Help us understand the problem. What is going on with this article?

.localドメイン環境にMacOSをぶち込もうとした戦い

はじめに

弊社におけるクライアントPCはWindows10が主となっておりますが、
今回社内でMacOSを標準化することになったので、その検証等々を綴らせていただこうと思います。

本稿で触れるざっくりとした内容

  • .localドメイン環境に何とかしてMacOSを組み込もうとした戦いの備忘録

バージョンや環境

  • MacOS(Mojave/Catalina)
  • Windows(Windows10.1809)
  • ActiveDirectory(WindowsServer2016)
  • ドメイン構成(シングルフォレスト・マルチドメイン環境)

序章

私、生まれも育ちもMicrosoftのWindows、というチャキチャキのMSっ子なので、
実はつい最近までMacOSでコピペすらできませんでした。
そんな中、社内のマカーからの圧倒的圧力に屈し、MacOSを標準化させる運びとなりました。

色々と検証してみた(イメージのクローニング検証)

色々と整備しなければならないことはありましたが、標準設定と大量生産ラインだけは確保しておこうと
まずはイメージ作成の検証から手を付け始めることにいたしました。

弊社で利用しているクローニングツールがSymantecGhostなのですが、予想の通りサポート対象外でした。
Symantec公式ドキュメント

したらばということで、Mac標準機能を利用することといたしました。
Mac でディスクユーティリティを使用してディスクイメージを作成する

色々と検証してみた(ドメイン参加検証)

続いてはドメイン参加の検証です。
昨今おおよその企業様がActiveDirectoryを利用されているかと思いますが、弊社ももれなく前述の構成環境で
ActiveDirectoryを構築しております。

とりあえずドメインに参加させてみました。
手順については公式ドキュメントが見当たりませんでしたが、ググれば知見はすぐに拾えるかと思います。
特に難なくドメイン参加まで完了したのですが、その後じわじわと不穏な挙動を示し始めます。

  • パスワード変更後にログインができない(新旧両パスワードがはじかれる)
  • 至る所でAD認証が通らない(AD接続できてんの?)
  • インターネット接続がメチャクチャ遅い(DNSのレスポンスが悪い?)

で、ちょっと調べて合点了解
Apple 製のデバイスで社内ネットワークの '.local' ドメインを開けない場合

( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \

だめじゃん、うち思いっきりXXX.localじゃん、草も生えんわww

あの手この手で悪戦苦闘

試しに検証AD環境を構築してみました。
testtest.co.jp的な奴
※DC×2/DNS/DHCP/ファイルサーバのサービス構築

そこに先ほどと同じMacOSをドメイン参加させてみると・・・
ぶりぶり動きます。先ほどの不穏な挙動な何だったんでしょうw

では、元凶と思しきmDNSを無効化してみるかと。
えいっ!(MacOS側で以下のコマンド実行
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist
はい、単純に名前解決が出来なくなるだけでしたw

※もし上記コマンドを実施された方は以下のコマンドから再ロードをお忘れなきよう
sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist




他にできそうなこと、何かあるかな・・・
何も思いつかないなぁ・・・
ドメイン変える?いや、そこまでする?






するとどこからともなく聞こえてきました。

yro_ki.jpg

視点を変えて

そもそもにActiveDirectoryを使う必要あるのか。
公式ドキュメントで否定されているのであれば、それに従じるのが一番手っ取り早いのではなかろうか。
という考えのもと、以下の仕様に行きつきました。(あくまでもMacOS利用に限った話です)

  • ドメイン参加          → 諦める
  • ユーザオブジェクトの一元管理  → 諦める(ローカルアカウントで良しとする)
  • コンピュータの一元管理     → 諦める(資産管理ソフトのエージェント入れてれば十分という結論)
  • ユーザアクセス権の管理     → IDaaSで余裕だった(弊社の場合Onelogin)
  • グループポリシーの代替は?   → 諦める(標準設定のみ順守、そもそもMacにGPO当たらないし、macOS Serverも使い物にならなさそうだし)

まとめ

そもそも論になってしまうのですが、数年前から脱オンプレを標榜して様々なサービスをクラウド化しており、一般的にドメイン環境に依存する以下のような社内サービスの利用に関しても影響が皆無だったため、今回のような設定に踏み切ることが出来ました。

  • 共有フォルダ  → Box
  • メールシステム → Office365
  • VPN       → SecureDesktop
  • 複合機     → ペーパーレス推奨のため、ほぼ使われていない
  • クラウド認証  → Onelogin

だからと言って、既存のWindowsClientをActiveDirectory環境から外す気は今のところサラサラありませんが、
何かをなしたいときに旧システムが邪魔をするということは様々な場面であり得ることかと思います。
特にクラウドが強固になっているこの時代、一見継接ぎに見えようが、こういった構成で脱オンプレを進めてみるのもいかがでしょうか?

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした