Update log
- 全体的に
# (見出し1)から## (見出し2)に変更 - 2024/07/14 - 画像の内部的なファイル パスを変更 - 2024/07/14
AADDS 環境で ANF を作成する
とある検証でこの構成を試して、最終的には要件を満たさなかったのですが、メモがてら置いておきます。
Active Directory でのドメインの追加
まず、Active Directory Domain and Trusts でドメインを追加します。
検証用途であれば、xxxxxxxx.onmicrosoft.com でもまぁ問題ないのですが、たまたま私の検証環境のドメインの onmicrosoft.com よりも前の部分が 15 文字を超えており、Azure AD DS がそれを受け入れてくれないためです。
Add domain in Active Directory Domain and Trusts
ドメインは何でもいいのですが、上述のとおり、"." で区切った、一番左の部分が 15 文字を超えないようなものを設定してください。
Azure AD での custom domain の追加
Azure AD で custom domain を追加します。
追加する際には該当のドメインで MS=msxxxxxxxx のような TXT レコードを追加する必要があります。
サブドメインにしておいた方が万が一の時に対応しやすいかなと思います。
Add custom domain to Azure AD
Active Directory でユーザの追加
追加したドメインを使って、新しいユーザを追加します。
Create new users with new domain
Azure AD 側でのユーザ追加の確認
しばらく待っていると、Azure AD Connect の同期が実行され、Azure AD 側でも該当のユーザが追加されていることが確認できます。
Review new user synced in Azure AD
Azure AD Domain Servivces の作成
ここからがメイン コンテンツです。
docs としてはここら辺を見ながら進めることになります。
スクリーンショットを取り忘れてしまったのですが、適当に Azure AD Domain Services を作成します。
DNS domain name には、Active Directory で追加したドメイン、すなわち、Azure AD で追加した custom domain を指定します。
Administration のタブで、AAD DC Administrators という Azure AD group が暗黙的に作成され、このグループに所属するユーザは Azure AD Domain Services の管理者となります。
Security Settings のタブでは、Kerberos RC4 Encryption というのを Enable に変えておかないと Azure NetApp Files が参加できないようなので変えておきます。
本来はセキュリティのレベルを下げる動きになるので、なるべくやりたくはないところです。
作業がいい感じに完了していると、AAD DC Administrators に適当なユーザが入っている状態になります。
Review AAD DC Administrators members
AADDS のデプロイ自体は大体 30 分ほどかかる気がします。
追加の作業としては、VNet の DNS サーバを AADDS が提供する 2 つの IP アドレスにしておくことを忘れないでください。
適当な Windows Server を作成し、AADDS に参加させる
ANF を作成するためには必要ない作業ではありますが、確認も含めて、適当な Windows Server を作成し、AADDS に参加させておきます。
また、Add Roles and Features で、Features から、Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools を追加しておきます。
feature の追加が完了したのち、AAD DC Administrators に入っているユーザで Windows Server にログインします。
そのうえで、Server Manager の Tools から Active Directory Administrative Center を起動します。
AADDS を示すメニューから進んでいくと、AAD DC Administrators にどのユーザが入っているかを AADDS 目線で確認ができます。
Review AAD DC Administrators members in Active Directory Administrative Center
Azure NetApp Files の作成
docs としてはここら辺を参照してください。
まずは Azure NetApp Account の作成をします。
大して指定する内容もないので適当に作成します。
次に、Active Directory connections の設定をします。
気を付けないといけないポイントとしては、AD Site Name は特に何も変えていなければ "Default-First-Site-Name" になっていること、Organiational Unit Path は "OU=AADDC Computers" になっている点かと思います。
それ以外はまぁ妥当な値とか、触らずデフォルトのままという感じです。
Azure NetApp Files Active Directory connections
続いて、Capacity pool を作成します。
最後に、Volume を作成するわけですが、ここで protocol として SMB を選択すると、上記 Active Directory connections の設定内容を基に Active Directory に参加した ANF の Volume が作成されます。
Volume の作成は、何度か試しましたがおおよそ 5 分程度の様です。
作成が完了すると \\anf-xxxx.aadds.xxxxxxxx.jp\vol01 のような UNC パスが表示されるので、これを使って AADDS に参加させた Windows Server などから参照して利用します。
まとめ
一般的に ANF は Azure VM の ADDS サーバに対する AD join の環境で利用することがほとんどかと思いますが、動作の確認がてら AADDS への AD join という環境を試してみました。
冒頭に要件を満たさなかった、とありますが、AADDS は HAADJ (Hybrid Azure AD Join) に対応しておらず、端末が AAD に登録されないため Intune での管理ができません。
Intune での管理ができないということは、例えば Active Directory での Group policy や MECM (Microsoft Endpoint Configuration Manager) での管理が必要になります。
手離れよく Managed Service でちゃちゃっと、とはいかないのが現状です。
参考
同僚が近いネタで記事を書いていたのでリンクしておきます。
Discussion