【Active Directory】Windows Azure 仮想マシンに Acive Directory を展開するためのガイドライン 1

  • Article

Active Directory を Windows Azure 上の IaaS として展開するためのガイドラインが公開されていました。

元記事 Guidelines for Deploying Windows Server Active Directory on Windows Azure Virtual Machines(英語)

このガイドラインでは、Windows Azure 仮想マシン(Azure VM)上にADを展開する際の留意点について解説されています。

せっかくですので、内容を補足しつつ、ざくっと日本語で。

----

Windows 2000  とともに登場した Active Directory は、この10年で大きく進化しました。挙げればきりがありませんが、2012年はActive Directoryにとってさらに大きな飛躍の年になります。クラウドへの進出です。まさに飛躍ですね。

image

上の図でも触れられている通り、これまで Active Directory と Windows Azure の連携には「ハイブリッドクラウドシナリオ」が用意されてきました。Windows Azure上に展開したアプリケーションを利用するための独自に認証基盤を用意するのではなく、オンプレミスの Active Directory Domain Service(AD DS)で認証を行い、Active Directory Federation Service(AD FS)から発行されたセキュリティトークンを使用して、Azure 上のアプリケーションへのアクセスを認可するという方式です。これにより、クラウド上にパスワードを保存することなく、企業内から SSO でクラウドアプリが使用できます。

これに加えて、Windows Azure 上に Active Directory を展開するというオプションが用意されました。

image

“Windows Azure 仮想マシン” と “Windows Azure 仮想ネットワーク”は Windows Azure の IaaS の一部として提供される機能であり、この機能を使用することでWindows Azure を企業インフラの一部として活用することができ、ここに Active Directory を展開することができるようになります。

なお、Windows Azure Active Directory は従来の Windows Server AD とは、かなり趣が異なります。実体は AD DS ではなく AD LDS で、マルチテナントに対応した REST ベースのサービスです。Office 365 や Windows Intune が既に Windows Azure Active Directory を使用しており、Windows Azure に展開した独自のアプリケーションからも Windows Azure Active Directory を使用できるようになります。また、オンプレミスのWindows Server AD からユーザー情報を同期する仕組みもサポートする予定です。ちなみに、Windows Azure AppFabric ACS は、Windows Azure Active Directory ACS として統合されました。 よって、Windows Azure Active Directory とは、ID ストアでもあり、認証サービスであり、かつ他のアイデンティティプロバイダーと連携可能なアクセスコントロールサービスでもあるということです(ちょっと複雑ですが)。

image

Windows Azure Active Directory については以下をご覧ください。

Windows Azure Active Directory

では、Windows Azure VM に Active Directory を展開する際の留意点について詳しくみていきましょう。

はじめに

基本的には、オンプレミスの Hyper-V 上に Active Directory をインストールした場合と大きく変わることはありません。例えば、ネットワーク的に離れたブランチオフィスにドメインコントローラー(DC)を展開した場合、意識しなければならないのは「サイト」です。サイトとはすなわち…サブネットです。システム管理者はサイトを定義し、サブネットをサイトに関連付け、サイト間リンクを作成し、通信コストに応じて複製間隔を設定する必要があります。こうした留意点は、Active Directory の管理者であれば当然のリテラシですが、AD on Azure の場合にも同様の見当が必要です。

ただし、Windows Azure に特有の新しい概念が必要なので、はじめに”軽く”触れておきます。

1. Windows Azure 仮想ネットワーク

Windows Azure 仮想マシンがオンプレミスのネットワークと通信を行うには、Windows Azure 仮想ネットワークを使用する必要があります。Windows Azure 仮想ネットワークとは、クラウドとオンプレミスのサイト間通信を可能にする VPN です。なお、Windows Azure 仮想ネットワークは ピア・トゥ・ピア通信を可能にする Windows Azure Connect とは異なるので注意してください。

(参考)Networking (英語です。すんません)

image

なお、すべてのアプリケーションサーバーがクラウド上にあり、かつオンプレミスと複製などの通信が発生しない場合、Windows Azure 仮想ネットワークを使用した通信経路を用意する必要が無いように思える場合がありますが、それはダメです。詳しくは以降で。

2. Windows Azure 仮想マシンでは静的IPアドレスがサポートされない

Windows Azure 仮想マシンでは静的なIPアドレスがサポートされません。よって、仮想マシンを展開する際にはDHCPを有効にしておかなければなりません。しかし Active Directory の経験者であれば、ここで疑問が出ます。「DC ってDHCPだとヤバイんじゃ?」そこで、Windows Azure 仮想ネットワークを使用して仮想マシンを作成すると、動的にIPアドレスが割り当てられ、これが永続化されます。一度割り当てられたIPアドレスは、仮想マシンが廃棄されるまで使用されるため、結果としてスタティックにIPアドレスを割り当てたのと同じ状態を維持することができます。

なお、これに関連してDNSに関する留意点もありますが、これについては後述します。

3. Windows Azure 仮想マシンは2種類の異なるディスクタイプを使用することができる

ディスクタイプの選択はドメインコントローラーにとってとても重要です。Windows Azure では、OSディスクとDataディスクという2種類のディスクを使用することができます。Dataディスクは、Writeキャッシュが無効に設定されており、データが確実にディスクに書き込まれるようになっています。ドメインコントローラーにおける書き込みミスはシステム全体に影響を耐える可能性があるため、このことは重要です。

よって、DC のデータベースおよびSysvol は Dataディスクに保存するようにしなければなりません。

image

 

用語と定義

※ 以下は抜粋です。完全な用語集は Windows Azure Glossary を参照してください

  • Windows Azure 仮想マシン
    : Windows Azure の IaaS 上に展開された仮想マシン
  • Windows Azure 仮想ネットワーク
    : Windows Azure とオンプレミスをセキュアに接続するためのVPNサービス。
  • Virtual IP アドレス (VIP)
    : インターネットからWindows Azure 仮想マシンに接続する際の、インターネット側から見えているIPアドレス。VIP はネットワークロードバランス機能も提供し、VIP と複数のWindows Azure 仮想マシンを関連づけることができる。
  • Dynamic IP アドレス (DIP)
    : Windows Azure 仮想マシンにマウントされた仮想ネットワークアダプタに動的に割り当てられるIPアドレス。このIPアドレスは永続的であり、Windows Azure 仮想マシンにマウントされている仮想ネットワークアダプタのMACアドレスに対応付けられている。DIPはネットワークロードバランス機能は提供しない。
  • サービス・ヒーリング
    : Windows Azure が、Windows Azure に展開したサービスに障害が発生したこと検出したときに、そのステータスを正常に戻すためのプロセス。これは Windows Azure の可用性と弾力性を担保するための仕組みではあるが、例えば、万が一DCが展開された仮想マシンがハングアップしたことを検出するt、仮想マシンが自動的に再起動されることがある。これにより、以下のような影響が発生する。:
    • 仮想ネットワークアダプタが変更される
    • 仮想ネットワークアダプタのMACアドレスが変更される
    • 仮想マシンのプロセッサIDが変わる

オンプレミスのActive Directory では上記のようなことは発生しませんが、Windows Azure 仮想マシン上に Active Directory を展開した場合には、前述のように仮想ネットワークを使用して永続的なIP構成を手に入れておく必要があります。仮想ネットワークを使用すると、サービスヒーリングによってIPアドレスが変わることはありません。

 

つづく