Azure Active Directory Domain Services(Azure ADDS)キホンのキ

Azure Active Directory Domain Services (Azure ADDS) キホンのキ 横山 哲也 Microsoft MVP トレノケート株式会社 (旧グローバルナレッジネットワーク) https://www.trainocate.co.jp

• https://www.trainocate.co.jp/

横山 哲也 (トレノケート株式会社)  1994年～ ITプロ向けWindows関連教育  2003年～ マイクロソフトMVP  だいたいDirectory Servicesで受賞  2017年はCloud and Datacenter Management  最近の著書・雑誌記事(いずれも日経BP)  ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版  グループポリシー逆引きリファレンス厳選98(監修・共著)  日経クラウドファースト 「業務システムで役立つ Azureのコア知識」  ソーシャルメディア  ブログ： ヨコヤマ企画 http://yp.g20k.jp/ 2

今日の目標  Azure ADDSを構成  メンバーサーバーを構成  メンバーサーバーにGPOを適用 3

Agenda  Active Directory概要  Azure ADDSの構築準備  Azure ADDSの構築  Azure ADDS構築後の追加作業  AAD DC Administratorsの権限  ユーザー管理  グループポリシーの利用  Azure ADDSの制限  Azure ADDSの利用  Azure ADDS vs. ADDS 4

Active Directory概要  IDおよびアクセス管理機能に対するブランド  米国の商標は形容詞(固有形容詞)  従来のActive Directory = Active Directory Domain Services (ADDS) Window NT以前 Window 2000～2003 Window Server 2008 Windows NT LAN Manager Active Directory Active Directory Domain Services Active Directory なんとかサービス 5

【注意】今日出てくるActive Directory  Azure AD  Azure Active Directory  AzureとOffice 365のユーザー管理  ADDS  Active Directory Domain Services  オンプレミスのユーザー&コンピューター管理  Azure ADDS  Azure Active Directory Domain Services  Azureのユーザー&コンピューター管理 6

Active Directory概要: ADDS  ADDSの利用シーン  グループポリシーによるコンピューター管理の自動化  リモート管理  フェールオーバークラスター  グループの管理されたサービス アカウント  ADDS構築要件  (事実上)専用のドメインコントローラーが必要  可用性を考えて最低2台必要  (実質的に)1日24時間×週7日稼動 ADDS自体の保守作業はほとんど不要 OSとしての保守作業(Windows Updateなど)が 意外に面倒 7

Active Directory概要: Azure ADとADDS Azure AD  目的…Azure上でのID管理  アクセス許可…ロールベース  認証プロトコル  OAuth 2.0  OpenID Connect 1.0 ADDS  目的…オンプレミスのID管理と認証  アクセス許可…ロールベース(グループを流用)  認証プロトコル  NTLMv2  Kerberos v5 8

Active Directory概要: Azure ADとAzure ADDS Azure AD  Azureのディレクトリサービスの基本  Azureユーザーの管理  認証プロトコル  OAuth 2.0  OpenID Connect 1.0 Azure ADDS  Azureのディレクトリサービスのオプション  AzureユーザーとAzure ADDSの自動同期  認証プロトコル  NTLMv2  Kerberos v5 9

Active Directory概要: ADDSとAzure ADDS ADDS  オンプレミス  Azure ADへ同期可能 (AD Connect経由) Azure ADDS  Azureのディレクトリサービスのオプション  Azure ADから同期可能(標準機能) 共通機能  認証プロトコル  NTLMv2  Kerberos v5  グループポリシー Azure ADDS Azure AD 標準機能 ADDS AD Connect

Active Directory概要: ADDSの利用  Azure ADDSを使うことで  ADDSの機能が使える  ドメインコントローラー管理が不要  Azure ADのユーザーを複製可能(AD Connect不要) これから、仮想マシンは減らしていきましょう 11

Azure ADDSの構築準備  仮想ネットワーク  DC専用サブネットが望ましい  Azure ADのDNSドメイン名  カスタムドメインを構成し、プライマリドメインに設定  インターネットで有効なドメイン名が望ましい  例: demo.yokoyama-planning.com  DNSドメイン管理者権限の確認 - TXTまたはMXレコードの追加 - 例: MS=ms74085847  管理者アカウント: Azure ADDS管理者  Azure ADまたはマイクロソフトアカウント  例: [email protected] 12

Azure ADDSの構築  Azure AD Domain Servicesの新規作成  単一サブネットにDCを配置 同一リージョン/同一仮想ネットワーク  詳細は付録参照  Azure ADDSの構築確認  ドメインコントローラー×2台  今のところWindows Server 2012 R2の模様 13

Azure ADDS構築後の追加作業: Azure仮想ネットワーク  仮想ネットワークのDNS設定  Azureの仮想マシンをドメインに参加させる場合  2台のDCのIPアドレスをDNSサーバーに指定 仮想ネットワーク DC専用サブネット 2台のドメインコントローラー兼DNS DNSのＩＰアドレスを登録 その他のサーバー用サブネット DHCPクライアント  既存の仮想マシンの再起動  AzureのDHCPサーバーはリースを更新しない 14

Azure ADDS構築後の追加作業: Azure仮想マシン  オンプレミスと 同じ手順で ドメイン参加  ドメイン参加に使うアカウント  ユーザー名→UPN使用が望ましい →SAM IDはAzure AD同期時に変更される可能性がある  NTLM/Kerberosパスワードハッシュ必須 →Azure ADDS構成後にパスワードを変更  Azure ADDSと同期していること →Azure ADでパスワード変更後、約20分 15

