ハイブリッド構成などでActive Directory Domain Service(AD DS)のドメインコントローラーをAzure上に構築するという事がありますが、その際、Azureならではの注意点というものがあります。
本記事では、Azure上にドメインコントローラーを構築する際の注意点3つご紹介します。
ドメインコントローラーとは
AD DSの役割を提供するサーバのことで、ドメインを構築する際にドメイン1つに対して1台以上のドメインコントローラー(DC)が必要です。
本番環境では、冗長化のため2台以上で構成することが推奨されます。
Azure上にドメインコントローラーを構築する際の注意点3つ
注意点1:ストレージ構成について
AD DSのデータベース、ログおよびSYSVOLの格納場所は、OSとは別のディスクを指定する必要があります。
ドメインサービス構成ウィザードの既定値はCドライブとなっているため、別ディスクの用意・指定が必要な点に注意しましょう。
理由としては、AD DSのデータベース、ログおよびSYSVOLを格納するディスクは、データディスクの [ホストキャッシュ] を [なし] で設定する必要があるという要件があるためです。
既定で仮想マシン(VM)に接続されたデータディスクはライトスルーキャッシュが使用されており、AD DSの要件を満たしません。
注意点2:DC昇格後のDNS設定変更について
AzureではAD DSドメインのDNS設定はAzureポータルより実施する必要があります。
しかし、AD DSの仕様上、DC昇格のタイミングでDNS設定が自動取得から静的指定に自動で変更されます。
Azure上のVMはDNSサーバーのIPアドレスなどを直接VM内で編集することを非推奨とされているため、DNS設定を静的指定から自動取得へ変更する必要があります。
理由としては、Azure側で仮想ネットワークアダプターを交換したときのサービス回復時にネットワーク接続プロパティが消去される可能性があるためです。
※変更の際の手順は後述の「DC昇格後のDNS設定変更手順」の章を参照してください。
注意点3:時刻同期設定について
AzureでデプロイしたWindows 仮想マシンは、既定でHyper-Vホストの時刻を参照します。
オンプレミスとAzureの両方にDCが存在する場合、以下のようにオンプレミス(Azure以外のDC)とAzure上のDCとで参照先が異なってしまうという問題が発生します。
そのため、NTPの時刻同期を優先させる場合は、Azure上のDCで「Hyper-V Time Synchronization Service」というサービスを停止させる必要があります。
DC昇格後のDNS設定変更手順
OS上のネットワークインターフェースのプロパティにてDNSなどの設定を変更する場合、[OK] をクリックした瞬間にセッションが切断され接続できない状態となります。
そのため、以下の手順で実施する必要があります。
- ネットワークインタフェースのプロパティにて、"DNS サーバーのアドレスを自動的に取得する" のラジオボタンをクリックします。
※ ここではまだ [OK] をクリックせず、プロパティウィンドウを開いたままとします。
- コマンドプロンプトにて下記コマンドを実行し、指定時間後に OS が再起動されるようセットします。
shutdown /r /f /t <秒数>
- 指定時間後の OS 再起動が開始されるまでの間に、 [1.] で開いたままとしていたプロパティウィンドウにて [OK] をクリックします。
※ リモートデスクトップ接続が切断されます。
- [2. ] でセットした OS 再起動が完了次第、リモートデスクトップ接続ができる状態となります。
以下、設定が反映されていることをご確認ください。
- ネットワークインタフェースのプロパティにて、 DNS 設定が自動取得となっていること
さいごに
今回は、Azure上にドメインコントローラーを構築する際の注意点をご紹介しました。
構築する際の参考になれば幸いです。
