読者です 読者をやめる 読者になる 読者になる

danishnetのブログ

「デキるネットワークエンジニアになるために。」

宣言! ライフ・エンジニアリング始めます。

  この3年で結婚をして初の子供も生まれてたものの、引っ越しなど新しい環境に慣れることに精一杯で、なかなか長期的に生活の基盤を維持するための行動ができていませんでした。

  例えば夫婦の突然の重たい病気、今後増えていく子供の教育費への備え、万が一の自身や妻の他界の備えなど、具体的には保険や資産運用・年金などライフプランニングを無視できない年齢や家庭環境になってきました。僕の年齢からすれば遅めだと思いますが、この半年〜一年でほとんどの検討と初段階行動を済ませたいと思い日々の考えをまとめようと思いココに宣言しました。

 

  ニュアンスは変わってくるかも知れませんが僕は情報ネットワークを専門とする「エンジニア」なので、これらをプランニングする行動をライフ・プランニングではなく「ライフ・エンジニアリング」と独自語で呼んで、計画や最適だと思う設計を始めようと思います。遊びレベルの定義なので、正しい日本語であることの是非は問わない。

 

大事なことは


  いつ(どの段階)で、何のために、いくら位お金が必要か

を明確にして、日々の収入でどこまでなら賄えるのかを整理、そして各段階に対してどのツールを使用するのが的確なのかを設計することがライフ・エンジニアリングってことだ。いまは各々のツール(保険や投資制度)を思いつきで雑然と情報を点として仕入れて頭の中に有るだけだ。

 

  今後は各ツールの機能の詳細、時には組み合わせでお得とか裏ワザ的なところを深堀して調べて、各点を線や面にしていくことが重要だ。ツールとしては生命保険、医療保険、学資保険、年金制度などなど。住宅ローンや子供の学費、老後の生活資金などの考慮すべき点がいっぱいですぐには答えは出ないと思いますが、正解ではなく、より良い答えを導くという気持ちで進めて行こうと思います。

ゴールは将来的に起こりえる無理難題をツールを使って事前回避し、家族みんなが心に余裕の有る生活を送ること!


そのためにライフ・エンジニアリングを始めます!

イーサネット新規格「マルチギガビット・イーサネット (IEEE 802.3bz)」

2016年9月23日に承認(標準規格化)された規格で、2.5ギガビット/秒ないし5ギガビット/秒の仕様のイーサネットの規格。マルチギガビット・イーサネットと呼ばれる。
既存のギガビット・イーサネットと10ギガビット・イーサネットの中間的な通信速度となる。

IEEE 802.3ab(1000BASE-T)を利用している場合、ケーブルはCat5eないしCat6を敷設していることが多いのでそれを流用してIEEE 802.3bz(2.5/5GBASE-T)の理論値の最大値5Gbpsの通信を行える。もちろんマルチギガビット対応の機器は必要となるが、2.5/5GBASE-TではCat5e/6のケーブルが敷設されていればケーブルの入れ替えが必要ないため、IEEE 802.3abの場合ケーブルはそのままで通信速度向上が可能というところはユーザーにとっての大きなメリットだ。
IEEE 802.3an(10GBASE-T)の場合は一般的にCat6Aより上位のケーブルが必要とされるためこの中間解を選択するケースは多くなるだろう。

 

バッファロー社が既にIEEE 802.3bz(2.5/5GBASE-T)規格に対応した法人向けスイッチ「BS-MP20シリーズ」を、2017年春に販売開始すると発表している。このスイッチの価格が非常に気になるところです。

catalyst2960スタック(StackWise)構成の作り方

Cisco Catalyst2960xをスイッチのスタック構成について作り方や確認・設定方法をまとめておく。

 

正式にはStackWise、物理的に複数台のスイッチを仮想的に1台のスイッチとして動かす。これにより冗長化や管理性の向上が期待できるが、その概念や実装はそれほど複雑ではない印象がある。

前提としてスタック対応の機種である事、Ciscoのページでちゃんとスタック対応機種であるか事前確認が必要である。例えばLAN-Liteシリーズは低廉価モデルであるため非対応である。またスタックモジュールがスイッチの本体価格と比較して意外と高く、スイッチ1台に対してスタックモジュール1台必要なので、導入時はこれらも含めて検討が必要なので価格で盲点とならないように事前確認が必要です。

