。
Windows Server 2003のサポート終了とWindows Server 2016のリリースにより、機能レベルとして少なくともこのWindows Server 2008になっているところは多いのではないでしょうか。正直なところ、Windows Server 2003からWindows Server 2008の機能追加はかなり多く、それ以降はだいぶ少なくなってきている辺り、機能として十分な状態になってきたのがこのWindows Server 2008のAD DSではないでしょうか。
(サーバーの安定性は置いといて)

 

1. SYSVOLのレプリケーションにDFS(Distributed File System)をサポート

SYSVOLのレプリケーションはそれまでFRS(File Replication Service)が使用されていましたが、複製効率が悪いことやハングアップしてしまった場合に複製ができなくなる状態が発生する(私が携わった案件でも発生したことがあります...)などの欠点を持っていたため新たにDFS-Rが採用されるようになりました。Windows Server 2012 R2からは FRSが非推奨になっているため、Windows Server 2003以前から運用していて一度も移行していない場合は移行した方が良いと思います。

2. ドメインベースのDFS名前空間におけるWindows Server 2008モードの追加

DFSでは名前空間サーバーと呼ばれるサーバーを使用してバックグラウンドにいる複数のサーバーの名前を隠蔽することができますが、その際のモードに「Windows Server 2008モード」が追加されました(それまではWindows 2000モードのみ)。このモードではアクセス・ベースの列挙(ABE:Access Based Enumeration)の追加とスケーラビリティへの考慮が含まれています。アクセス・ベースの列挙は平たく言えば「アクセス許可がないフォルダーは表示しない」機能です。DFSを構築する上でモードの選択が必要になります。

3. KerberosプロトコルへのAES128/AES256のサポート

機能レベルをWindows Server 2008に変更すると、KerberosのTGT(Ticket Granting Ticket)がAESを使用して発行されるようになります。これにより、認証エラーが発生する可能性があります。この場合はKDC(Key Distribution Center)サービスを再起動することにより認証エラーを回避することができます。Exchangeを含む環境で機能レベルを変更する場合は考慮する必要があるかと思います。

4. 最後の対話型ログオンの情報

Windowsへのログオン後に以下のログオン情報が表示されます。

  • ドメイン参加したコンピューター(Windows Server 2008/Vista以降)でログオン試行に失敗した回数
  • 最後にログオンに成功してからログオン試行に失敗した回数
  • 最後にログオン試行に失敗した日時
  • 最後にログオンに成功した日時

これらは第三者によるアクセスの有無を判別するのに役に立ちます。明らかにアクセスしていない時間帯にアクセスしていた、みたいなこともありますので。ただし上記のようにドメインに参加したコンピューターでのログオン試行について表示されるため、ドメインに参加した端末にドメインユーザーでログオンした後リモートデスクトップ接続などでアクセスをした場合「サーバーにアクセスした日時」が表示されるのではなく、「端末にアクセスした日時」が表示されます。サーバーにアクセスした日時を表示させたい場合はActive Directoryディレクトリデータベース上に持たせるなどの工夫が必要になります。