1K Views
November 28, 24
スライド概要
Azure Files AD DSのしくみや設定方法を説明しています。
.NETラボ 2024 11月勉強会 小鮒 通成
自己紹介です 都内Sierに勤務し、Windows/MEID認証基盤のコンサ ル・設計・トラブルシュート・ブログ公開などをやっています。 Microsoft Q&Aで、ときどき回答しています。 商業誌でWindows記事の寄稿を行うことがあります。 MSMVP Directory Services→Enterprise Mobility →Securityを受賞しています(MVP受賞回数22回+α)。 秋葉原によく現れます。最近は48型有機ELディスプレイ を買いました…。
クラウドリフトとクラウドシフト クラウドリフトは「移動」 Serverのバーチャル化 ネットワークのクラウド化 物理位置の移動 クラウドシフトは「変換」 Server機能のPaaS化 ネットワークのエンドポイント化(オンプレミス含む) Server機能の解体と再編成
認証と認可のPaaS化 認証のPaaS化 比較的やりやすい 業界標準仕様によるコモディティ化 異種システム間の連携は考慮ずみ 認可のPaaS化 かなりやりづらい リソース・アプリケーションへの依存度が高い 業界標準仕様はOAuthぐらい(認可プロトコル) OAシステムからの認可PaaS化は「やりづらい」
Azure Filesとは Windows File ServicesのフルマネージドPaaS SMB(Server Message Block) NFS(Network File System) 使用目的として オンプレミスのファイル サーバーの置換または補完 アプリケーションの "リフトアンドシフト" クラウド開発の簡略化(ログデータやInsight情報を取り出し やすくする) コンテナー化
Azure Filesの認証 IDベース認証 (Kerberos) オンプレミス Active Directory Domain Services Microsoft Entra Domain Services ハイブリッド ID 用の Microsoft Entra Kerberos Linux クライアントの SMB 経由の Active Directory 認証 共有キー認証 (NTLMv2) Azure ストレージ アカウント キー ホストベース認証 (UNIX) 公開ホストキー
Azure Filesのプロトコル SMB (445/tcp) SMB 3.1.1 / 3.1 /2.1 NFS (2049/tcp) NFS 4.1 SMB over QUIC (443/udp) Azure Files Sync + Windows Server 2022 Azure Edition またはWindows Server 2025 (Preview) Windows ServerにAzure Filesのキャッシュを置くことで間 接的に実現可能
Azure Filesの暗号化 SMB SMB 3.1.1 / 3.1 はサポート SMB 2.1 は未サポート NFS NFS 4.1 は未サポート パブリックエンドポイント 暗号化は必須 サービスエンドポイントの非暗号化はサポート オンプレミス・リージョンまたぎの非暗号化は未サポート プライベートエンドポイント 暗号化・非暗号化通信はサポート
Azure Filesのストレージ ストレージアカウント Standard (汎用v2) Premium (FileStorage) 冗長性 ローカル冗長ストレージ (LRS) ゾーン冗長ストレージ (ZRS) Geo 冗長ストレージ (GRS) Geo ゾーン冗長ストレージ (GZRS) 暗号化 マネージド キーによる暗号化 NTFS NTFS固有機能(8.3形式・NTFS圧縮・代替データストリーム等)は未サ ポート
Azure Filesの基本構成 共有アクセス許可 既定の共有レベルのアクセス許可 SMB共有の共同作成者 SMB共有の管理者特権の共同作成者 SMB共有の閲覧者 特定のユーザーまたはグループに対するアクセス許可 ポータルからファイル共有のIAMでロールを追加する NTFSアクセス許可 ドメインベースのACL設定が可能 管理時はストレージ共有キーでのアクセスを推奨
Azure Files ADDSとは オンプレミスドメイン環境からファイルサーバーをクラウド に切り出すしくみ ドメインコントローラーへの接続が必須 オンプレミスまたはハイブリッド環境どちらでもOK Azure Filesをドメインに参加させることで、オンプレミス Kerberos認証が可能になる ドメイン参加はコンピューターアカウントまたはサービスログ オンアカウントのどちらかで行う
Microsoft Entra Kerberosとの違い Kerberos認証は変わらないが、ドメインコントローラーから のみのTGT発行 Entra Connectは基本的に不要。ユーザー・グループで 共有アクセス許可を設定したい場合は、ハイブリッド必須。 オンプレミス環境前提で、以下が可能。 Active Directory信頼関係でのアクセス(フォレスト信頼) Aliasによるカスタムドメイン名での利用 非ドメイン参加マシンからのアクセス(Kerberos認証) NTFSアクセス許可が見えない点に注意(SID→UPN名前変換が できないため)
