TTDC_ADのテスト環境作成について

Question

３台構成のドメインでAzureADに接続している環境のテスト環境を作成しようとしています
クローズドの別ネットワーク上にドメコン１台をコピーしてテスト環境を作成することはできますか？
できる場合、作成方法をご教授願います。

環境詳細
VM（オンプレ）上にドメコン１と２が存在
AWS上にドメコン３存在
FSMOはドメコン１に集約

コピー先はVMのクローズドネットワーク上

Answer 1

チャブーンです。

この件ですが、よくわからない部分がありますが、こういう環境なのでしょうか？

• オンプレミスに VM1, VM2が存在する
• AWS に VM3 が存在する
• オンプレミスと AWS は S2S VPNで接続されている
• VMのどれかから Entra Connect で Hybrid Join環境がある

他の方からも説明がある通り、テストと呼ばれるものが全方位の内容なら、「ホスト名やドメイン名だけが異なる同一のシステムを構成する」しかないでしょう。面倒ですが、逆をいえば壊してもよい完全な再現環境を構成できます。

昔からいわれていますが、「ドメインコントローラーのコピーを別環境で使う」はお奨めしません。無理やりこのようなことをする場合、コピーしたマシン以外の「Active Directory上の情報」を一切削除しないと正常化しません。システム上の内部オブジェクトもあるため、この削除作業は困難です。必要な知識と情報をもったエンジニアの作業が必要です。

Entra Join構成を行う場合、Entra ID (クラウドの認証基盤)データは分離できないため、同じドメインを使おうとした時点で障害を起こします。最悪本番環境を破棄して作り直し、という大変なことになるかもしれませんので、こちらもまったくお奨めできません。

Answer 2

こんにちは、

Microsoft Windowsフォーラムに質問を投稿してくださりありがとうございます!

さて!あなたの質問に対するもっともらしい説明は、マルチドメインフォレストから1つのドメイン(ドメイン2または3)を孤立したテストネットワークにコピーできることだということです。しかし、ドメインが単一の相互接続されたActive Directoryのフォレストの一部であるため、単一のドメインコントローラー(DC)をコピーして完全なテスト環境とみなすことはできません。コピーされたドメインは元のフォレストのルート(ドメイン1)への参照を保持し続け、信頼や認証の失敗を引き起こします。成功するには、孤立したネットワーク内でAD構造全体の完全なフォレストリカバリーを行う必要があります。このプロセスにより、安全なテストのためにクリーンで一貫性があり、完全に機能する本番環境のコピーが作成されます。

あなたの3つのドメイン(Domecon 1、2、3)は、Domecon 1を根源とした単一のフォレストに存在します。機能的には、孤立したネットワークに森林全体をバックアップして復元する必要があります。Domecon 2や3だけを復元しようとすると、ルートドメインへの参照が失われてしまい、Active Directoryの論理構造が崩れてしまいます。

環境が本当にAzure AD / Microsoft Entra IDに紐づいている場合、完全にクローズドされたネットワークでは、制御されたアウトバウンド接続を提供しない限り本当のクラウド同期はできません。ステージングモードでは、インポートや同期の変更をエクスポートせずにテストできます。分離テストの場合は、本番環境の分離が重要な場合は別のテストテナントを使用することが推奨されます。

さらなる参考までに。

• https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-staging-server
• https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-perform-initial-recovery?
• https://learn.microsoft.com/en-us/answers/questions/325379/recovering-active-directory-domain-to-isolated-net

上記の情報がお役に立てば幸いです!