■スタックの基本的な構成概念
スタック は「マスター」と「メンバー」で構成する。スタック マスターの役割は設定を制御し、スタックを一元管理すること。例えばVLAN VTP、DTP、CDP、LLDPやSNMPなど管理トラフィックもマスターに転送される。設定が変更された場合、スタック マスターは設定のコピーをすべてのメンバに送信しすべてのメンバに、保存された設定のコピーが提供される

スタックを組んでいるすべてのメンバに、稼働状態にあるFlexStackリンク(Stackモジュール間のStackケーブル)がそれぞれ 2 本ずつ接続されていれば完全冗長モードで動作。2筐体間を1本繋ぐだけでは非冗長モードで動作し。冗長性は確保できない。このスタックでは、可能な帯域幅の半分しかメンバ間に提供されておらず、冗長接続性はない。


■スタックに必要なパーツ - FlexStack モジュール
冒頭に書いたが、スイッチ シャーシにスタックケーブルを接続するためのFlexStack モジュールを差し込む必要がある。搭載時はネジは指で締める以上にきつく締めない様注意すること。
スタックモジュール、スタックケーブルを接続するときの手順は以下の通りになる。

  1. 1台目(マスター)にスタックモジュールを差して電源投入

起動後に状態確認

switch1#sh switch
Switch/Stack Mac Address : xxxx.xxxx.xxxx
                                           H/W   Current
Switch#  Role   Mac Address     Priority Version  State
----------------------------------------------------------
*1       Master xxxx.xxxx.xxxx     1      4       Ready

switch1#
switch1#show switch stack-ports
  Switch #    Port 1       Port 2
  --------    ------       ------
    1          Down         Down

switch1#
switch1#show switch neighbors
  Switch #    Port 1       Port 2
  --------    ------       ------
      1        None          None

(確認) Role:Master で Current State:Readyになっているため、マスタとしての状態は問題なし。現状はマスタがスタンドアロンで機能している状態

  2. 2台目  スタックモジュールを差して、スタックケーブルを2本さしてから電源投入。さしてから電源投入すること。

2台目起動中の1台目で出力したコンソールログ

Oct 10 12:03:03.674: %STACKMGR-4-STACK_LINK_CHANGE: Stack Port 1 Switch 1 has changed to state UP
Oct 10 12:03:48.728: %STACKMGR-4-SWITCH_ADDED: Switch 2 has been ADDED to the stack
Oct 10 12:03:58.312: %STACKMGR-5-SWITCH_READY:Switch 2 is READY
Oct 10 12:03:58.312: %STACKMGR-4-STACK_LINK_CHANGE: Stack Port 1 Switch 2 has changed to state UP
Oct 10 12:03:58.312: %STACKMGR-4-STACK_LINK_CHANGE: Stack Port 2 Switch 2 has changed to state UP
Oct 10 12:03:58.246: %STACKMGR-5-MASTER_READY: Master Switch 1 is READY (switch1-2)
Oct 10 12:03:03.674: %STACKMGR-4-STACK_LINK_CHANGE: Stack Port 2 Switch 1 has changed to state UP
Oct 10 12:03:58.822: %STACKMGR-5-SWITCH_READY: Switch 2 is READY (switch1-2)
Oct 10 12:04:03.859: %CFGMGR-4-SLAVE_WRITING_STARTUP_CFG: only master can do that (switch1-2)
Oct 10 12:04:03.859: %CFGMGR-4-SLAVE_WRITING_STARTUP_CFG: only master can do that (switch1-2)

起動後に状態確認。show switchではメンバの数、マスターであるメンバ、すべてのメンバの状況などが確認できる。

switch1#sh switch
Switch/Stack Mac Address : xxxx.xxxx.xxxx
                                           H/W   Current
Switch#  Role   Mac Address     Priority Version  State
----------------------------------------------------------
*1       Master xxxx.xxxx.xxxx     1      4       Ready
 2       Member yyyy.yyyy.yyyy     1      4       Ready


