TOP > Blog

Azureの仮想マシンでActive Directoryサーバーを構築する際に気をつける5つのこと

Azure 上で仮想マシンを構築してActive Directory(AD)のDomain Controller(DC)サーバーとして利用する際に気をつけていただきたいことを5つご紹介します。

※Azure ADの話ではありません。


1. ADサーバーの配置に気をつけよう

Azure上のサーバーをオンプレミスのADに参加させる場合は、Azureとオンプレミス間のネットワークが切断された場合に備えてAzureとオンプレミスの双方にAD DCサーバーを設置する必要がある場合があります。

逆に、Azure上にしかAD DCサーバーが存在しない場合、ネットワークが切断されると、オンプレミスのサーバーやPCでログインできない状況になる可能性が高くなります。(一時的であればキャッシュされた資格情報でログインできる場合もあります)

ネットワーク障害に備えて、配置をよく検討する必要があります。

サーバーの配置

 

2. ストレージ構成に気をつけよう

これはAzureだけではなく、Hyper-V等の仮想化基盤上に構築する際の注意点となりますが、ADのデータベース、ログ、SYSVOL領域を格納するディスクは、書き込みキャッシュをオフにすることが必要です。

Azureでは、OSディスクとして割り当てられたディスクは、既定でキャッシュがオンであり、オフにはできません。よって、キャッシュをオフにしたディスクを追加したストレージ構成にする必要があります。

参考: Guidelines for Deploying Windows Server Active Directory on Azure Virtual Machines

3. IPアドレスを固定しよう

ADサーバーのプライベートIPアドレスは、割り当てを静的にする必要があります。

基本的にAzure上のADサーバーにパブリックIPアドレスは不要です。コストおよびセキュリティの観点からも無駄なパブリックIPアドレスは付与しないようにしましょう。

Azureのポータル画面を使う場合は、ネットワークインターフェイスのIP構成画面から設定が可能です。

IPアドレスの設定

 

4. 仮想ネットワークのDNS設定に気をつけよう

仮想ネットワークに既定で設定されている名前解決先を、ADの名前解決ができるDNSのIPアドレスに変更する必要があります。

変更をしないと、ADサーバー構築後に他サーバーを参加させようとした際に名前解決ができずに問題となります。

新規にAzure上にAD DCサーバーを構築し、そのサーバーがDNSサーバーも兼ねる場合はサーバー構築後に仮想ネットワークのDNSの設定を変更してください。

Azureのポータル画面を使う場合は、仮想ネットワークのDNSサーバー画面から設定が可能です。設定を仮想マシンに反映するには、仮想マシンの再起動が必要となります。また、仮想ネットワーク全体への影響がありますので、既存の仮想ネットワークの変更を行う場合は影響を十分検討の上、構成変更を行う必要があります。

DNSサーバーの設定

 

参考: 仮想ネットワークの DNS サーバーを再構成する

 

5. 運用に気をつけよう

通常、ADサーバーは冗長化のため複数台構成で運用しますが、その際全てのサーバーが同時に停止(deallocation)されないように構成に注意する必要があります。

Azureに限らず、仮想化環境上で稼動するADサーバーは仮想マシンに付与されるVM-GenerationIDを見ています。deallocation されるとVM-GenerationIDが変更されるので、ADサーバー起動時に権限なしのリカバリーが実行されます。

ADフォレスト内の全てのADサーバーが同時に停止した場合は、マスター権限を所有するADサーバーが存在しなくなってしまうのでリカバリーができず、結果としてディレクトリーが正常動作しません。

解決方法の1つとして、可用性セット(もしくはGAになったアベイラビリティゾーン)を使うことを検討してください。

可用性セットを使って構成した場合でも、課金抑制のために夜間サーバーを停止するような運用を考えている場合では、この動作に注意する必要があります。

 

以上、ご参考になれば幸いです。

 

Click me

おすすめBlog

Windows Server 2012/R2を日本語化した際に出るワーニングを解消する | 株式会社オートマティゴ

Azure Site Recoveryのリージョン間レプリケーションを利用したDR構成の実現【設定編-その2】 | 株式会社オートマティゴ

Azure Site Recoveryのリージョン間レプリケーションを利用したDR構成の実現【設定編】 | 株式会社オートマティゴ

Azure Site Recoveryのリージョン間レプリケーションを利用したDR構成の実現【概要編】 | 株式会社オートマティゴ

Azure上へのファイルサーバー導入:オンラインストレージサービスとの6つの比較 | 株式会社オートマティゴ

オンプレミスのバックアップサーバーのデータをAzureに保管する場合の4つのポイント | 株式会社オートマティゴ

Azure Backupを利用してオンプレミスのサーバーをバックアップするときに気を付ける2つのこと | 株式会社オートマティゴ

ファイルサーバーをAzure上に構築する5つのメリット | 株式会社オートマティゴ