MENU
category

[Active Directory]ドメイン参加クライアントのログオン認証プロセスは

  1. ドメイン コントローラー (DC) の検索
    クライアント コンピューターは、すでに以前にログオンを行っており、自身が所属しているサイト情報を保持している場合には、起動後に DNS サーバーに以下のクエリーを送信します。

    _LDAP_TCP.._site.dc_msdcs.

    サイト名の情報を持たない場合 (DynamicSiteName 値を持っていない場合) にはサイト名を指定しない形で以下のようなクエリーを送信します。

    _LDAP_TCP.dc_msdcs.
  1. LDAP Ping
    クライアント コンピューターは、 上記 1. で得たドメイン コントローラー (以降 DC) のリストに対して LDAP Ping (LDAP Search) を 0.1 秒間隔で送信します。

  2. サイト検索
    DC はクライアント コンピューターからの LDAP Ping に応答を返しますが、このときに DC はクライアント コンピューターの IP アドレスを確認し、クライアント コンピューターにとってより適切なサイトがあれば、そのサイト名の情報を含めて応答します。

           
  3. LDAP Ping を受け取った DC はクライアントに応答し、クライアントは最初に応答したDC に対してログオンを試行いたしますが、クライアントはログオンのためにユーザー ID / パスワードをクライアントよりドメイン コントローラーへ送り、 LDAP認証つきの LDAP Search を実施します。

  4. Active Directoryによる認証(コンピュータアカウント)
    Active Directoryによるコンピュータアカウントの認証を実施し、DC との間でセキュア チャネルを確立する。

  5. Active Directoryによる認証(ユーザー認証)
    ユーザー ID / パスワードによりKerberos 認証を行います。
    なお、キャッシュログオンを使用しない場合とキャッシュログオンを使用する場合があります。
    ※TGTチケットのやりとりについては、以下を参照。
  • 補足
    通常、ドメインにログオンした際には認証が行われ、ユーザー チケットが発行されます。
    このユーザー チケットには、そのユーザーのセキュリティ ID (SID) や所属するグループの SID が含まれております。ユーザー チケットはユーザー ログオン時に発行され、有効期間が切れている場合はネットワーク リソースへのアクセス時に更新されます。
  1. グループポリシーのロード
    クライアントはSYSVOL (DC 上の標準共有ポイント) に接続し該当するグループ ポリシー オブジェクトをロードします。
    ※上記6.までの認証が正常に行われていないと、グループ ポリシーを読み込むことができません。
  1. クライアント証明書の自動登録
    クライアントは、グループ ポリシー オブジェクトが適用されると、クライアント側で証明書の自動登録イベントが発生します。
           
  1. 時間の同期
    クライアントは認証 DC に合わせて時間を更新します。
           
  1. DNS の動的更新
    クライアント DNS データベースでクライアント名を更新します。
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

目次