(確認) Role:MemberでCurrentState:Readyとなっているためスタックメンバーとして参加したことがわかる。
(メモ) スタックメンバのCurrent Stateは「Ready」以外に、次のいずれかの状態を取る
   「progressing」:ブート中
   「mismatch」   :ハードウェアまたはソフトウェアの不一致によりメンバが参加不可の状態
   「provisioned」:メンバ設定済みであるが1度もスタック参加実績がない
   「removed」    :現在電源が投入されていないスタック メンバ、またはスタックから削除されたスタック メンバ

switch1#sh switch neighbors
  Switch #    Port 1       Port 2
  --------    ------       ------
      1         2             2
      2         1             1

switch1#sh switch stack-ports
  Switch #    Port 1       Port 2
  --------    ------       ------
    1           Ok           Ok
    2           Ok           Ok

(メモ) ここで注意ですがswitch2にはコンフィグ投入して、確かにwrite memoryしてからスタックへメンバー参加させたのですが、スタック後の「各ポートのコンフィグ」が消えてました。スタックにすればポート番号に筐体番号が付加されるからかと思いますが、何か引き継ぐ様な手順や反映ルールがないかは要調査です。実際に使用する現場でのコンフィグ投入するというのが無難かも知れません。

今度は2台目の電源を落としてみる。

Oct 10 12:11:58.675: %STACKMGR-4-STACK_LINK_CHANGE: Stack Port 1 Switch 1 has changed to state DOWN
Oct 10 12:11:58.675: %STACKMGR-4-STACK_LINK_CHANGE: Stack Port 2 Switch 1 has changed to state DOWN
Oct 10 12:12:00.426: %STACKMGR-4-SWITCH_REMOVED: Switch 2 has been REMOVED from the stack

switch1#show switch neighbors
  Switch #    Port 1       Port 2
  --------    ------       ------
      1        None          None

switch1#sh switch stack-ports
  Switch #    Port 1       Port 2
  --------    ------       ------
    1          Down         Down


switch1#sh switch
Switch/Stack Mac Address : xxxx.xxxx.xxxx
                                           H/W   Current
Switch#  Role   Mac Address     Priority Version  State
----------------------------------------------------------
*1       Master xxxx.xxxx.xxxx     1      4       Ready
 2       Member 0000.0000.0000     0      0       Removed

メンバーはRemovedになり、stack-portはDown状態となる。

■FlexStack LED の動作
筐体前面にある LED でもスタック動作を確認できます。複数の Cisco Catalyst 2960 スイッチを 1スタックした場合、スタック マスターの「MSTR」LED のみが緑に点灯します。同じスタックグループの他のメンバの LED は点灯しません

■FlexStack のスタック台数の上限
「sシリーズ FlexStack」4台までスタック可能。「xシリーズ FlexStack-Plus」8台までスタック可能。混在すると4台まで(sシリーズに引きずられる)。

■FlexStack の運用
マスターの MAC アドレスが、論理スタックの MAC アドレスとして使用される。特定のスイッチをスタック マスターにする方法としては、下記リンクに記載がある通り。
http://www.cisco.com/web/JP/product/hs/switches/cat2960x/prodlit/white_paper_c11-728327.html
----------------------------------------------------------------------------------------
FlexStack でマスターの選択に使用される選択ルールは、次の順序で適用されます。

1.現在マスターであるスイッチ
2.最高の優先度を持つスイッチ
3.設定ファイルを保持するスイッチ
4.稼働時間が最も長いスイッチ
5.MAC アドレス ブロックが最小のスイッチ
----------------------------------------------------------------------------------------
詳細は該当ページを参照する。

■マスターの設定
マスタの故障したときに、別のスイッチにマスターが入れ替わるようなバックアップとして意識して設定するとよい。プライマリ マスターの優先度が14、他のすべてのメンバの優先度が1に設定されているとき、例えばあるメンバの優先度を5の様に、1よりも大きく、14よりも小さい値に設定すればマスターが故障した時にその優先と5のメンバがセカンダリ マスターになる。

danishnetの2016年の目標達成振り返り --- 2017年の目標の前に。

久々の更新になりました。


去年は気づけばブログの更新がたった4つと非常に寂しい結果となってしまいました。
何が忙しかったのか。やはり、仕事で長期に渡る大きなプロジェクトが一件あったこと、子育てに時間を費やしていたこと、LPICの資格取得、親戚の健康面や仕事面でのフォローをしたこと、そして転職活動をしていた事でしょうか。

  ブログは基本的にはなるべく技術的な記事を書きたく、1つの結果や体系・ストーリーができるところまでいかないと更新ができないという思いがネックで更新頻度が低くなっているのは明らか。ブログの更新作業はやはり自分の考えを不定期にでもまとめるという意味で絶大に役に立っていることは実感している。転職の面接でもITエンジニアの向き不向きの記事で、エンジニアに必要な素養は何かを真剣に考えたからこそ回答できた質問がありました。他にもあとから簡単に振り返ることもできるなど大きなメリットを感じているのでもっともっと活用していきたい!


