Microsoft Entra Domain Services のレプリカ セットの概念と機能
Microsoft Entra Domain Services のマネージド ドメインを作成するときは、一意の名前空間を定義します。 この名前空間はドメイン名 (contosocloud.com など) であり、2 つのドメイン コントローラー (DC) はその後、選択した Azure リージョンにデプロイされます。 この DC のデプロイは、レプリカ セットと呼ばれます。
マネージド ドメインを拡張して、Microsoft Entra テナントごとに複数のレプリカ セットを使用できます。 レプリカ セットは、Domain Services がサポートされている任意の Azure リージョンの、ピアリングされた任意の仮想ネットワークに追加できます。 異なる Azure リージョンにレプリカ セットを追加することで、1 つの Azure リージョンがオフラインになった場合に、レガシ アプリケーションの地理的なディザスター リカバリーが実現されます。
注意
レプリカ セットでは、1 つの Azure テナント内に複数の一意のマネージド ドメインをデプロイすることはできません。 各レプリカ セットには、同じデータが含まれます。
レプリカ セットのしくみ
contosocloud.com などのマネージド ドメインを作成すると、初期レプリカ セットが作成されます。 追加のレプリカ セットは同じ名前空間と構成を共有します。 構成、ユーザー ID と資格情報、グループ、グループ ポリシー オブジェクト、コンピューター オブジェクト、およびその他の変更を含む Domain Services への変更は、AD DS レプリケーションを使用して、マネージド ドメイン内のすべてのレプリカ セットに適用されます。
仮想ネットワーク内に各レプリカ セットを作成します。 各仮想ネットワークは、マネージド ドメインのレプリカ セットをホストする他のすべての仮想ネットワークにピアリングされている必要があります。 この構成によって、ディレクトリ レプリケーションをサポートするメッシュ ネットワーク トポロジが作成されます。 各レプリカ セットが異なる仮想サブネットにある場合、仮想ネットワークでは複数のレプリカ セットをサポートできます。
すべてのレプリカ セットは同じ Active Directory サイトに配置されます。 その結果、すべての変更は、迅速な収束のためにサイト内レプリケーションを使用して伝搬されます。
注意
個別のサイトを定義し、レプリカ セット間のレプリケーション設定を定義することはできません。
次の図は、2 つのレプリカ セットを持つマネージド ドメインを示しています。 最初のレプリカ セットは、ドメイン名前空間を使用して作成されます。 その後、2 番目のレプリカ セットが作成されます。
注意
レプリカ セットが構成されているリージョンでは、レプリカ セットによって認証サービスの可用性が保証されます。 リージョンの障害が発生した場合にアプリケーションで地理的な冗長性を確保するには、マネージド ドメインに依存しているアプリケーション プラットフォームも、もう一方のリージョンに存在する必要があります。
アプリケーションが機能するために必要な他のサービス (Azure VM や Azure App Services など) の回復性は、レプリカ セットによって提供されません。 他のアプリケーション コンポーネントの可用性設計では、アプリケーションを構成するサービスの回復性機能を考慮する必要があります。
次の例では、3 つのレプリカ セットを持つマネージド ドメインを示します。これにより、回復性が向上し、認証サービスの可用性が保証されます。 どちらの例でも、アプリケーション ワークロードは、マネージド ドメインのレプリカ セットと同じリージョンに存在します。
デプロイに関する考慮事項
マネージド ドメインの既定の SKU は Enterprise SKU で、複数のレプリカ セットをサポートします。 Standard SKU に変更した場合に追加のレプリカ セットを作成するには、マネージド ドメインを Enterprise または Premium にアップグレードします。
サポートされるレプリカ セットの最大数は、マネージド ドメインを作成したときに作成された最初のレプリカを含めて 5 つです。
各レプリカ セットに対する課金は、ドメイン構成 SKU に基づきます。 たとえば、Enterprise SKU を使用し、3 つのレプリカ セットがあるマネージド ドメインがある場合、3 つのレプリカ セットごとに、1 時間単位でサブスクリプションに請求されます。
よく寄せられる質問
マネージド ドメインとは異なるサブスクリプションにレプリカ セットを作成できますか?
いいえ。 レプリカ セットは、マネージド ドメインと同じサブスクリプションに含まれている必要があります。
レプリカ セットはいくつ作成できますか?
最大 5 つのレプリカ セットを作成できます。つまり、マネージド ドメインの初期レプリカ セットに加えて、4 つのレプリカ セットを追加できます。
ユーザーとグループの情報はレプリカ セットにどのように同期されますか?
すべてのレプリカ セットは、メッシュ仮想ネットワーク ピアリングを使用して相互に接続されます。 Microsoft Entra ID からのユーザーとグループの更新は、1 つのレプリカ セットによって受け取られます。 その後、これらの変更は、ピアリングされたネットワーク上のサイト内 AD DS レプリケーションを使用して、他のレプリカ セットにレプリケートされます。
オンプレミスの AD DS と同様に、オフラインの状態が長引くと、レプリケーションが中断される可能性があります。 ピアリングされた仮想ネットワークは推移的ではないため、レプリカ セットの設計要件には、完全にメッシュ化されたネットワーク トポロジが必要です。
レプリカ セットを作成した後にマネージド ドメインに変更を加えるにはどうしたらよいですか?
マネージド ドメイン内の変更は、以前と同じように機能します。 マネージド ドメインに参加している RSAT ツールを使用して、管理 VM を作成して使用します。 マネージド ドメインには、必要な数の管理 VM を参加させることができます。
次のステップ
レプリカ セットの使用を開始するには、Domain Services マネージド ドメインを作成して構成します。 デプロイされたら、追加のレプリカ セットを作成して使用します。