🗂

AADDS 環境で ANF を作成する

2023/05/08に公開

AADDS 環境で ANF を作成する

とある検証でこの構成を試して、最終的には要件を満たさなかったのですが、メモがてら置いておきます。

Active Directory でのドメインの追加

まず、Active Directory Domain and Trusts でドメインを追加します。
検証用途であれば、xxxxxxxx.onmicrosoft.com でもまぁ問題ないのですが、たまたま私の検証環境のドメインの onmicrosoft.com よりも前の部分が 15 文字を超えており、Azure AD DS がそれを受け入れてくれないためです。

Add domain in Active Directory Domain and Trusts
Add domain in Active Directory Domain and Trusts

ドメインは何でもいいのですが、上述のとおり、"." で区切った、一番左の部分が 15 文字を超えないようなものを設定してください。

Azure AD での custom domain の追加

Azure AD で custom domain を追加します。
追加する際には該当のドメインで MS=msxxxxxxxx のような TXT レコードを追加する必要があります。
サブドメインにしておいた方が万が一の時に対応しやすいかなと思います。

Add custom domain to Azure AD
Add custom domain to Azure AD

Active Directory でユーザの追加

追加したドメインを使って、新しいユーザを追加します。

Create new users with new domain
Create new users with new domain

Azure AD 側でのユーザ追加の確認

しばらく待っていると、Azure AD Connect の同期が実行され、Azure AD 側でも該当のユーザが追加されていることが確認できます。

Review new user synced in Azure AD
Review new user synced in Azure AD

Azure AD Domain Servivces の作成

ここからがメイン コンテンツです。

docs としてはここら辺を見ながら進めることになります。

https://learn.microsoft.com/azure/active-directory-domain-services/tutorial-create-instance

スクリーンショットを取り忘れてしまったのですが、適当に Azure AD Domain Services を作成します。
DNS domain name には、Active Directory で追加したドメイン、すなわち、Azure AD で追加した custom domain を指定します。

Administration のタブで、AAD DC Administrators という Azure AD group が暗黙的に作成され、このグループに所属するユーザは Azure AD Domain Services の管理者となります。

Security Settings のタブでは、Kerberos RC4 Encryption というのを Enable に変えておかないと Azure NetApp Files が参加できないようなので変えておきます。
本来はセキュリティのレベルを下げる動きになるので、なるべくやりたくはないところです。

作業がいい感じに完了していると、AAD DC Administrators に適当なユーザが入っている状態になります。

Review AAD DC Administrators members
Review AAD DC Administrators members

AADDS のデプロイ自体は大体 30 分ほどかかる気がします。
追加の作業としては、VNet の DNS サーバを AADDS が提供する 2 つの IP アドレスにしておくことを忘れないでください。

適当な Windows Server を作成し、AADDS に参加させる

ANF を作成するためには必要ない作業ではありますが、確認も含めて、適当な Windows Server を作成し、AADDS に参加させておきます。
また、Add Roles and Features で、Features から、Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools を追加しておきます。

https://learn.microsoft.com/azure/active-directory-domain-services/tutorial-create-management-vm

feature の追加が完了したのち、AAD DC Administrators に入っているユーザで Windows Server にログインします。
そのうえで、Server Manager の Tools から Active Directory Administrative Center を起動します。
AADDS を示すメニューから進んでいくと、AAD DC Administrators にどのユーザが入っているかを AADDS 目線で確認ができます。

Review AAD DC Administrators members in Active Directory Administrative Center
Review AAD DC Administrators members in Active Directory Administrative Center

Azure NetApp Files の作成

docs としてはここら辺を参照してください。

https://learn.microsoft.com/azure/azure-netapp-files/create-active-directory-connections

まずは Azure NetApp Account の作成をします。
大して指定する内容もないので適当に作成します。

次に、Active Directory connections の設定をします。
気を付けないといけないポイントとしては、AD Site Name は特に何も変えていなければ "Default-First-Site-Name" になっていること、Organiational Unit Path は "OU=AADDC Computers" になっている点かと思います。
それ以外はまぁ妥当な値とか、触らずデフォルトのままという感じです。

Azure NetApp Files Active Directory connections
Azure NetApp Files Active Directory connections

続いて、Capacity pool を作成します。
最後に、Volume を作成するわけですが、ここで protocol として SMB を選択すると、上記 Active Directory connections の設定内容を基に Active Directory に参加した ANF の Volume が作成されます。
Volume の作成は、何度か試しましたがおおよそ 5 分程度の様です。

作成が完了すると \\anf-xxxx.aadds.xxxxxxxx.jp\vol01 のような UNC パスが表示されるので、これを使って AADDS に参加させた Windows Server などから参照して利用します。

まとめ

一般的に ANF は Azure VM の ADDS サーバに対する AD join の環境で利用することがほとんどかと思いますが、動作の確認がてら AADDS への AD join という環境を試してみました。
冒頭に要件を満たさなかった、とありますが、AADDS は HAADJ (Hybrid Azure AD Join) に対応しておらず、端末が AAD に登録されないため Intune での管理ができません。
Intune での管理ができないということは、例えば Active Directory での Group policy や MECM (Microsoft Endpoint Configuration Manager) での管理が必要になります。
手離れよく Managed Service でちゃちゃっと、とはいかないのが現状です。

参考

同僚が近いネタで記事を書いていたのでリンクしておきます。

https://zenn.dev/uedait/articles/azurefiles-getstart

Microsoft (有志)

Discussion