「ハイブリッドクラウドへの道 ~The road to hybrid cloud.~ Vol.3」では、ハイブリッドクラウドの実現方法の1つとして、Azure上にオンプレミスと同様にActive Directoryを構築してみます。オンプレミスと同様にAzure上に仮想マシンを作成し、ドメインコントローラーとしてActive Directoryを構築することは可能ですが、目指すはハイブリッドクラウドです。今回はAzureのクラウドサービスの1つ、「Azure Active Directory Domain Services(AADDS)」を利用した構築方法を紹介します。AADDSはWindows Server Active Directory(WSAD)と完全な互換性があり、マネージドドメインサービス(ドメイン参加、グループポリシー、LDAP、Kerberos認証、NTLM認証など)が提供されます。AADDSを利用することで、ドメインコントローラーとしての仮想マシンの管理やリソースの確保など運用コストの削減が期待できます。
Azure Active Directory Domain Servicesの作成
Azureポータルにログインします。「リソースの作成」から「ID」-「Azure Active Directory Domain Services」の作成を選択します。
基本情報を入力します。「DNSドメイン名」はActive Directory内だけで利用する名前ですが、できれば取得済みドメインのサブドメインが好ましいようです。”.local”は推奨されていません。
この情報で確定してドメインを作成します。
再度確認。
作成完了までしばらく待たされます。
Azure Active Directory Domain Servicesの作成
Azureポータルにログインします。「リソースの作成」から「ID」-「Azure Active Directory Domain Services」の作成を選択します。
基本情報を入力します。「DNSドメイン名」はActive Directory内だけで利用する名前ですが、できれば取得済みドメインのサブドメインが好ましいようです。”.local”は推奨されていません。
この情報で確定してドメインを作成します。
再度確認。
作成完了までしばらく待たされます。
30分ほどでようやくデプロイ完了です。「リソースに移動」から作成されたドメインを見てみましょう。
「マネージドドメインをプロビジョニング中です」とあります。AADDSのデプロイは完了しているようですが、まだドメインの作成が完了していないようです。
さらに待ちます。
実行中となったらすべて完了です。続いて「仮想ネットワークのDNSサーバー設定の更新」を行うため「構成」ボタンをクリックします。
AADDSのDNSサーバーが構成されました。
その他「必要な構成手順」として「Azure AD Domain Services パスワード ハッシュ同期の有効化」という項目があります。AADDSではユーザー管理はAzure Active Directory(AAD)のユーザー情報を参照しています。AADDSではNTLM認証とKerberos認証によってユーザーを認証しているので、AADのユーザーがAADDSを利用する場合は、これの認証に適した形式にパスワードをハッシュする必要があります。
AADでユーザーを新規に作成した場合は、AADDSのリソースを利用する時に一度パスワード変更を行うことで、パスワードがハッシュされます。オンプレミスのActive Directoryとアカウントの同期を行う場合にはAzure AD Connectを利用してパスワードハッシュが同期されます。
仮想ネットワーク サブネットワークの追加
次に、仮想ネットワークのサブネットを追加します。AADDSでドメインを構築すると仮想ネットワークが自動的に作成され1つのサブネットが割り当てられますが、Azure上の仮想マシンがドメインに参加するための仮想ネットワークは、これとは別のサブネットの範囲を作成して利用することが推奨されています。
左メニューより「プロパティ」を選択し「仮想ネットワーク/サブネットで使用可能 aadds-vnet/aadds-subnet」を選択します。
左メニューから「アドレス空間」を選択します。新しいアドレス空間(IPアドレスの範囲)を追加して「保存」をクリックします。
左メニューから「サブネット」を選択します。右メニューのサブネットの追加情報を入力します。今回名前を“domain-subnet”として、「アドレス範囲」には先ほど作成したアドレス空間”10.0.1.0/24”を指定します。
「OK」ボタンをクリックして作成します。
