More Related Content Similar to Azure Active Directory Domain Services(Azure ADDS)キホンのキ (20) More from Tetsuya Yokoyama (6) Azure Active Directory Domain Services(Azure ADDS)キホンのキ1. Azure Active Directory Domain Services
(Azure ADDS)
キホンのキ
横山 哲也
Microsoft MVP
トレノケート株式会社
(旧グローバルナレッジネットワーク)
https://www.trainocate.co.jp
2. 横山 哲也 (トレノケート株式会社)
1994年~ ITプロ向けWindows関連教育
2003年~ マイクロソフトMVP
だいたいDirectory Servicesで受賞
2017年はCloud and Datacenter Management
最近の著書・雑誌記事(いずれも日経BP)
ひと目でわかるAzure
基本から学ぶサーバー&ネットワーク構築 改訂新版
グループポリシー逆引きリファレンス厳選98(監修・共著)
日経クラウドファースト
「業務システムで役立つ Azureのコア知識」
ソーシャルメディア
ブログ: ヨコヤマ企画 http://yp.g20k.jp/
2
4. Agenda
Active Directory概要
Azure ADDSの構築準備
Azure ADDSの構築
Azure ADDS構築後の追加作業
AAD DC Administratorsの権限
ユーザー管理
グループポリシーの利用
Azure ADDSの制限
Azure ADDSの利用
Azure ADDS vs. ADDS
4
5. Active Directory概要
IDおよびアクセス管理機能に対するブランド
米国の商標は形容詞(固有形容詞)
従来のActive Directory
= Active Directory Domain Services (ADDS)
Windows NT
LAN Manager
Active Directory
Active Directory
Domain Services
Window 2000~2003Window NT以前 Window Server 2008
Active Directory
なんとかサービス
5
6. 【注意】今日出てくるActive Directory
Azure AD
Azure Active Directory
AzureとOffice 365のユーザー管理
ADDS
Active Directory Domain Services
オンプレミスのユーザー&コンピューター管理
Azure ADDS
Azure Active Directory Domain Services
Azureのユーザー&コンピューター管理
6
7. Active Directory概要: ADDS
ADDSの利用シーン
グループポリシーによるコンピューター管理の自動化
リモート管理
フェールオーバークラスター
グループの管理されたサービス アカウント
ADDS構築要件
(事実上)専用のドメインコントローラーが必要
可用性を考えて最低2台必要
(実質的に)1日24時間×週7日稼動
7
ADDS自体の保守作業はほとんど不要
OSとしての保守作業(Windows Updateなど)が
意外に面倒
8. Active Directory概要: Azure ADとADDS
目的…Azure上でのID管理
アクセス許可…ロールベース
認証プロトコル
OAuth 2.0
OpenID Connect 1.0
目的…オンプレミスのID管理と認証
アクセス許可…ロールベース(グループを流用)
認証プロトコル
NTLMv2
Kerberos v5
Azure AD
ADDS
8
9. Active Directory概要: Azure ADとAzure ADDS
Azureのディレクトリサービスの基本
Azureユーザーの管理
認証プロトコル
OAuth 2.0
OpenID Connect 1.0
Azureのディレクトリサービスのオプション
AzureユーザーとAzure ADDSの自動同期
認証プロトコル
NTLMv2
Kerberos v5
Azure AD
Azure ADDS
9
10. Active Directory概要: ADDSとAzure ADDS
オンプレミス
Azure ADへ同期可能 (AD Connect経由)
Azureのディレクトリサービスのオプション
Azure ADから同期可能(標準機能)
認証プロトコル
NTLMv2
Kerberos v5
グループポリシー
ADDS
Azure ADDS
共通機能
ADDSAzure ADAzure ADDS
AD Connect標準機能
12. Azure ADDSの構築準備
仮想ネットワーク
DC専用サブネットが望ましい
Azure ADのDNSドメイン名
カスタムドメインを構成し、プライマリドメインに設定
インターネットで有効なドメイン名が望ましい
例: demo.yokoyama-planning.com
DNSドメイン管理者権限の確認
- TXTまたはMXレコードの追加
- 例: MS=ms74085847
管理者アカウント: Azure ADDS管理者
Azure ADまたはマイクロソフトアカウント
例: admin@lab.yokoyama-planning.com
12
13. Azure ADDSの構築
Azure AD Domain Servicesの新規作成
単一サブネットにDCを配置
同一リージョン/同一仮想ネットワーク
詳細は付録参照
Azure ADDSの構築確認
ドメインコントローラー×2台
今のところWindows Server 2012 R2の模様
13
14. Azure ADDS構築後の追加作業: Azure仮想ネットワーク
仮想ネットワークのDNS設定
Azureの仮想マシンをドメインに参加させる場合
2台のDCのIPアドレスをDNSサーバーに指定
既存の仮想マシンの再起動
AzureのDHCPサーバーはリースを更新しない
14
仮想ネットワーク
DC専用サブネット
2台のドメインコントローラー兼DNS
DNSのIPアドレスを登録
その他のサーバー用サブネット
DHCPクライアント
15. Azure ADDS構築後の追加作業: Azure仮想マシン
オンプレミスと
同じ手順で
ドメイン参加
ドメイン参加に使うアカウント
ユーザー名→UPN使用が望ましい
→SAM IDはAzure AD同期時に変更される可能性がある
NTLM/Kerberosパスワードハッシュ必須
→Azure ADDS構成後にパスワードを変更
Azure ADDSと同期していること
→Azure ADでパスワード変更後、約20分
15
16. Azure ADDS構築後の追加作業: ユーザー権利の割り当て
Azure ADDSの管理者= AAD DC Administrators
