O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)

2.319 visualizações

Publicada em

クラウド勉強会「トレノケ雲の会」mod 1 より「Azure AD DSドメインに仮想マシンを参加させる」

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)

  1. 1. Azure AD DSドメインに 仮想マシンを参加させる 横山 哲也 Microsoft MVP トレノケート株式会社 (旧グローバルナレッジネットワーク) https://www.trainocate.co.jp
  2. 2. 自社紹介: トレノケート(Trainocate) 2 Training + Advocate(先導者) かばん語(portmanteau)の一種 Trainocate (トレノケート)
  3. 3. 自己紹介: 横山 哲也 (トレノケート株式会社)  2003年~ マイクロソフトMVP  だいたいDirectory Servicesで受賞  2017年はCloud and Datacenter Management  最近の著書(いずれも日経BP)  ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版  グループポリシー逆引きリファレンス厳選98(監修・共著)  ブログ: ヨコヤマ企画 http://yp.g20k.jp/  好きなクラウドサービス: 仮想マシンテンプレート  好きなアイドル: まなみのりさ  好きなシンガーソングライター: 宮崎奈穂子 3
  4. 4. Agenda  今日の目標  Azure ADDSの機能を知る  社内のクライアントをAzure ADDSに参加させる  Azure ADDSを管理する  Agenda  ADDSの課題  Active Directoryブランド  Azure ADDSでできること/できないこと  Azure ADDSの構築  Azure ADDSの管理 (ドメイン/ユーザー/コンピューター)  Azure ADDSの利用のまとめ 4
  5. 5. 【注意】今日出てくるActive Directory  Active Directory  IDおよびアクセス管理機能に対するブランド  Azure AD (クラウド固有)  Azure Active Directory  AzureとOffice 365のユーザー管理  ADDS (オンプレミス固有)  Active Directory Domain Services  オンプレミスのユーザー&コンピューター管理  Azure ADDS (オンプレミスの機能をクラウドで)  Azure Active Directory Domain Services  Azureのユーザー&コンピューター管理 5
  6. 6. ADDSの課題  ADDS自体の保守作業はほとんど不要  しかし  (事実上)専用のドメインコントローラーが必要  可用性を考えて最低2台必要  (実質的に)1日24時間×週7日稼動を要求 6
  7. 7. Active Directoryブランド: Azure ADとADDS  目的…Azure上でのID管理  アクセス許可…ロールベース  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  目的…オンプレミスのID管理と認証  アクセス許可…ロールベース(グループを流用)  認証プロトコル  NTLMv2  Kerberos v5 Azure AD(クラウド) ADDS(オンプレミス) 7
  8. 8. Active Directoryブランド: ADDSとAzure ADDS  Azure ADへ同期可能 (AD Connect経由)  ADDSのマネージドサービス  Azure ADのオプション的存在(同期機能付) ADDS(オンプレミス) Azure ADDS(クラウド) ADDSAzure ADAzure ADDS AD Connect標準機能 Azure ADDS/Azure AD/ADDSの同期
  9. 9. Azure ADDSでできること  ADDSの基本機能  ドメインコントローラー管理 (マネージドサービス)  Azure ADのユーザーを複製(AD Connect不要) 9 これから、仮想マシンは減らしていきましょう
  10. 10. Azure ADDSでできないこと  フォレスト管理不可  信頼関係の構築  スキーマ拡張  サイト管理  機能レベル変更  ドメイン管理不可  ドメインセキュリティ  パスワードポリシー  ドメインコントローラー管理不可  Administratorsグループのメンバーシップ  ローカルログオン  既定のオブジェクト管理不可  Users/Computersコンテナ 10
  11. 11. Azure ADDSの構築: 準備(1/2) 管理者アカウントとDNS  管理者アカウント: Azure ADDS管理者  Azure ADまたはマイクロソフトアカウント  例: admin@lab.yokoyama-planning.com  DNSゾーン: Azure AD用として必要  カスタムドメインを構成し、プライマリドメインに設定  インターネットで有効なドメイン名が望ましい  例: lab.yokoyama-planning.com 11
  12. 12. Azure ADDSの構築: 準備(2/2) Azure仮想ネットワーク  DNS設定...2台のDCをDNSとして登録  VPNゲートウェイ...社内ネットワークと接続 12 仮想ネットワーク マネージドDC専用サブネット 2台のドメインコントローラー兼DNS DNSのIPアドレスを登録 その他のサーバー用サブネット DHCPクライアント ゲートウェイサブネット VPNゲートウェイ 社内ネットワーク インターネット
  13. 13. Azure ADDSの構築: ドメインコントローラー  Azure AD Domain Servicesの新規作成  単一サブネットにDCを配置 同一リージョン/同一仮想ネットワーク  詳細は付録参照  Azure ADDSの構築確認  ドメインコントローラー×2台  今のところWindows Server 2012 R2の模様 13
  14. 14. Azure ADDSの構築: メンバーサーバー/クライアント  オンプレミスと同じ手順でドメイン参加  ドメイン参加に使うアカウント  ユーザー名→UPN使用が望ましい →SAM IDはAzure AD同期時に変更される可能性がある  NTLM/Kerberosパスワードハッシュ必須 →Azure ADDS構成後にパスワードを変更  Azure ADDSと同期していること →Azure ADでパスワード変更後、約20分 14