誰に対して発信しているということは意識的にはないので小記事でも積立方式でなるべく形に残して、最後にマトメとかでも良いのかなと思ってます。とにかくやったことや考えたことの記録を残す。あとでマトメや削除・追加の記事整理をしてもよいのかと思いました。

  更新自体の振り返りは以上で、新年ということもあり昨年の目標達成度を評価していみたいと思います。

【昨年の振り返り】
昨年目標の大項目としては以下のものでした。

 1. 家族の健康
 2. 新しい交友関係を開拓する
 3. 仕事とそれに付随する勉強。さらなるスキルアップ

それぞれに対して振り返ると、

1.家族の健康
自分自身はほとんど健康(コレは高評価!)で、妻や子供も自分と親戚でカバーすることで大きな問題になる事はありませんでした。
子供はまだ小さいので風邪を引くのはしょっちゅうなのは仕方ないことですが、一番大きかったのは突発でした。これは育児本にいくつも対策があるので問題は大きくはなかった。大事としては妻が慢性の疲労からか、6月にウィルス性胃腸炎で入院したことですが、親やきょうだいの助けもあり乗り切ることができました。自分の健康や家庭への貢献度を考慮すると、点数は80点くらいでしょうか。

2. 新しい交友関係を開拓する
→これがまるっきりダメでした。一応、外部のカンファレンスなどにも参加してチャンスはあったはずなのですが、新しい交友関係というものはできませんでした。いざ人を目の前にすると少し面倒臭さと怖がっている自分がいたように思えました。一昨年はもうちょっと頑張った気がします。チャンスを作った事自体は加点すると考えて、点数は40点くらいです。今年は新しい職場ということもあるので必然的にな新しい交友関係は増えますが、昨年分も取り戻すつもりで、人怖じせず広げていきたい。
今年の目標として「社外の人で、2人新しい友人を作る」を掲げたいと思います。

3. 仕事とそれに付随する勉強。さらなるスキルアップ
→昨年の目標として「Linuxをもっと勉強したい、ある特定範囲のネットワーク技術をCCIEレベルまで高める、というのが当面の目標」と掲げていましたが、LPICレベル1の取得できたこととレベル2の触り位は勉強できたことが目に見える成果かなと思います。その流れか転職の関係から、DNSやメール(SMTP)、暗号化などインフラ周りの技術について振り返っていた様に思います。特定範囲をCCIEレベルまで高めるというのは、実質役に立つ場がなかったためやらなかったという結果です。
印象としては割かし幅広くActiveDirectory、PythonLinuxDNSシェルスクリプト電子証明書や暗号化技術、ブランチ接続(VPN,IPsec,PPPoEなど)をちょっとずつ勉強したという印象ですが、LPICで結果がでた以外であまり達成感はない感じです。総合すると65点くらいかなぁ。

以上、3項目の平均点としては80+40+65=185点なので62点位か。微妙な感じですね。でも感覚的にもそれくらいかなと思いますが、給料アップでの転職を決められたことも追加点しても良いと思うので、

 

去年の総合評価点数は65点

 

としておきましょう。交友関係が広がれば一気にアップするという事を意識して今年の目標を立てたいと思います!!

(メモ)Ciscoのcatalyst(L2SW)のduplex/speedの設定について

接続先デバイスが自動ネゴシエーションでない100BASE-Tのデバイスである場合

<ポイント>

  -duplexはfullまたはhalfを「明示的に設定」

 -速度をautoに設定。自動ネゴシエーションによって正しい速度が選択される。

 

はじめてのRadius認証 - ubuntuでfreeRadius

久しぶりの更新になりました。
前メインプロジェクトが山場を越えて、少し落ち着きました。かなり中途半端な内容になりそうですが、ブログの更新がしたくてたまらなくネタを探しておりました笑


今回はRadius認証をテーマに、Radiusサーバは自分で構築したことがなかったので、興味を持ったのと理解を深めるため構築する。
今回はRadius認証の初歩的なところを構築する。構成は至ってシンプルで下記の通り。

