Azure Active Directory Domain Services(Azure ADDS)キホンのキ

883 Views

January 27, 18

azure active directory

スライド概要

Azureの仮想マシンをActive Directoryのメンバーにしたいことはしばしばあります。
Azure Active Directory Domain Services(Azure ADDS)を使えば、ドメインコントローラー用の仮想マシンを作ることなく、Active Directoryドメインサービスを簡単に構成できます。
本セッションでは、Azure ADDSの構築手順を紹介し、Azure ADDSの機能や制限、Azure Active Directory(Azure AD)との連係について解説します。

profile-image
スライド一覧

トレノケート株式会社で、Windows ServerとAzureを中心に技術者向けトレーニングを担当

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

ダウンロード(pdf - 1.25MB)

関連スライド

slide-thumbnail

今さら聞けない! Active Directoryドメインサービス入門
adds active directory windows server
user-img ヨコヤマ(横山哲也) 3.1K
slide-thumbnail

今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
adds active directory
user-img ヨコヤマ(横山哲也) 1.6K
slide-thumbnail

Azure AD DSドメインに仮想マシンを参加させる
azure active directory azure ad
user-img ヨコヤマ(横山哲也) 1.2K
slide-thumbnail

Microsoft Azureを使った災害復旧の基礎
windows backup cloud azure hyper-v dr microsoft azure
user-img ヨコヤマ(横山哲也) 653
slide-thumbnail

Windows Server 2012 R2によるガバナンス強化
security windows server
user-img ヨコヤマ(横山哲也) 468
slide-thumbnail

Hyper-V、オンプレミスでもコンテナを
windows container hyper-v docker
user-img ヨコヤマ(横山哲也) 403
各ページのテキスト
1.

Azure Active Directory Domain Services (Azure ADDS) キホンのキ 横山 哲也 Microsoft MVP トレノケート株式会社 (旧グローバルナレッジネットワーク) https://www.trainocate.co.jp

2.

横山 哲也 (トレノケート株式会社)  1994年~ ITプロ向けWindows関連教育  2003年~ マイクロソフトMVP  だいたいDirectory Servicesで受賞  2017年はCloud and Datacenter Management  最近の著書・雑誌記事(いずれも日経BP)  ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版  グループポリシー逆引きリファレンス厳選98(監修・共著)  日経クラウドファースト 「業務システムで役立つ Azureのコア知識」  ソーシャルメディア  ブログ: ヨコヤマ企画 http://yp.g20k.jp/ 2

3.

今日の目標  Azure ADDSを構成  メンバーサーバーを構成  メンバーサーバーにGPOを適用 3

4.

Agenda  Active Directory概要  Azure ADDSの構築準備  Azure ADDSの構築  Azure ADDS構築後の追加作業  AAD DC Administratorsの権限  ユーザー管理  グループポリシーの利用  Azure ADDSの制限  Azure ADDSの利用  Azure ADDS vs. ADDS 4

5.

Active Directory概要  IDおよびアクセス管理機能に対するブランド  米国の商標は形容詞(固有形容詞)  従来のActive Directory = Active Directory Domain Services (ADDS) Window NT以前 Window 2000~2003 Window Server 2008 Windows NT LAN Manager Active Directory Active Directory Domain Services Active Directory なんとかサービス 5

6.

【注意】今日出てくるActive Directory  Azure AD  Azure Active Directory  AzureとOffice 365のユーザー管理  ADDS  Active Directory Domain Services  オンプレミスのユーザー&コンピューター管理  Azure ADDS  Azure Active Directory Domain Services  Azureのユーザー&コンピューター管理 6

7.

Active Directory概要: ADDS  ADDSの利用シーン  グループポリシーによるコンピューター管理の自動化  リモート管理  フェールオーバークラスター  グループの管理されたサービス アカウント  ADDS構築要件  (事実上)専用のドメインコントローラーが必要  可用性を考えて最低2台必要  (実質的に)1日24時間×週7日稼動 ADDS自体の保守作業はほとんど不要 OSとしての保守作業(Windows Updateなど)が 意外に面倒 7

8.

Active Directory概要: Azure ADとADDS Azure AD  目的…Azure上でのID管理  アクセス許可…ロールベース  認証プロトコル  OAuth 2.0  OpenID Connect 1.0 ADDS  目的…オンプレミスのID管理と認証  アクセス許可…ロールベース(グループを流用)  認証プロトコル  NTLMv2  Kerberos v5 8

9.

Active Directory概要: Azure ADとAzure ADDS Azure AD  Azureのディレクトリサービスの基本  Azureユーザーの管理  認証プロトコル  OAuth 2.0  OpenID Connect 1.0 Azure ADDS  Azureのディレクトリサービスのオプション  AzureユーザーとAzure ADDSの自動同期  認証プロトコル  NTLMv2  Kerberos v5 9

10.

Active Directory概要: ADDSとAzure ADDS ADDS  オンプレミス  Azure ADへ同期可能 (AD Connect経由) Azure ADDS  Azureのディレクトリサービスのオプション  Azure ADから同期可能(標準機能) 共通機能  認証プロトコル  NTLMv2  Kerberos v5  グループポリシー Azure ADDS Azure AD 標準機能 ADDS AD Connect

11.

Active Directory概要: ADDSの利用  Azure ADDSを使うことで  ADDSの機能が使える  ドメインコントローラー管理が不要  Azure ADのユーザーを複製可能(AD Connect不要) これから、仮想マシンは減らしていきましょう 11

12.

Azure ADDSの構築準備  仮想ネットワーク  DC専用サブネットが望ましい  Azure ADのDNSドメイン名  カスタムドメインを構成し、プライマリドメインに設定  インターネットで有効なドメイン名が望ましい  例: demo.yokoyama-planning.com  DNSドメイン管理者権限の確認 - TXTまたはMXレコードの追加 - 例: MS=ms74085847  管理者アカウント: Azure ADDS管理者  Azure ADまたはマイクロソフトアカウント  例: admin@lab.yokoyama-planning.com 12

13.

Azure ADDSの構築  Azure AD Domain Servicesの新規作成  単一サブネットにDCを配置 同一リージョン/同一仮想ネットワーク  詳細は付録参照  Azure ADDSの構築確認  ドメインコントローラー×2台  今のところWindows Server 2012 R2の模様 13

14.

Azure ADDS構築後の追加作業: Azure仮想ネットワーク  仮想ネットワークのDNS設定  Azureの仮想マシンをドメインに参加させる場合  2台のDCのIPアドレスをDNSサーバーに指定 仮想ネットワーク DC専用サブネット 2台のドメインコントローラー兼DNS DNSのIPアドレスを登録 その他のサーバー用サブネット DHCPクライアント  既存の仮想マシンの再起動  AzureのDHCPサーバーはリースを更新しない 14

15.

Azure ADDS構築後の追加作業: Azure仮想マシン  オンプレミスと 同じ手順で ドメイン参加  ドメイン参加に使うアカウント  ユーザー名→UPN使用が望ましい →SAM IDはAzure AD同期時に変更される可能性がある  NTLM/Kerberosパスワードハッシュ必須 →Azure ADDS構成後にパスワードを変更  Azure ADDSと同期していること →Azure ADでパスワード変更後、約20分 15

16.

Azure ADDS構築後の追加作業: ユーザー権利の割り当て  Azure ADDSの管理者= AAD DC Administrators  ドメイン管理者ではない  リモートデスクトップ接続不可  AAD DC Administratorsを 以下のローカルグループに追加  Remote Desktop Users  Administrators  設定手順例 1. 2. 3. 4. ローカル管理者でログオン ADDS管理ツール &グループポリシー機能の追加 AAD DC AdministratorsをAdministratorsに追加 [制限されたグループ]の構成 16

17.

AAD DC Administratorsの権限  フォレスト…管理権限なし  ドメイン…制限付き管理権限のみ  OU作成  Creator Ownerにフルコントロール →作成したOUにアカウント作成可能  OU: AADDC Computers  コンピューターオブジェクトの既定の作成場所  コンピューターオブジェクトの作成・削除・管理  GPOリンクの管理  OU: AADDC Users  ユーザーオブジェクトの既定の複製場所  ユーザーオブジェクトの作成・変更・削除不可  GPOリンクの管理 17

18.

ユーザー管理  ドメインユーザーの構成(Azure AD)  Azure ADに新規ユーザーを作成  Azure ADの既存ユーザーのパスワードを変更  ドメインユーザーの構成(Azure ADDS)  ドメイン管理ツールをメンバーサーバーにインストール  管理を委任されたOUの管理  新規作成したOUの管理  Azure ADからAzure ADDSへは自動同期  通常は20分以内  逆の同期は不可 Azure ADDS Azure AD 標準機能 参考: https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization 18

19.

グループポリシーの利用  リンクの管理  OU: AADDC Computers  OU: AADDC Users  管理者が作成したOU  GPOの管理  Group Policy Creator Ownersのメンバー - AAD DC Administrators - 管理者が作成したGPOは管理可能  AADDC Computers GPOの編集  AADDC Users GPOの編集 19

20.

グループポリシーの利用: グループポリシーでできないこと  サイト/ドメイン/既定のOUにGPOをリンク  既定のGPOの編集  スターターGPOの構成  グループポリシーのモデル作成 要するに ドメインやフォレスト全体にかかわる作業は禁止 20

21.

Azure ADDSの制限  フォレスト管理不可  信頼関係  スキーマ拡張  サイト管理  機能レベル  ドメイン管理不可  ドメインセキュリティ  パスワードポリシー  ドメインコントローラー管理不可  Administratorsグループのメンバーシップ  ローカルログオン  既定のオブジェクト管理不可  Users/Computersコンテナ 21

22.

Azure ADDSの利用  ユーザー  Azure ADからユーザーを同期  独自にOUを作成し、新規登録  コンピューター  オンプレミスADDSと同じ  グループポリシー  独自にGPOを作成し、独自に作成したOUにリンク 22

23.

Azure ADDS vs. ADDS Azure ADDS Azure上のADDS オンプレミスADDS 基本料金 1時間あたり 仮想マシン ストレージ 帯域幅無料(同一リージョン) VPN接続 運用コスト ○おまかせ (諸説あります) ×仮想マシン管理必要 △VPN管理必要 (諸説あります) 機能制限 あり 仮想マシンの制限 なし その他 Azure AD利用 23

24.

Azure ADDS vs. ADDS: 既存ドメイン(ADDS)との連携(復習)  信頼関係は結べない  アカウント同期が可能  ADDSからAzure ADに同期…AD Connect  Azure ADからAzure ADDSに同期…基本機能 基本機能 AD Connect 24

25.

Azure ADDS vs. ADDS: コスト試算  Azure AD(無料プラン)  50万オブジェクトまで無料  Azure ADDS(東日本・西日本) オブジェクト数 時間あたり 月額(31日) ~25,000 16.80円 12,499円 ~10万 44.80円 33,331円 ~50万 179.20円 13,3324円  仮想マシンによるADDS 項目 月額(31日) 月額(1年間リザーブ) D1(1コア・3.5GBメモリ) 13,999円 8,167円 D2(2コア・7GBメモリ) 27,998円 16,409円 ストレージ(128GB×2) 1,319円  D1×2台 + ストレージ = 17,653円/月額(1年間)  社内ADDSの利用…VPN接続料金に依存 25

26.

本日の結論  Azure ADDSが使えるとき  Azureで、新しいADDSが必要な場合  Azure ADからユーザーを複製したい場合  Azure AD経由でADDSユーザーを複製したい場合  独自にOUを構成する場合 Azure ADDSを使いましょう  Azure ADDSが使えないとき  既存のADDSドメインと信頼関係が必要な場合  複数リージョンにDCを分散配置したい場合  Active Directoryのサイトを構成したい場合 仕方がないので Azure上にADDS仮想マシンを立てましょう 26

27.

付録: Azure ADDSの構築 Azureポータルを使ったAzure ADDSの構築手順

28.

Azure Active Directory Domain Servicesの作成  [新規]-[セキュリティ+ID] -[Azure AD Domain Services] 28

29.

1. 基本設定  ディレクトリ名…既定値  DNSドメイン名  その他 29

30.

2. ネットワーク設定  仮想ネットワーク  サブネット…DC専用サブネットが望ましい  いずれも 事前作成 30

31.

3. 管理者グループ設定  Azure ADDS管理者の指定  AAD DC Administratorsメンバー  以下から選択  Azure管理者  既存のAzure AD 31

32.

4. 内容の確認  これ以降のパスワード変更で、 Kerberos/NTLM認証用のパスワードハッシュが Azure ADに保存 32

33.

Azure AD DS管理ツールの確認  Azureポータル [その他]-[Azure AD Domain Services] (2018年1月8日現在[セキュリティ+ID]ではない) 33

34.

仮想ネットワークのDNS構成  Azure ADDSドメインコントローラーのIPを取得  仮想ネットワークの DNSに指定 DNS構成後、 この図は消える 34

35.

Azure ADDSの完成 35

36.

36