どーも、こんにちはshozinです!
今回はAzureでActive Directoyをデプロイしたので、忘れないようにまとめます。
はじめに
VPNの使用で社内ゲートウェイの設定作業が発生します。別途設定を行う必要があります。
記事が更に長くなってしまうため、範囲はAzureのみとします。
構成について
・社内ネットワークとVPNでつなぎます。(VPNのSKUはVpnGw1AZ)
・毎日バックアップを取ります。
・災害時にも動き続けてほしいので、ディザスターリカバリーを設定します。
・ログ関連は設定しません。必要な方は別途設定を行いましょう。
長いので気合を入れて早速行きましょう!
Windows Serverをデプロイ
仮想マシンを作成します。
今回は [Windows Server 2019 Datacenter] を選択します。
※リソースグループを分けておくことで、後で管理しやすくなるのでリソースグループの分割は積極的にやりましょう。
基本パラメータ
| 項目 | 設定値 |
| リソースグループ | TEST_SV(任意) |
| 仮想マシン名 | ADSV-TEST(任意) |
| 地域 | 米国西部2(任意)*1 |
| イメージ | Windows Server 2019 Datacenter - Gen1 |
| サイズ | Standard_D2s_v3 - 2 vcpu 数、8 GiB のメモリ |
| ユーザー名 | 任意(メモします) |
| パスワード | 任意(メモします) |
| パブリック受信ポート | なし |
| 既存の Windows Server ライセンスを使用しますか? | なし |
*1 VPNの VpnGw1AZ を使いたいので、可用性ゾーンを含む Azure のリージョン から選びました。(ADの構成によって選択肢が変わるため、注意して選択してください)
ディスクパラメータ
※OSディスク(Cドライブ)、キャッシュ(Dドライブ)は容量固定なので設定できません。
| 項目 | 設定値 |
| OS ディスクの種類 | Standard SSD (ローカル冗長ストレージ) |
| 暗号化の種類 | (既定) プラットフォーム マネージド キーを使用した保存時の暗号化 |
| Ultra Disk の互換性を有効にする | なし |
データディスクを新規作成
・新しいディスクを作成し接続するをクリックします。
※OSドライブのキャッシュが働き、古いディレクトリ情報を参照してしまう可能性があるという情報を得たため、念のため、ADのディレクトリ情報はEドライブに保存するようにします。
・サイズを変更します。
バックアップを取るのでディスクSKUはStandard SSD(ローカル冗長ストレージ)に変更しました。
| 項目 | 設定値 |
| ディスクSKU | Standard SSD(ローカル冗長ストレージ) |
| サイズ | 任意(今回は128GiB) |
・ホストキャッシュをなしに設定
ネットワークパラメータ
参加するネットワークが既にある場合はそれを選びます。
今回は新規作成します。
| 項目 | 設定値 |
| 仮想ネットワーク | TEST_SV_vnet(任意) ※新規作成 |
| サブネット | ※新規作成 |
| パブリック IP | なし(任意)※VPN接続のため、なしでOK |
| NIC ネットワーク セキュリティ グループ | Basic(任意) |
| パブリック受信ポート | なし |
| 高速ネットワーク | チェック |
| この仮想マシンを既存の負荷分散ソリューションの後ろに配置しますか? | なし |
※新規作成する場合、社内またはレプリケーション予定のサイトでネットワークセグメントが被らないようにしましょう。(今後、絶対にサイト間をVPN・専用線で繋がない場合はその限りではないです。)
※あとで、VPNの仮想ネットワークゲートウェイサブネットが必要になります。
・仮想ネットワークの新規作成をクリックします。
・必要な情報を入力します。
| 項目 | 設定値 |
| 名前 | TEST_SV_vnet(任意) |
| アドレス範囲 | 10.1.0.0/16(任意) |
| サブネット名 | server (任意) |
| サブネットアドレス範囲 | 10.1.0.0/24(任意) |
管理パラメータ
日々のバックアップをしたいので、バックアップの設定をします。
ディザスターリカバリーを設定します。
| 項目 | 設定値 |
| ブート診断 | マネージドストレージアカウントで有効にする |
| OSのゲスト診断を有効にする | なし |
| システム割り当てマネージドID | なし |
| Azure ADでログインする | なし ※基本的にオンプレADを使う組織には不要と思います |
| 自動シャットダウン | なし |
| バックアップの有効化 | チェック |
| Site Recovery | チェック |
| バッチオーケストレーション | 手動で更新 |
※クラウドなのにオンプレADと表記するのはとても紛らわしいですがAzure ADと区別がつくようにあえてオンプレADと表記します。
バックアップ
・バックアップの有効化にチェックを入れます。
・バッチオーケストレーションは再起動が走らないか心配なので手動で更新
・Recovery Services コンテナー を新規作成します。
・バックアップスケジュールを入力します。
※セカンダリADサーバーを導入予定のため、週1回のバックアップにしました。
SiteRecovery
災害時の復旧ポイントが欲しい場合に設定をします。使っているリージョン・ゾーンの建物が災害やテロに見舞われたときに、別のリージョンで復旧が行えるため、永久に動かしたいADのような仕組みには欲しいです。後からでも設定可能ですが、AZであることが望ましい気がします。
※ADのバックアップサーバーを相互に通信できるようにするなど冗長化の構成によってはその限りではないです。今回はこのADに通信を集約したいと思ったので永続化をしたいと考えました。
SiteRecovery(DisasterRecovery)の詳細については、マイクロソフトのドキュメントを読みましょう。
・ディザスターリカバリーを有効にするにチェックを入れます。
・必要に応じてRecovery Services コンテナーの新規作成で名前を変更
・必要に応じてSite Recoveryポリシーの新規作成でポリシーを変更
設定確認画面で仮想マシン作成
・内容を確認して、作成をクリック
いよいよ仮想マシンが作成されます。数分待つとデプロイされます。お疲れさまでした。
と、終わった気になってしまいましたが、VPNの設定も残っていました。
記事が長くなってしまったので次回の記事に回します。
ここまで読んでいただきありがとうございます。