Azure ADDS構築後の追加作業: ユーザー権利の割り当て  Azure ADDSの管理者= AAD DC Administrators  ドメイン管理者ではない  リモートデスクトップ接続不可  AAD DC Administratorsを 以下のローカルグループに追加  Remote Desktop Users  Administrators  設定手順例 1. 2. 3. 4. ローカル管理者でログオン ADDS管理ツール &グループポリシー機能の追加 AAD DC AdministratorsをAdministratorsに追加 [制限されたグループ]の構成 16

AAD DC Administratorsの権限  フォレスト…管理権限なし  ドメイン…制限付き管理権限のみ  OU作成  Creator Ownerにフルコントロール →作成したOUにアカウント作成可能  OU: AADDC Computers  コンピューターオブジェクトの既定の作成場所  コンピューターオブジェクトの作成・削除・管理  GPOリンクの管理  OU: AADDC Users  ユーザーオブジェクトの既定の複製場所  ユーザーオブジェクトの作成・変更・削除不可  GPOリンクの管理 17

ユーザー管理  ドメインユーザーの構成(Azure AD)  Azure ADに新規ユーザーを作成  Azure ADの既存ユーザーのパスワードを変更  ドメインユーザーの構成(Azure ADDS)  ドメイン管理ツールをメンバーサーバーにインストール  管理を委任されたOUの管理  新規作成したOUの管理  Azure ADからAzure ADDSへは自動同期  通常は20分以内  逆の同期は不可 Azure ADDS Azure AD 標準機能 参考: https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization 18

• https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization

グループポリシーの利用  リンクの管理  OU: AADDC Computers  OU: AADDC Users  管理者が作成したOU  GPOの管理  Group Policy Creator Ownersのメンバー - AAD DC Administrators - 管理者が作成したGPOは管理可能  AADDC Computers GPOの編集  AADDC Users GPOの編集 19

グループポリシーの利用: グループポリシーでできないこと  サイト/ドメイン/既定のOUにGPOをリンク  既定のGPOの編集  スターターGPOの構成  グループポリシーのモデル作成 要するに ドメインやフォレスト全体にかかわる作業は禁止 20

Azure ADDSの制限  フォレスト管理不可  信頼関係  スキーマ拡張  サイト管理  機能レベル  ドメイン管理不可  ドメインセキュリティ  パスワードポリシー  ドメインコントローラー管理不可  Administratorsグループのメンバーシップ  ローカルログオン  既定のオブジェクト管理不可  Users/Computersコンテナ 21

Azure ADDSの利用  ユーザー  Azure ADからユーザーを同期  独自にOUを作成し、新規登録  コンピューター  オンプレミスADDSと同じ  グループポリシー  独自にGPOを作成し、独自に作成したOUにリンク 22

Azure ADDS vs. ADDS Azure ADDS Azure上のADDS オンプレミスADDS 基本料金 1時間あたり 仮想マシン ストレージ 帯域幅無料(同一リージョン) VPN接続 運用コスト ○おまかせ (諸説あります) ×仮想マシン管理必要 △VPN管理必要 (諸説あります) 機能制限 あり 仮想マシンの制限 なし その他 Azure AD利用 23

Azure ADDS vs. ADDS: 既存ドメイン(ADDS)との連携(復習)  信頼関係は結べない  アカウント同期が可能  ADDSからAzure ADに同期…AD Connect  Azure ADからAzure ADDSに同期…基本機能 基本機能 AD Connect 24

Azure ADDS vs. ADDS: コスト試算  Azure AD(無料プラン)  50万オブジェクトまで無料  Azure ADDS(東日本・西日本) オブジェクト数 時間あたり 月額(31日) ～25,000 16.80円 12,499円 ～10万 44.80円 33,331円 ～50万 179.20円 13,3324円  仮想マシンによるADDS 項目 月額(31日) 月額(1年間リザーブ) D1(1コア・3.5GBメモリ) 13,999円 8,167円 D2(2コア・7GBメモリ) 27,998円 16,409円 ストレージ(128GB×2) 1,319円  D1×2台 + ストレージ = 17,653円/月額(1年間)  社内ADDSの利用…VPN接続料金に依存 25

本日の結論  Azure ADDSが使えるとき  Azureで、新しいADDSが必要な場合  Azure ADからユーザーを複製したい場合  Azure AD経由でADDSユーザーを複製したい場合  独自にOUを構成する場合 Azure ADDSを使いましょう  Azure ADDSが使えないとき  既存のADDSドメインと信頼関係が必要な場合  複数リージョンにDCを分散配置したい場合  Active Directoryのサイトを構成したい場合 仕方がないので Azure上にADDS仮想マシンを立てましょう 26

付録: Azure ADDSの構築 Azureポータルを使ったAzure ADDSの構築手順

Azure Active Directory Domain Servicesの作成  [新規]-[セキュリティ+ID] -[Azure AD Domain Services] 28

1. 基本設定  ディレクトリ名…既定値  DNSドメイン名  その他 29

2. ネットワーク設定  仮想ネットワーク  サブネット…DC専用サブネットが望ましい  いずれも 事前作成 30

3. 管理者グループ設定  Azure ADDS管理者の指定  AAD DC Administratorsメンバー  以下から選択  Azure管理者  既存のAzure AD 31

4. 内容の確認  これ以降のパスワード変更で、 Kerberos/NTLM認証用のパスワードハッシュが Azure ADに保存 32

Azure AD DS管理ツールの確認  Azureポータル [その他]-[Azure AD Domain Services] (2018年1月8日現在[セキュリティ+ID]ではない) 33

仮想ネットワークのDNS構成  Azure ADDSドメインコントローラーのIPを取得  仮想ネットワークの DNSに指定 DNS構成後、 この図は消える 34

Azure ADDSの完成 35

36