読者です 読者をやめる 読者になる 読者になる

Windows Serverをゆるゆると愛でる

Windows Server(主にActive Directory関連)について割とヌルく取り上げるブログです。

ドメインの機能レベルを考える(6)Windows Server 2008 R2

こんにちは。
ドメインの機能レベルについてあーだこーだ言うブログ、6回目はWindows Server 2008 R2です。
Windows Server 2008と比べて少しだけ機能が追加された感じです。さすがR2。ちなみに2008 R2ではフォレストの機能レベルの追加機能として「Active Directoryごみ箱」が追加されました。こちらについてはまたいつか。

1. 認証メカニズムの保証

ドメインユーザーの認証時に使用される認証方式の種類(ユーザー/パスワード、スマートカード)をKerberosトークンにパッケージするという機能です。ADフェデレーションサービスといったフェデレーションID管理基盤が実装されたネットワーク環境でこの機能が有効化されると、ユーザーのログオン方法に基づいて承認の可否を判断する要求対応型(claims-aware)アプリケーションへアクセスするたびにKerberosトークンに含まれる(認証方式に関する)情報が抽出されます...と直訳っぽくなりましたが、近年IDパスワード方式に代わる生体認証やPINベースなど様々な認証方法が登場し、それぞれがどの程度のリスクかを比較することができる(複数出てきたので比較することができる、と言うのが正しいです)ようになりました。それに伴い、よりセキュアな認証方式の場合のみ承認する、と言った制御も出てくるようになってきています。この機能ではそういった認証方式をKerberos認証の中にパッケージングすることによって、他のサーバーが認証情報を利用するときにこの情報を利用することができるようになるものです。

2. 自動的なSPNの管理

SPN(Service Principal Name)はクライアントがサービスの名前を一意に判別するための名前で、これによりサービスをセキュアに実行することができます。
SPN自体の説明については国井さんのブログの説明が非常にわかりやすいです。

azuread.netWindows Server 2008 R2の機能追加では管理サービスアカウントのSPNの管理が簡略化されました。サービスアカウントの新機能について記載されたドキュメントを見てみると以下のように記載されています。

Service Accounts Step-by-Step Guide

If the domain is at the Windows Server 2008 R2 functional level, the SPN management of managed service accounts is simplified. Specifically, the DNS part of the managed service account SPN is changed from oldname.domain-dns-suffix.com to newname.domain-dns-suffix.com for all managed service accounts installed on the computer in the following four situations:

  • The samaccountname property of the computer is changed.
  • The DNS name property of the computer is changed.
  • A samaccountname property is added for the computer.
  • A dns-host-name property is added for the computer.

簡単に訳すと以下のようになります。

ドメインの機能レベルがWindows Server 2008 R2の場合、管理サービスアカウントのSPNの管理が簡略化されています。特に、コンピューター上にインストールされた全ての管理サービスアカウントについて、以下の4つの条件で管理サービスアカウントのSPNのDNS部分が"oldname.domain-dns-suffix.com"から"newname.domain-dns-suffix.com"に変更された場合です。

  • コンピューターの"samaccountname"属性が変更された場合
  • コンピューターのDNSホスト名属性が変更された場合
  • "samaccountname"属性がコンピューターに追加された場合
  • "dns-host-name"属性がコンピューターに追加された場合

 

Windows Server 2008 R2で追加された機能はどちらもセキュリティとそれに伴う運用性を意識した機能追加のように見えます。Windows Server 2003Windows Server 2008のときのような目に見える機能追加ではないですが(裏返すとその辺りで目に見える機能追加はひと段落したのかもしれませんが)、こういう細かい部分の機能追加で洗練されて言っているように思います。