WindowsServer2012R2の検証ほうこくー
2013.07.26 Author: さー
こんにちは。
さーです。
サッカー東アジア杯で日本代表が戦っておりますが、ディフェンスが崩壊しておりボッコボッコにされてますね。
組織力の大切さ、組織力とは一朝一夕にはできないものだと切に感じております。
ちなみにさーは、昨日スコールのような集中豪雨でボッコボッコにされました。
さて、WindowsServer2012R2の評価版がでてきました。
今年中にはリリースされるような雰囲気を醸し出してますね。
インストールしてみてインターフェースで2012と最も異なると感じるのは、
クイックアクセスメニューです。
個人的には、シャットダウンをサーバーで記載しないほうが良いのでは?と考えてます。
では機能に入っていきます。
Windowsサーバーといえば、ADがメインとなるのは古今東西変わりはないと思ってます。
よって、まずはADの新機能についてみていきたいと思います。
・ADの構築の仕方
ほぼ2012と変わりません。
スムーズに構築できました。
構築中におや?と思ったのが
「機能レベル2012R2」が存在するということです。
さっそく調査してみると現時点では日本語で説明はありません。
英語をみると、、、
これまた2012の説明しかありません。。。
http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels%28WS.10%29.aspx
ということで、とりあえず2012の説明
・ドメイン機能レベル
The KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy
has two settings ( Always provide claims and Fail unarmored authentication requests ) that require
Windows Server 2012 domain functional level. For more information, see
要は、「KDC で信頼性情報、複合認証、および Kerberos 防御をサポートする」ということでしょう。
まあ、2012の基本機能がADでも使用できるということでしょう。
・フォレスト機能レベル
All of the features that are available at the Windows Server 2008 R2 forest functional level,
but no additional features.
2008R2と同等ということですね。はい。
2012R2もOS同等の機能がADで使用できると考えればよいかと考えてます。
・インターフェース
[Active Directory管理センター]管理ツールを開いてみてみると、
[Authentication]という項目が増えていることがわかります。
なんでここだけ英語のまま?と思いますが(笑)
・AD 2012R2の特徴
http://blogs.technet.com/b/ad/archive/2013/07/10/extending-device-support-in-active-directory.aspx
上記によると、
1、Workplace Join:
→Windows8.1、iOSの一時ドメイン参加
2、Work from anywhere:
→ADによるデバイス管理
3、Single Sign-On (SSO):
→SSO重視
4、Multi-Factor authentication (MFA):
→多要素認証
5、Multi-Factor Access Control:
→WEB Application Proxy機能の追加
OAuth 2.0 support:
→OAuth2プロトコルの追加
よって、
クレームベース認証にてサポートするプロトコルの種類は、
・WS-Trust
・WS-Federation
・SAML2.0
・OAuth2.0
となります。
・AD FS2.1について
2012R2のADFSですが、大きく機能として変更されたのはIISを使用しなくなったことです。
ですが、最初使用するもんだと思っていたので、オレオレ証明書でADFSを構築しました(笑)
ちなみにさきほど記載したWorkplace Joinは、
Web Application Proxyと呼ばれる機能を使用しますが
ADFSと同じサーバーにはインストールできません。
エラーを返されます。
また、説明がまだ英語です(笑)
インストールが終了して、コンソールを立ち上げると
「認証ポリシー」というメニューが新規で追加されています。
そして、エンドポイントを確認するとOAuth2.0が確認できます。
1.0のときはあまり気にしてなかったですが、いよいよ来たか??という感はありますね。
・2012R2からの非推奨機能
File Replication Service (FRS) の非推奨
グループポリシーのデータが格納されているフォルダーである、SYSVOLフォルダーを
ドメインコントローラー間でレプリケーションするためのメカニズムです。
samba4.0でできないのはこれのせいか?と思ったり。。
また、他のバージョンのOSと混在してADを構築する場合には機能レベルの定義がまだ曖昧である以上注意が必要かと考えてます。
samba4.0と2012R2でADドメイン構築してみると面白いかなと考えてますが、
それはまた別のお話。