  15. 15. ドメイン管理  Azure ADDSの管理者 = AAD DC Administrators  フォレスト管理者ではない  ドメイン管理者ではない...制限付き管理権限あり  リモートデスクトップ接続権限なし  そこで... AAD DC Administratorsを以下のグループに追加 (グループポリシーで設定可能)  Administrators...ローカル管理者として利用  Remote Desktop Users...Azure VMへのログオン用 15 ローカルグループのメンバーシップ管理 [制限されたグループ]の構成
  16. 16. ドメイン管理: AAD DC Administrators  OU: AADDC Users  ユーザーオブジェクトの既定の複製場所(Azure AD)  ユーザーオブジェクトの作成・変更・削除不可  GPOリンクの管理  OU: AADDC Computers  コンピューターオブジェクトの既定の作成場所  コンピューターオブジェクトの作成・削除・管理  GPOリンクの管理  その他のOU  OU作成の権限  作成したOUにはフルコントロールのアクセス許可 16
  17. 17. ユーザー管理  ドメインユーザーの構成方法1: Azure AD  Azure ADに新規ユーザーを作成  Azure ADの既存ユーザーのパスワードを変更  ドメインユーザーの構成方法2: Azure ADDS  ドメイン管理ツールをメンバーサーバーにインストール  管理を委任されたOUの管理  新規作成したOUの管理  Azure ADからAzure ADDSへは自動同期  通常は20分以内  逆の同期は不可 17 Azure ADAzure ADDS 自動同期 参考: https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization
  18. 18. コンピューター管理(グループポリシー)  リンクの管理  OU: AADDC Computers  OU: AADDC Users  管理者が作成したOU  その他はリンク不可  GPOの管理  Group Policy Creator Ownersのメンバー - AAD DC Administrators - 管理者が作成したGPOは管理可能  AADDC Computers GPOの編集  AADDC Users GPOの編集 18 Creator Ownerにフルコントロール
  19. 19. Azure ADDSの利用のまとめ  管理者  AAD DC Administratorsのメンバー  ユーザー  Azure ADからユーザーを同期  独自にOUを作成し、新規登録  コンピューター  オンプレミスADDSと同じ  グループポリシー  独自にGPOを作成し、独自に作成したOUにリンク 19 ドメインやフォレスト全体にかかわる作業は禁止 要するに
  20. 20. Azure ADDSの利用のまとめ: Azure ADDS vs. ADDS Azure ADDS Azure上のADDS(VM使用) オンプレミスADDS 基本料金 1時間あたり 仮想マシン ストレージ 帯域幅無料(同一リージョン) VPN接続 運用コスト ○おまかせ (諸説あります) ×仮想マシン管理必要 △VPN管理必要 (諸説あります) 機能制限 あり 仮想マシンの制限 なし その他 Azure AD利用 20
  21. 21. Azure ADDSの利用のまとめ: 本日の結論  Azure ADDSが使えるとき  Azureで、新しいADDSが必要な場合  独自にOUを構成する場合  Azure ADDSが使えないとき  既存のADDSドメインと信頼関係が必要な場合  複数リージョンにDCを分散配置したい場合  Active Directoryの「サイト」を構成したい場合 21 Azure ADDSを検討 仕方がないので Azure上にADDS仮想マシンを立てましょう
  22. 22. 付録: Azure ADDSの構築 Azureポータルを使ったAzure ADDSの構築手順 注: 2018年5月現在、操作手順が若干変更されています。
  23. 23. 【参考】コスト試算  Azure AD(無料プラン)  50万オブジェクトまで無料  Azure ADDS(東日本・西日本)  仮想マシンによるADDS  D1×2台 + ストレージ = 17,653円/月額(1年間予約)  社内ADDSの利用…VPN接続料金に依存 23 オブジェクト数 時間あたり 月額(31日) ~25,000 16.80円 12,499円 ~10万 44.80円 33,331円 ~50万 179.20円 13,3324円 項目 月額(31日) 月額(1年間リザーブ) D1(1コア・3.5GBメモリ) 13,999円 8,167円 D2(2コア・7GBメモリ) 27,998円 16,409円 ストレージ(128GB×2) 1,319円
  24. 24. Azure Active Directory Domain Servicesの作成  [新規]-[セキュリティ+ID] -[Azure AD Domain Services] 24
  25. 25. 1. 基本設定  ディレクトリ名…既定値  DNSドメイン名  その他 25
  26. 26. 2. ネットワーク設定  仮想ネットワーク  サブネット…DC専用サブネットが望ましい  いずれも 事前作成 26
  27. 27. 3. 管理者グループ設定  Azure ADDS管理者の指定  AAD DC Administratorsメンバー  以下から選択  Azure管理者  既存のAzure AD 27
  28. 28. 4. 内容の確認  これ以降のパスワード変更で、 Kerberos/NTLM認証用のパスワードハッシュが Azure ADに保存 28
  29. 29. Azure AD DS管理ツールの確認  Azureポータル [その他]-[Azure AD Domain Services] (2018年1月8日現在[セキュリティ+ID]ではない) 29
  30. 30. 仮想ネットワークのDNS構成  Azure ADDSドメインコントローラーのIPを取得  仮想ネットワークの DNSに指定 30 DNS構成後、 この図は消える
  31. 31. Azure ADDSの完成 31
  32. 32. 32

×