 PC---L3SW---ubuntu(LinuxServer)
 
 <<IP構成>>
  【PC】(.1)--192.168.1.0/24--(.254)【L3SW】(.100)--192.168.11.0/24--(.14)【LinuxSerer】

L3SWにログイン時にRadius認証を使用したい。Radius認証のクライアントとサーバですが、
RadiusクライアントはPCではなくL3SWで、ubuntuRadiusサーバとなる。
このPCから入力されたユーザーID/PW情報を元に、L3SWがRadiusクライアントとして
ubuntuにログイン可否を問い合わせてログインしてもいいですよと「認証」をする。
この一連の流れがRadius認証だ。

ubuntu(LinuxServer)に「freeRadius」をインストールして構築します。

L3SWはcatalyst3750(Cisco)を使用、
PCは普通のノートPC(OSはubuntu14.10)を使用した。

今回はインストールしたfreeRadiusでは以下の4つのファイルの設定が必要


  1.radiusd.conf
  2.clients.conf
  3.users
  4.eap.conf

そしてfreeRadiusの機能ではないが、Radius認証に使用する通信ポートをサーバ側で受け付けるべく、iptablesの設定ubuntuに設定する必要があり、
それプラスRadiusクライアント(L3SW:catalyst3750)側のAAA設定も必要となる。

さて概要は以上の通りなので、さっそく1.radiusd.confの設定から順に
見ていくことしよう。


 ☆☆☆☆☆ Radiusサーバ側(ubuntu)の設定 ☆☆☆☆☆

■1.radiusd.conf の設定
Radius認証に使う通信ポートを指定する。

  ※編集前にcopyコマンドなどで同一ディレクトリにバックアップをとっておく。
    danishnet:/etc/freeradius# cd /etc/freeradius
    danishnet:/etc/freeradius# cp radiusd.conf radiusd.conf.org

 (変更前) #port = 0
 (変更後)  port = 1812
Radius認証で使用するポート(サーバ側がRadius認証=Access-Requestを受けるポート)を1812(UDP)に指定する。

(変更前) #auth = no
(変更後)  auth = yes
→ 認証を要求したユーザの認証ログを残す設定

また、他にもLinuxシステムのアカウントと連携させて認証させたい場合の記述や、
認証方法をCHAPにするときの記述などコレをいじる必要がありますが、
今回は初歩的設定なので割愛します。

■2.clients.conf の設定
※編集前にcopyコマンドなどで同一ディレクトリにバックアップをとっておく。
 
danishnet:/etc/freeradius#vi clients.conf

〜略〜

#client 192.168.0.0/16 {
#    secret        = testing123-2
#    shortname    = private-network-2
#}
-----上記例にならってココを追加------
client 192.168.11.100/32 {
    secret      = Cisco123
    shortname   = private-network-1
-------------------------------------
→今回はRadiusクライアントとしてL3SW(192.168.11.100)しかいないため/32で設定しているが
  実環境では192.168.1.0/24など認証エリア設計に合わせて変更が必要。
  shortnameは任意の値(何でもいい)らしい。
  ☆1>ここでsecretの値であるCisco123が共有鍵となるので重要です。後に出てくる
        Radiusクライアント(L3SW)側でもこれを共通鍵とする設定が必要なためです。

■3.users の設定
ログイン可能なユーザーを事前にRadiusサーバ側で登録設定しておく必要がある。
その登録をこのusersファイルにする。

danishnet:/etc/freeradius#vi users

〜略〜

#"John Doe"    Cleartext-Password := "hello"
#        Reply-Message = "Hello, %{User-Name}"
-----上記例にならってココを追加------
Radanish        Cleartest-Password := "hello"
         Reply-Message = "I allow you to login !! Hello , %{User-Name}"
-------------------------------------
#
→平文でユーザー名:Radanish パスワード:hello でユーザー登録。
  Reply-Messageはなんだろう?といま設定しながらやっている。某サイトで

このテキストが存在する場合、その文字列が access accept パケットで戻されます。

とあったので、Access Acceptで「I allow you to login !! Hello , Radanish」ってメッセージが返る?成功時のワクワクを期待してこんなMessageにした。