ドメイン参加用のサブネットが作成されました。
Azure上の仮想マシンでAzure Active Directory Domain Servicesのドメインに参加する
AADDSの構築が完了したので、さっそく仮想マシンを作成してドメインに参加してみましょう。Azure上で仮想マシンを作成します。ここで注意すべきは、AADDSの仮想ネットワークの地域と、仮想マシンの地域を同じにしておくことです。同じ地域であれば仮想ネットワーク内でそのまま通信が可能なので、ドメイン参加が簡単にできるようになります。
AADDSと同じ地域を指定する
仮想マシンの作成する地域と、AADDSの地域が同じであれば、サブネットに先ほど作成したドメイン参加用のサブネットが選択できます。こちらを選択します。
仮想マシン作成後、IP情報を確認してみると、作成したサブネットの10.0.1.4のIPアドレスが割り当てられているのが確認できます。
次に、ドメイン参加をするためのアカウントを作成します。AADDSはAADのユーザーを参照しているので、Azureポータルから「ID」-「ユーザー」-「新しいユーザー」を選択します。今回は“domainadmin”という名前のユーザーを作成しました。
次に、グループを割り当てます。作成したユーザーを指定して「グループ」を選択します。
「メンバーシップの追加」から“AAS DC Administrator”を選択します。AADDSでは“Domain Admins”というグループの代わりにこちらが管理者グループとなります。
ここまでで、AADにユーザーが追加されたことになります。
先ほども述べたように、AADのユーザーがAADDSのドメインを利用する場合は、パスワードのハッシュを行う必要があります。これはパスワードをリセットすることで実行されますので、一度パスワードのリセットを実行しておきます。リセットを実行すると一時パスワードが発行されるので、一度このパスワードを使ってAzureポータルにログインしておきます。
一時パスワードを使ってAzureポータルにログインしてパスワードの更新を行います。これでパスワードのハッシュが完了します。
先ほど作成した仮想マシンでAADDSのドメインに参加します。Azureで作成した仮想マシンは英語版となっているので、日本語化(後日紹介予定)をしておきます。
先ほど作成した仮想マシンでAADDSのドメインに参加します。Azureで作成した仮想マシンは英語版となっているので、日本語化(後日紹介予定)をしておきます。
AADDSのドメインに参加できました!一度再起動しておきます。
リモートデスクトップ接続をするには
仮想マシンにローカルアカウントでログイン(リモートデスクトップ接続)してユーザー情報を見てみると、Administratorsグループに“AD\AAD DC Administrators”と“AD\Domain Admins”というグループが追加されています。
作成したユーザーでリモートデスクトップ接続を行う場合は、これらのグループが追加されていても、ローカルのAdministrators(もしくはRemote Desktop Users)にユーザーを登録する必要があります。AADDS上で管理者グループの“AAD DC Administrators”グループに入っているユーザーであっても、仮想マシンのローカルAdministratorsグループに登録する必要があります。
仮想マシンのローカルAdministratorsにユーザーを登録したら、リモートデスクトップ接続をしてみましょう。接続時のユーザー名は“ドメイン名\ユーザー名”となります。
AADDSのアカウントでリモートデスクトップ接続をしてユーザー情報を確認できました。
ここまでできればオンプレミスのActive Directoryのドメインと同様に、Azure上のユーザー管理やPC管理を行うことが可能です。
Azure Active Directory Domain Services 利用料金
最後にAzure Active Directory Domain Services の利用料金です。
いくつかプランがありますが、最小の同時認証3,000、認証オブジェクト最大25,000までのStandardプランで16.8円/時間となっています。
以上がAzure Active Directory Domain Services の基本操作です。オンプレミスと同様Active DirectoryがAzureのサービスを利用することでも構築可能なことが理解できたと思います。
Azure側の準備がとりあえず整ったところで、次回はオンプレミスとAzure上のアカウント同期について紹介します。