Active Directory 構築不要!! Azure AD Domain Services とは?

いいね!!

職人が、一つ一つ丹精を込めて構築していた、あの”Active Directory”がPaaSとなって登場!! だれでも簡単にポチッと構築できるようになりました。

構成は、とてもシンプル
専用のサブネットにAzure AD Domain Servicesをデプロイするだけ!!
VPNなどで、接続された環境からもドメイン参加ができます。

Azure AD Domain Servicesは、Azure ADに登録されたユーザーを認証に利用するので、
Azure AD Connectを利用し、オンプレミスADとの同期も可能です!

【注意事項】
・Azure AD Domain Services を作成するには”全体管理者”権限が必要
・1つの Azure AD Domain Services で作成できるドメインは1つだけ
・1つの仮想ネットワークに1つの Azure AD Domain Services を設置可能
・Azure AD Domain Services 設置用の専用サブネットが必要
・O365認証用に利用できません。
・IaaSで構築したADを追加する事はできません。
・管理者権限は利用できません。
・スキーマ拡張に未対応
・信頼関係に未対応


全体の流れ

Step1:Azure AD Domain Services の作成
Step2:DNSの設定
Step3:ドメイン ユーザーの作成
Step4:仮想マシンのドメイン参加
Step5:管理ツールのインストール


Step1:Azure AD Domain Services の作成

[新規]ー[セキュリティ+ID]ー[Azure AD Domain Services]を選択

ディレクトリ名:規定のディレクトリが選択される
DNSドメイン名:いわゆるドメイン名
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)
場所:デプロイするAzureのリージョン

仮想ネットワーク:Azure AD Domain Servicesを配置する仮想ネットワークを指定
サブネット:Azure AD Domain Services 専用のサブネットを指定

Azure AD に[AAD DC Administrators]グループが作成されます。
※このグループ内に登録されたユーザーのみが認証されます。

最後に確認 ※作成に1時間ほどかかります。

作成が完了すると、下記リソースが作成されます。


Step2:DNSの設定

仮想ネットワークに対して、DNSの設定を行います。
赤枠のIPアドレスが”Azure AD Domain Services”のIPアドレスになりますので、
仮想ネットワークのDNSサーバーとして設定します。


Step3:ドメイン ユーザーの作成

ドメイン認証に利用するユーザーをAzure ADに作成します。

名前:表示名
ユーザー名:ユーザーID@xxx.onmicrosoft.com
プロファイル:氏名・勤務先情報
プロパティ:”既定”
グループ:”AAD DC Administrators”を選択
※このグループに所属するユーザーのみが”AADDS”ユーザーとして登録されます。
ディレクトリロール:”ユーザー”のまま
パスワード:必ず保存しておいて下さい。

ユーザーを作成後、必ずパスワード変更を実施する必要があります。
アクセスパネルのURL [https://myapps.microsoft.com] にアクセスしログオンして下さい。

画面右上のユーザーを選択ー[プロファイル]を選択

これにて、ユーザーの準備が完了!


Step4:仮想マシンのドメイン参加

【Windows ドメイン参加】

いつも通りにドメイン参加。UPN形式を推奨しているみたい。
※確実にID/Passが合っているのに参加できない場合は、少し寝かせてからお試し下さい。

【Linux ドメイン参加】

Kerberos認証に必要なツールをインストール
# yum -y install oddjob oddjob-mkhomedir sssd samba-common-tools

Azure AD Domain Servicesに接続できるか確認
# realm discover cloudou.net

認可チケットの取得 ※ドメイン名は大文字
# kinit testuser01@CLOUDOU.NET

ドメイン参加 ※パスワードは手打ちしましょう
# realm join –verbose CLOUDOU.NET -U ‘testuser01@CLOUDOU.NET’


Step5:管理ツールのインストール

役割と機能の追加から下記をインストール ※ドメイン参加済み端末にて実施して下さい
[AD DS および AD LDS ツール]
[DNSサーバーツール]
[グループポリシーの管理]

いつものツール群が確認できます。


それでは、確認してみましょ~

Azure ADに登録されているユーザーが確認できます。OU “AADDC User”内は変更不可

カスタムOUを作成すると、ユーザーの追加・削除が可能 ※AADDC Users 間移動は不可
ただし、Azure ADとの連携が無くなるので、Azure AD Domain Services での利用に限定されます。

DNS ※接続先にドメインを指定

DNSは追加・削除が可能 ※ちなみに、フォワーダーは空っぽ。。

グループポリシー ※編集可能


IaaSでADを構築するより、”早く” “安く” 利用出来るので、注意事項に抵触しないのであれば、ぜひ利用したいものです。

それにしても、ドメイン参加でハマった~~