■4.eap.conf の設定
EAPを使った認証(EAP-TTLS、EAP-PEAPなど)の設定を行います。

danishnet:/etc/freeradius#vi eap.conf

〜略〜

----------------------ココを追加---------------------------------------------
eap {
 
                default_eap_type =peap
                timer_expire     = 60
                ignore_unknown_eap_types = yes
                cisco_accounting_username_bug = no
                max_sessions = 4096
 
                  tls {
            
            certdir = ${confdir}/certs
            cadir = ${confdir}/certs
            private_key_password = whatever
            private_key_file = ${certdir}/server.key
            certificate_file = ${certdir}/server.pem
            CA_file = ${cadir}/ca.pem
            dh_file = ${certdir}/dh
            random_file = /dev/urandom
            CA_path = ${cadir}
            cipher_list = &quot;DEFAULT&quot;
 
            make_cert_command = &quot;${certdir}/bootstrap&quot;
 
            cache {
                  enable = no
                  lifetime = 24 # hours        
                  max_entries = 255
            }
            verify {
            
            }
        }
 
        ttls {
            default_eap_type = mschapv2
                copy_request_to_tunnel = yes
            use_tunneled_reply = yes
        }
 
        peap {
            default_eap_type = mschapv2
        }
        mschapv2 {
        }
    }
                mschap {
                  authtype = MS-CHAP
                  use_mppe = yes
                  require_encryption = yes
                  require_strong = yes
               }
----------------------------------------------------------------------------

そして1〜4.の設定を反映させるためにfreeRadiusを再起動します。
# /etc/init.d/freeradius restart

ではサーバ側の最後の設定としてRadius認証の通信ポートを開けるべく
iptableの設定をします。通常、1812(Authentication),1813(Accounting)を
使用するため、この2つを開けます。(Authenticationとは今回使用するアクセス管理の事、
Accountingとはコマンド/接続時間/イベントなどログが記録できる機能の事。)

-------iptableの設定-----------------
danishnet:/etc/freeradius# iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 1812:1813 -j ACCEPT
danishnet:/etc/freeradius#
danishnet:/etc/freeradius# iptables  --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  192.168.1.0/24       anywhere             udp dpts:radius:radius-acct
--------------------------------


 ☆☆☆☆☆ Radiusクライアント側(catalyst3750)の設定 ☆☆☆☆☆

次はRadiusクライアント、すなわちcatalyst3750の設定です。

(今回はL3SWを使用しているが、例えば無線APをおいてRadiusで接続認証するときなどにも使用でき、その場合は無線APがRadiusクライアントとなる。 )

IOSの世代が12.台だったので結構古いと思われる。

 

Switch(config)# aaa new-model

Switch(config)# aaa authentication login default group radius

Switch(config) # radius-server host 192.168.11.14 auth-port 1812 acct-port 1813 key Cisco123

 

三つ目のkey Cisco123の部分を上記のclients.confの☆1で書いたように、secret値のCisco123の共有鍵に合わせる必要がある。

 

-----------------------------------------------------------------------------------

さて、ここまで設定して、PCから実際にL3SWへの認証を試みたが。。。。

エラーとなってしまった。。。。

メッセージは下記の通り。現在、解析中。

 

  □calatalystのdebug;

 %RADIUS-4-RADIUS_DEAD: RADIUS server 192.168.11.14:1812,1813 is not responding.

 %RADIUS-4-RADIUS_ALIVE: RADIUS server 192.168.11.14:1812,1813 has returned.

 

 □ubuntutcpdump;

 04:44:42.975922 IP 192.168.11.100.datametrics > 192.168.11.14.radius: RADIUS, Access Request (1), id: 0x09 length: 79
 04:44:42.975960 IP 192.168.11.14 > 192.168.11.100: ICMP 192.168.11.14 udp port radius unreachable, length 115

 

 

Access Requestはubuntuまで届いているようだが、ポートまで到達できていないみたい。

iptablesの設定不備かなぁ。。。。誰かわかったら教えてください(泣)

 

 

学び初め - Active Directory

いままでずっと使ってきました。Active Directory。1ユーザーとして。ずっと会社のクライアントPCはAD環境でした。

 昔はなんとなーくそんなんがあるなぁ、でもL3屋さんの仕事じゃないなぁなんて見てみないふりをしてきて、どこかの時点でやっとそろそろ知っておかないとなぁと思い始めました。だけどやらず終い。それでどれだけ経ったでしょうか。たとえネットワークが専門とはいえ、これだけ広く使用されている且つ会社の今後のOffice365の導入の流れもあるしで、このままではいかんと一念発起することにしました。