検証環境 Windows Server 2025 ドメインコントローラー(Insider) Windows 11 Insider クライアント Azureポータルでカスタムドメイン名を構成 Microsoft Entra Hybrid Joinを構成
Azureでのカスタムドメインの構成 Azureポータルでカスタムドメイン名を構成。オンプレミス ADのDNS名と同一のモノをAzure DNSに設定。
オンプレミス環境の構成 ドメインコントローラーの構成。Microsoft Entra Connect を追加インストール。 クライアントの構成。
ストレージアカウントの作成 Azureポータルからストレージアカウントを作成 Standardで通常は問題ない パブリックアクセスで構成
ファイル共有の作成 ストレージアカウントの[データストレージ]ブレードからファ イル共有を作成 ストレージごとに1つのファイル共有が推奨 複数作る場合は、高負荷と低負荷を組み合わせるようにす る
AzFilesHybrid 実行環境 以下モジュールをWindows 11にインストール .NET Framework 4.7.2以降(インストール済み) Azure PowerShell 2.8.0以降 Az Storage 4.3.0以降 PowerShellGet Active Directory PowerShellモジュール Get-WindowsCapability –Name RSAT.ActiveDirectory.* Online | Add-WindowsCapability -Online
Azure Files ADDS有効化 Join-AzStorageAccountの実行 AzFilesHybrid PowerShellモジュールのダウンロード Releases · Azure-Samples/azure-files-samples Join-AzStorageAccountスクリプトの実行 Azure Files の AD DS 認証を有効にする | Microsoft Learn コンピューターアカウントができている AES256パスワード暗号化を使いたくない(RC4暗号化の み)場合はSet-AzStorageAccountによる手動構成が必要 Azure Files の AD DS 認証を有効にする | Microsoft Learn
共有レベルのアクセス許可の設定 [IDベースのアクセス]から[認証されているすべてのユーザーとグ ループについてアクセス許可を有効にする] SMB共有の共同作成者:変更 SMB共有の管理者特権の共同作成者:+ACL変更権取得 SMB共有の閲覧者:読み取りと実行 設定後利用可能になるのは、「数時間後」なので注意!
NTFSアクセス許可の設定 ストレージアカウントの共有アクセスキーでのネットワーク ドライブ接続 net use Z: \\<SA名>.file.core.windows.net\<共有名> /user:localhost\<SA名> <共有アクセスキー> 操作マシンがドメインコントローラーと直接通信できること フルコントロールが可能 「管理者特権の共同作成者」でも新規構築は可能だが、 移行環境で問題がでることがある
GPOの設定(MEKとの併用のみ) [ホスト名からKerberos領域へのマッピングを定義する]ポ リシーを有効にする クライアントコンピューターに適用する Azure Filesホスト名とADDS Realmのマッピングを行う
オンプレミスでのアクセス 問題なくアクセスが可能 シングルサインオン ACLに添ったアクセス結果
インターネットでのアクセス アクセスするが、サインインは不可 ドメインコントローラーに接続できないため
インターネットのセキュリティ アクセスキーを使って、外部からSMB接続できてしまう セキュリティプロファイルを「最大のセキュリティ」に サービスエンドポイント・プライベートエンドポイントで接続
KDCチケットはどうなっている? オンプレミスでは「プライマリTGT」「CIFS」のチケットを保 持
まとめ ドメインに参加するAzure Filesというところで、アーキテク チャがシンプルで理解しやすいソリューションかと。運用 面でもオンプレミスとあまり変わらない使い方ができるの で、基本的にはお奨めの構成ではあります。 設定が以外と大変です。 AzFilesHybridモジュールが使 える環境構築の手間が、結構かかります。AzureとADDS の両スクリプトにアクセスする必要があるので。 セキュリティには十分注意しましょう。意識しないと外部か らSMB経由で突破されてしまいます。
参考情報 Azure Files の概要 | Microsoft Learn Azure Files のデプロイの計画 | Microsoft Learn Azure Files のネットワークに関する考慮事項 | Microsoft Learn Azure Files データ保護の概要 | Microsoft Learn Azure Files に対するオンプレミスの AD DS 認証の概要 | Microsoft Learn Azure Files の AD DS 認証を有効にする | Microsoft Learn 複数の Active Directory (AD) フォレストで Azure Files を使 用する | Microsoft Learn