ドメイン管理者ではない
リモートデスクトップ接続不可
AAD DC Administratorsを
以下のローカルグループに追加
Remote Desktop Users
Administrators
設定手順例
1. ローカル管理者でログオン
2. ADDS管理ツール &グループポリシー機能の追加
3. AAD DC AdministratorsをAdministratorsに追加
4. [制限されたグループ]の構成
16
17. AAD DC Administratorsの権限
フォレスト…管理権限なし
ドメイン…制限付き管理権限のみ
OU作成
Creator Ownerにフルコントロール
→作成したOUにアカウント作成可能
OU: AADDC Computers
コンピューターオブジェクトの既定の作成場所
コンピューターオブジェクトの作成・削除・管理
GPOリンクの管理
OU: AADDC Users
ユーザーオブジェクトの既定の複製場所
ユーザーオブジェクトの作成・変更・削除不可
GPOリンクの管理
17
18. ユーザー管理
ドメインユーザーの構成(Azure AD)
Azure ADに新規ユーザーを作成
Azure ADの既存ユーザーのパスワードを変更
ドメインユーザーの構成(Azure ADDS)
ドメイン管理ツールをメンバーサーバーにインストール
管理を委任されたOUの管理
新規作成したOUの管理
Azure ADからAzure ADDSへは自動同期
通常は20分以内
逆の同期は不可
18
Azure ADAzure ADDS
標準機能
参考: https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization
19. グループポリシーの利用
リンクの管理
OU: AADDC Computers
OU: AADDC Users
管理者が作成したOU
GPOの管理
Group Policy Creator
Ownersのメンバー
- AAD DC Administrators
- 管理者が作成したGPOは管理可能
AADDC Computers GPOの編集
AADDC Users GPOの編集
19
21. Azure ADDSの制限
フォレスト管理不可
信頼関係
スキーマ拡張
サイト管理
機能レベル
ドメイン管理不可
ドメインセキュリティ
パスワードポリシー
ドメインコントローラー管理不可
Administratorsグループのメンバーシップ
ローカルログオン
既定のオブジェクト管理不可
Users/Computersコンテナ
21
22. Azure ADDSの利用
ユーザー
Azure ADからユーザーを同期
独自にOUを作成し、新規登録
コンピューター
オンプレミスADDSと同じ
グループポリシー
独自にGPOを作成し、独自に作成したOUにリンク
22
23. Azure ADDS vs. ADDS
Azure ADDS Azure上のADDS オンプレミスADDS
基本料金 1時間あたり 仮想マシン
ストレージ
帯域幅無料(同一リージョン)
VPN接続
運用コスト ○おまかせ
(諸説あります)
×仮想マシン管理必要 △VPN管理必要
(諸説あります)
機能制限 あり 仮想マシンの制限 なし
その他 Azure AD利用
23
24. Azure ADDS vs. ADDS: 既存ドメイン(ADDS)との連携(復習)
24
信頼関係は結べない
アカウント同期が可能
ADDSからAzure ADに同期…AD Connect
Azure ADからAzure ADDSに同期…基本機能
AD Connect
基本機能
25. Azure ADDS vs. ADDS: コスト試算
Azure AD(無料プラン)
50万オブジェクトまで無料
Azure ADDS(東日本・西日本)
仮想マシンによるADDS
D1×2台 + ストレージ = 17,653円/月額(1年間)
社内ADDSの利用…VPN接続料金に依存
25
オブジェクト数 時間あたり 月額(31日)
~25,000 16.80円 12,499円
~10万 44.80円 33,331円
~50万 179.20円 13,3324円
項目 月額(31日) 月額(1年間リザーブ)
D1(1コア・3.5GBメモリ) 13,999円 8,167円
D2(2コア・7GBメモリ) 27,998円 16,409円
ストレージ(128GB×2) 1,319円
26. 本日の結論
Azure ADDSが使えるとき
Azureで、新しいADDSが必要な場合
Azure ADからユーザーを複製したい場合
Azure AD経由でADDSユーザーを複製したい場合
独自にOUを構成する場合
Azure ADDSが使えないとき
既存のADDSドメインと信頼関係が必要な場合
複数リージョンにDCを分散配置したい場合
Active Directoryのサイトを構成したい場合
26
Azure ADDSを使いましょう
仕方がないので
Azure上にADDS仮想マシンを立てましょう
31. 3. 管理者グループ設定
Azure ADDS管理者の指定
AAD DC Administratorsメンバー
以下から選択
Azure管理者
既存のAzure AD
31
Editor's Notes 横山哲也(トレノケート株式会社)。1994年からWindows Serverトレーニングを担当、2003年から主にActive Directory分野でMicrosoft MVPを受賞(2017年はCloud and Datacenter Management)。最近の著書に「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版」「グループポリシー逆引きリファレンス厳選98」。 Azureの仮想マシンをActive Directoryのメンバーにしたいことはしばしばあります。
Azure Active Directory Domain Services(Azure ADDS)を使えば、ドメインコントローラー用の仮想マシンを作ることなく、Active Directoryドメインサービスを簡単に構成できます。
本セッションでは、Azure ADDSの構築手順を紹介し、Azure ADDSの機能や制限、Azure Active Directory(Azure AD)との連係について解説します。 Azureの仮想マシンをActive Directoryのメンバーにしたいことはしばしばあります。
Azure Active Directory Domain Services(Azure ADDS)を使えば、ドメインコントローラー用の仮想マシンを作ることなく、Active Directoryドメインサービスを簡単に構成できます。
本セッションでは、Azure ADDSの構築手順を紹介し、Azure ADDSの機能や制限、Azure Active Directory(Azure AD)との連係について解説します。 その他のOU
AADDSDomainAdmin
AADDSDomainConfig