【図解】Active Directory の認証プロトコルと起動/ログオンシーケンス

Active Directoryドメイン参加PCの起動シーケンス

Active Directory では認証プロトコルとして Kerberos を使っています。

Kerberos の詳細については以下をご参照下さい。

関連記事

Kerberos とは Kerberos (読み方:ケルベロス) とはシングルサインオンを実現する『認証・認可プロトコル』です。最新のバージョンは V5 で、RFC4120 にて規格化されています。TCP:88 番ポートを使います。 […]

認証というと一般にユーザ認証を思い浮かべると思いますが、実は Active Directory ではコンピュータ認証も実施しています。これはドメイン参加しているPCが別物に成り代わって無いかを調べるだけで、セキュリティ的にはあまり意味は無いです。

ドメインに参加した PC の起動シーケンスの概要を以下に示します。

実際のパケットキャプチャ (.pcap) を以下からダウンロードできます。

https://milestone-of-se.nesuke.com/pcap/start-pc-joined-to-domain.pcap

上記 .pcap ファイルを Wireshark のメニューバーの「統計(S)」⇒「IPv4 Statistics」⇒「Destinations and Ports」で統計を取ってみると以下のようになります。

UDP の 53 は DNS, 389 は CLDAP (Connectionless LDAP), 123 は NTP です。NTPはログオンシーケンスと直接は関係ありませんが、時刻同期は Kerberos 認証では必須です。

TCP の 88 は Kerberos, 49670 と 49667 と 135 は MS-RPC, 445 は SMB/CIFS, 389 は LDAP です。

Active Directoryドメイン参加PCのログオンシーケンス

ログオンシーケンスの概要を以下に示します。

実際のパケットキャプチャ (.pcap) を以下からダウンロードできます。

https://milestone-of-se.nesuke.com/pcap/logon-to-pc-joined-to-domain.pcap

上記 .pcap ファイルを Wireshark のメニューバーの「統計(S)」⇒「IPv4 Statistics」⇒「Destinations and Ports」で統計を取ってみると以下のようになります。

LDAP ではユーザーの構成として適用すべきグループポリシーの場所を検索しているようですが、グループポリシーの設定ファイル自体は PC 起動時にダウンロード済のため、ユーザ認証のタイミングではダウンロードする挙動は見られませんでした。

【厳選 3 冊】Windows を学ぶための本

Windows Serverのエディションやライセンス、用語といった基本から、セットアップ、ネットワーク、ユーザー/グループ、ディスク、ハードウェア、アクセス許可、クォータ、ボリュームシャドウコピー(VSS)、ファイル/フォルダー共有、プリンター、サーバー管理、WebサーバーやFTPサービスを提供するInternet Information Services(IIS) 10.0、Hyper-Vやコンテナー等の仮想化技術、Active Directoryまで説明します。
Active Directoryの概念および導入、構成管理方法を詳細な手順と豊富な画面を使ってわかりやすく解説します。本書では、ドメインサービスを中心に解説し、その他のサービスについても概要を解説します。Active Directoryを初めて使う方でも、画面を見ながら手順に従って操作するだけで簡単に目的の作業を行うことができます。ある程度使いなれている方には、Active Directoryをより使いこなすためのリファレンスとしてお使いいただけます。
全操作、全機能が載ってるから迷わない!基本から便利技・トラブル対応まで全部わかる!基本の操作から最新アプリ、昔ながらの操作も全部できる!はじめてのタッチ操作、はじめてのWindows10の人も安心!「やりたいこと」がすぐできるTIPS400!わかりやすい索引で「あれがしたい」「これがしたい」から探せる、側にあれば安心な1冊!自由自在Windows10を操ろう。

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG