Azure AD DSドメインに仮想マシンを参加させる

Azure AD DSドメインに 仮想マシンを参加させる 横山 哲也 Microsoft MVP トレノケート株式会社 (旧グローバルナレッジネットワーク) https://www.trainocate.co.jp

• https://www.trainocate.co.jp

自社紹介: トレノケート(Trainocate) Trainocate (トレノケート) Training + Advocate(先導者) かばん語(portmanteau)の一種 2

自己紹介: 横山 哲也 (トレノケート株式会社)  2003年～ マイクロソフトMVP  だいたいDirectory Servicesで受賞  2017年はCloud and Datacenter Management  最近の著書(いずれも日経BP)  ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版  グループポリシー逆引きリファレンス厳選98(監修・共著)  ブログ: ヨコヤマ企画 http://yp.g20k.jp/  好きなクラウドサービス: 仮想マシンテンプレート  好きなアイドル: まなみのりさ  好きなシンガーソングライター: 宮崎奈穂子 3

• http://yp.g20k.jp/

Agenda  今日の目標  Azure ADDSの機能を知る  社内のクライアントをAzure ADDSに参加させる  Azure ADDSを管理する  Agenda  ADDSの課題  Active Directoryブランド  Azure ADDSでできること/できないこと  Azure ADDSの構築  Azure ADDSの管理 (ドメイン/ユーザー/コンピューター)  Azure ADDSの利用のまとめ 4

【注意】今日出てくるActive Directory  Active Directory  IDおよびアクセス管理機能に対するブランド  Azure AD (クラウド固有)  Azure Active Directory  AzureとOffice 365のユーザー管理  ADDS (オンプレミス固有)  Active Directory Domain Services  オンプレミスのユーザー&コンピューター管理  Azure ADDS (オンプレミスの機能をクラウドで)  Azure Active Directory Domain Services  Azureのユーザー&コンピューター管理 5

ADDSの課題  ADDS自体の保守作業はほとんど不要  しかし  (事実上)専用のドメインコントローラーが必要  可用性を考えて最低2台必要  (実質的に)1日24時間×週7日稼動を要求 6

Active Directoryブランド: Azure ADとADDS Azure AD(クラウド)  目的…Azure上でのID管理  アクセス許可…ロールベース  認証プロトコル  OAuth 2.0  OpenID Connect 1.0 ADDS(オンプレミス)  目的…オンプレミスのID管理と認証  アクセス許可…ロールベース(グループを流用)  認証プロトコル  NTLMv2  Kerberos v5 7

Active Directoryブランド: ADDSとAzure ADDS ADDS(オンプレミス)  Azure ADへ同期可能 (AD Connect経由) Azure ADDS(クラウド)  ADDSのマネージドサービス  Azure ADのオプション的存在(同期機能付) Azure ADDS/Azure AD/ADDSの同期 Azure ADDS Azure AD 標準機能 ADDS AD Connect

Azure ADDSでできること  ADDSの基本機能  ドメインコントローラー管理 (マネージドサービス)  Azure ADのユーザーを複製(AD Connect不要) これから、仮想マシンは減らしていきましょう 9

Azure ADDSでできないこと  フォレスト管理不可  信頼関係の構築  スキーマ拡張  サイト管理  機能レベル変更  ドメイン管理不可  ドメインセキュリティ  パスワードポリシー  ドメインコントローラー管理不可  Administratorsグループのメンバーシップ  ローカルログオン  既定のオブジェクト管理不可  Users/Computersコンテナ 10

Azure ADDSの構築: 準備(1/2) 管理者アカウントとDNS  管理者アカウント: Azure ADDS管理者  Azure ADまたはマイクロソフトアカウント  例: admin@lab.yokoyama-planning.com  DNSゾーン: Azure AD用として必要  カスタムドメインを構成し、プライマリドメインに設定  インターネットで有効なドメイン名が望ましい  例: lab.yokoyama-planning.com 11

Azure ADDSの構築: 準備(2/2) Azure仮想ネットワーク  DNS設定...2台のDCをDNSとして登録  VPNゲートウェイ...社内ネットワークと接続 マネージドDC専用サブネット 2台のドメインコントローラー兼DNS 仮想ネットワーク DNSのＩＰアドレスを登録 その他のサーバー用サブネット DHCPクライアント ゲートウェイサブネット VPNゲートウェイ インターネット 社内ネットワーク 12

Azure ADDSの構築: ドメインコントローラー  Azure AD Domain Servicesの新規作成  単一サブネットにDCを配置 同一リージョン/同一仮想ネットワーク  詳細は付録参照  Azure ADDSの構築確認  ドメインコントローラー×2台  今のところWindows Server 2012 R2の模様 13

Azure ADDSの構築: メンバーサーバー/クライアント  オンプレミスと同じ手順でドメイン参加  ドメイン参加に使うアカウント  ユーザー名→UPN使用が望ましい →SAM IDはAzure AD同期時に変更される可能性がある  NTLM/Kerberosパスワードハッシュ必須 →Azure ADDS構成後にパスワードを変更  Azure ADDSと同期していること →Azure ADでパスワード変更後、約20分 14

ドメイン管理  Azure ADDSの管理者 = AAD DC Administrators  フォレスト管理者ではない  ドメイン管理者ではない...制限付き管理権限あり  リモートデスクトップ接続権限なし  そこで... AAD DC Administratorsを以下のグループに追加 (グループポリシーで設定可能)  Administrators...ローカル管理者として利用  Remote Desktop Users...Azure VMへのログオン用 ローカルグループのメンバーシップ管理 [制限されたグループ]の構成 15

ドメイン管理: AAD DC Administrators  OU: AADDC Users  ユーザーオブジェクトの既定の複製場所(Azure AD)  ユーザーオブジェクトの作成・変更・削除不可  GPOリンクの管理  OU: AADDC Computers  コンピューターオブジェクトの既定の作成場所  コンピューターオブジェクトの作成・削除・管理  GPOリンクの管理  その他のOU  OU作成の権限  作成したOUにはフルコントロールのアクセス許可 16

ユーザー管理  ドメインユーザーの構成方法1: Azure AD  Azure ADに新規ユーザーを作成  Azure ADの既存ユーザーのパスワードを変更  ドメインユーザーの構成方法2: Azure ADDS  ドメイン管理ツールをメンバーサーバーにインストール  管理を委任されたOUの管理  新規作成したOUの管理  Azure ADからAzure ADDSへは自動同期  通常は20分以内  逆の同期は不可 Azure ADDS Azure AD 自動同期 参考: https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization 17

• https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization

コンピューター管理(グループポリシー)  リンクの管理  OU: AADDC Computers  OU: AADDC Users  管理者が作成したOU  その他はリンク不可  GPOの管理  Group Policy Creator Ownersのメンバー - AAD DC Administrators - 管理者が作成したGPOは管理可能  AADDC Computers GPOの編集  AADDC Users GPOの編集 Creator Ownerにフルコントロール 18

Azure ADDSの利用のまとめ  管理者  AAD DC Administratorsのメンバー  ユーザー  Azure ADからユーザーを同期  独自にOUを作成し、新規登録  コンピューター  オンプレミスADDSと同じ  グループポリシー  独自にGPOを作成し、独自に作成したOUにリンク 要するに ドメインやフォレスト全体にかかわる作業は禁止 19

Azure ADDSの利用のまとめ: Azure ADDS vs. ADDS Azure ADDS Azure上のADDS(VM使用) オンプレミスADDS 基本料金 1時間あたり 仮想マシン ストレージ 帯域幅無料(同一リージョン) VPN接続 運用コスト ○おまかせ (諸説あります) ×仮想マシン管理必要 △VPN管理必要 (諸説あります) 機能制限 あり 仮想マシンの制限 なし その他 Azure AD利用 20

Azure ADDSの利用のまとめ: 本日の結論  Azure ADDSが使えるとき  Azureで、新しいADDSが必要な場合  独自にOUを構成する場合 Azure ADDSを検討  Azure ADDSが使えないとき  既存のADDSドメインと信頼関係が必要な場合  複数リージョンにDCを分散配置したい場合  Active Directoryの「サイト」を構成したい場合 仕方がないので Azure上にADDS仮想マシンを立てましょう 21

付録: Azure ADDSの構築 Azureポータルを使ったAzure ADDSの構築手順 注: 2018年5月現在、操作手順が若干変更されています。

【参考】コスト試算  Azure AD(無料プラン)  50万オブジェクトまで無料  Azure ADDS(東日本・西日本) オブジェクト数 時間あたり 月額(31日) ～25,000 16.80円 12,499円 ～10万 44.80円 33,331円 ～50万 179.20円 13,3324円  仮想マシンによるADDS 項目 月額(31日) 月額(1年間リザーブ) D1(1コア・3.5GBメモリ) 13,999円 8,167円 D2(2コア・7GBメモリ) 27,998円 16,409円 ストレージ(128GB×2) 1,319円  D1×2台 + ストレージ = 17,653円/月額(1年間予約)  社内ADDSの利用…VPN接続料金に依存 23

Azure Active Directory Domain Servicesの作成  [新規]-[セキュリティ+ID] -[Azure AD Domain Services] 24

1. 基本設定  ディレクトリ名…既定値  DNSドメイン名  その他 25

2. ネットワーク設定  仮想ネットワーク  サブネット…DC専用サブネットが望ましい  いずれも 事前作成 26

3. 管理者グループ設定  Azure ADDS管理者の指定  AAD DC Administratorsメンバー  以下から選択  Azure管理者  既存のAzure AD 27

4. 内容の確認  これ以降のパスワード変更で、 Kerberos/NTLM認証用のパスワードハッシュが Azure ADに保存 28

Azure AD DS管理ツールの確認  Azureポータル [その他]-[Azure AD Domain Services] (2018年1月8日現在[セキュリティ+ID]ではない) 29

仮想ネットワークのDNS構成  Azure ADDSドメインコントローラーのIPを取得  仮想ネットワークの DNSに指定 DNS構成後、 この図は消える 30

Azure ADDSの完成 31

32