ECS上のADDSをAzure ADと同期する #2

Alibaba Cloud ECSにActive Directory Domain Service(AADS)を構築し、Azure AD Connect(AADC)を利用してAzure ADと同期します。

AADCのインストールとAzure ADとの同期の手順が主な内容です。 このハイブリッド構成を構築する背景としては、Windows Virtual Desktop(WVD)で利用するためです。

今回の作業の前提となるActive Directoryの構築は以下の記事になります。

1. AADC構築の事前準備

まずはマイクロソフトの公開ドキュメントからシステム要件を確認していきます。

https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-prerequisites

コンポーネントの前提条件

“Microsoft PowerShell と .NET 4.5.1 に依存しています。”とのこと。 Windows Server 2016にはPowerShellは標準で構成されています。 

Windows Server 2016では.NET 4.6が利用可能です。

ハードウェアの前提条件

今回の環境ではActive Directoryのオブジェクト数は10,000未満に該当します。 インストール先のECSインスタンスは1vCPU、2GBメモリ、40GBディスクと要件を満たしません。 とりあえず構成してみて不足する場合はアップグレードすることにします。 AADCは内部的にSQL Serverが動作するのでメモリ不足となる可能性はありますね。

以下の画面はAADCのインストールを完了し同期も構成されている状態でのパフォーマンスモニタです。メモリ使用率は80%でした。

モジュールのダウンロード

以下のサイトからダウンロードします。

https://www.microsoft.com/en-us/download/details.aspx?id=47594

2018年12月18日公開のVersion 1.2.70.0になります。

2. AADCのインストール

ダウンロードしたモジュールをWindows Server上で実行します。

条項を確認し、”続行”をクリックします。

”カスタマイズ”をクリックします。

”インストール”をクリックします。 ここでインストール先のフォルダや別のSQL Serverの指定などを設定出来ますが今回は既定のままで進めます。

必須コンポーネントが自動的にインストールされます。

ユーザーサインインの構成を選択します。 この設定はオンプレミスのADDS(今回はAlibaba Cloud上)とAzure ADのシングルサインオンの方式を決めるものです。 

例えば”パスワードハッシュの同期”を選択すると、オンプレのADDSとAzure AD上のパスワード情報を定期的に同期することでシングルサインオンを実現します。この方法はシンプルな反面リアルタイムではないことは注意しなければなりません。 後でも変更できるので今回は”構成しない”にします。

Azure ADのグローバル管理者を指定します。

前の画面で正しい資格情報を指定し接続できると次の画面に進みます。

”ディレクトリの追加”をクリックします。

次に同期で利用するアカウントを指定します。今回事前に作成しておいたアカウントを作成することにします。 アカウントはEnterprise Adminsグループに所属します。

ADDSの”bigriver.local”のフォレスト・ディレクトリが追加されました。”次へ”をクリックします。

”一部のUPNサフィックスが確認済みドメインに一致していなくても続行する”にチェックし、”次へ”をクリックします。

同期について、すべて同期するか、特定のOU配下のみとするかを指定します。今回は事前に作成しておいた(手順は省略)OU”SyncAzureAD”のみに限定します。 ”次へ”をクリックします。

次の設定はADDSとAzure ADのユーザの一意性を識別する属性の指定です。今回は”メール属性”に変更します。”次へ”をクリックします。

グループを利用したフィルタリングを行う場合はここで指定します。今回は利用しないので既定の構成のまま”次へ”をクリックします。

オプション機能について有効にしたいものがあればチェックします。 ”次へ”をクリックします。

”インストール”をクリックします。”構成が完了したら、同期プロセスを開始する”が既定で有効です。 しかし、実際には同期されるデータはありません。ADDSのOU”SyncAzureAD”にはオブジェクトを作成していないからです。

”構成が完了しました”が表示されていれば終了です。 

3.アカウントの準備

UPNサフィックスを追加します。

UPNサフィックスの追加

Windows Serverの管理ツールから”Active Directory ドメインと信頼関係”を起動し、プロパティからUPNサフィックスを追加します。

今回はAzure AD側のプライマリドメインを追加します。

同期するアカウントのサフィックスの変更

Azure ADに同期するアカウントをOU”SyncAzureAD”に作成します。 詳細な手順は省略しますが、UPN名でサフィックスに追加した”@m.bigriver.jp”を指定します。

最終的にOU”SyncAzureAD”に以下の3つのアカウントを準備しました。

4. 同期の確認

同期が実行されると3つアカウントがAzure ADにも同期されたことを確認できます。

以下はMicrosoft 365 管理センターの画面です。 

以下の画面はAzure ADの管理画面です。同様に3つのアカウントが同期されたことが確認出来ました。

任意のタイミングで同期を開始するには?

PowerShellから以下のコマンドを実行しましょう。

Start-ADSyncSyncCycle