 事の発端は、会社の海外拠点のIT周りのインフラを全般整えるという大きなプロジェクトの専任になったからというのがあります。ネットワークだけでなくITっぽいことは全部やる(電話系もプリンタも)事になって、AD導入は当然として、いままで逃げてきたもの達についに立ち向かわざるを得なくなったためという感じで。VMwareとかADはまだ想定内だったとして、PBXやネットワークプリンタまで今から勉強することになるとは思ってなかった。

 いい機会なので一番興味があって知識が欲しいと思ったActive Directoryから始めることにしたため早速MCPのActiveDirectoryのKindle版を購入しました。

 まー今回は最後はベンダさんに設定はお願いするから自分でごりごりサーバ立ち上げるとかはないと思うけど、せめてベンダのエンジニアと話ができるくらいにはなっておかないと。というのが目の前の目標です。そのためにこのブログで知識整理をしていこう。

前置きが長くなった。まずは用語を覚えるところから。

 

■ADの専門用語

フォレストActive Directoryで管理できる最も大きな単位。1つ以上のドメインで構成される。1つ目のドメインを構築した時に自動的に作成される。

オブジェクトドメインに登録したユーザーアカウントやコンピューターアカウントのこと

ドメイン】ユーザーオブジェクトやコンピューターオブジェクトなどの登録情報、ActiveDirectoryに公開した共有フォルダーやプリンタ情報、システムやアプリケーションの構成情報などが保存される。

ドメインコントローラー】AD DS(Active Directory Directory Service)をインストールしたコンピューターの事で、ドメイン全体を管理する。ドメインコントローラーは冗長性を持たせるために2台以上で構成する。同一ドメインドメインコントローラーは、ディレクトリデータベースの完全なコピーを持つ。DCの基本機能としてユーザーがログインするときの認証サーバ(Kerberos認証)として動作する。構築するためにはDcpromo.exeというプログラムを実行。(同時にDNSサーバのインストールも必須となる。)

  ちなみにADのディレクトリサービスLDAP、ファイル共有はSMBプロトコルを使用する。この辺はネットワークエンジニアとしてのKerberos Authenticationの説明が非常にわかりやすく、視野拡大のため一通り覚えておきたい。

OU(Organizational Unit)ドメイン上に作成するオブジェクトの入れ物(入れ物と表現している。)

DNSサーバ】ActiveDirectoryドメイン環境でドメインに参加しているコンピューターがADデータベースにアクセスする際に(ユーザーログオン認証など)、DNSサーバにドメインコントローラーに情報を問い合わせるために必要となる。

フォワーダーDNSサーバ自身で名前解決が解決できない際に、別のDNSサーバに名前解決要求をフォワード(転送)する機能の事。この機能を使用すればインターネット上のDNSドメイン階層と統合させる事ができる。

 【グローバルカタログサーバ】フォレスト内の全ドメインのユーザーやコンピューターなど、利用頻度の高い情報が保存されるサーバ。これにより他のドメインに存在するユーザーやコンピューターなどのオブジェクトを検索するすることができる。

 

 

 

 <<<ADとは集中管理型の認証基盤であることがわかるが、ADを使用しない場合にデフォルト認証方式であるWORKGROUPついてまとめる。>>>

 

■WORKGROUP

ドメインコントローラーによる集中管理型のADに対して、WORKGROUPはローカル管理型のシステムという特徴があります。(Windows Server 2008のインストール後は、デフォルトでワークグループとして動作するよう構成される。最初のワークグループ名は「WORKGROUP」である。)

 

【WORKGROUPの特徴】

  ●各コンピューターは「ローカルに」SAM(Security Account Manager)ファイルというユーザーアカウントデータベースを持つ
  ●ユーザーがコンピューターにログオンする場合、コンピューターのローカルSAMファイルに登録されているユーザー名とパスワードを入力する必要がある。
  ●ログオン後、ネットワーク経由で他のコンピューターにアクセスするときは、アクセス先のSAMに登録されているユーザー名とパスワードの組み合わせで認証される必要があります。

 

ドメインに参加するWindowsコンピューターは、Active Directory に登録されているユーザーだけでなく、ローカルSAMファイルに登録されているユーザーを利用することも可能。ただし、ユーザー管理が分散するために非推奨である。