Active Directory Domain Services サイトの設計と Azure NetApp Files の計画に関するガイドラインを理解する

  • [アーティクル]

Active Directory Domain Services (AD DS) の設計と計画を適切に行うことは、Azure NetApp Files ボリュームを使用するソリューション アーキテクチャにとって鍵となります。 SMB ボリュームデュアル プロトコル ボリュームNFSv4.1 Kerberos ボリュームなどの Azure NetApp Files 機能は、AD DS と共に使用するように設計されています。

この記事では、Azure NetApp Files に対応した AD DS のデプロイ戦略を開発するうえでの推奨事項について説明します。 この記事を読む前に、AD DS が機能レベルでどのように動作するかについてよく理解しておく必要があります。

Azure NetApp Files の AD DS 要件を確認する

Azure NetApp Files ボリュームをデプロイする前に、Azure NetApp Files が AD DS に確実に接続されるように、Azure NetApp Files の AD DS 統合要件を確認する必要があります。 AD DS と Azure NetApp Files の統合が正しくなかったり、不完全であったりすると、SMB、デュアル プロトコル、または Kerberos NFSv4.1 ボリュームのクライアント アクセスが中断したり、停止したりする可能性があります

サポートされる認証シナリオ

Azure NetApp Files では、SMB 経由のアクセスについて、以下の方法による ID ベースの認証がサポートされています。

  • AD DS 認証: AD DS 参加済みの Windows マシンは、SMB 経由で、Active Directory 資格情報を使用して Azure NetApp Files 共有にアクセスできます。 クライアントには、AD DS への通信経路が必要です。 オンプレミスまたは Azure 上の仮想マシンにセットアップされた AD DS があり、デバイスが AD DS ドメイン参加済みである場合、Azure ファイル共有の認証には AD DS を使用してください。
  • Microsoft Entra Domain Services 認証: クラウド ベースの Microsoft Entra Domain Services 参加済み Windows 仮想マシンでは、Microsoft Entra Domain Services 資格情報を使用して Azure NetApp Files ファイル共有にアクセスできます。 このソリューションの場合は、Microsoft Entra Domain Services が、お客様のために従来の Windows Server AD ドメインを実行します。
  • ハイブリッド ID 用の Microsoft Entra Kerberos:ハイブリッド ユーザー ID の認証に Microsoft Entra ID を使用すると、Microsoft Entra ユーザーは、Kerberos 認証を使用して Azure NetApp Files ファイル共有にアクセスできます。 つまり、エンド ユーザーは、ドメイン コントローラーへの見通せる通信経路がなくても、Microsoft Entra ハイブリッド参加済みまたは Microsoft Entra 参加済みの Windows 仮想マシンと Linux 仮想マシンから Azure NetApp Files ファイル共有にアクセスできます。 現在、クラウド専用 ID はサポートされていません。
  • Linux クライアント用の AD Kerberos 認証: Linux クライアントは、SMB 経由で、Kerberos 認証を使用し、AD DS を使用する Azure NetApp Files にアクセスできます。

ネットワークの要件

Azure NetApp Files の SMB、デュアル プロトコル、および Kerberos NFSv4.1 ボリュームを使用するには、AD DS ドメイン コントローラーへのネットワーク接続が安定していて、待機時間が短い必要があります (RTT が 10 ミリ秒未満)。 Azure NetApp Files と AD DS ドメイン コントローラー間のネットワーク接続が不適切であるか、ネットワーク待機時間が長いと、クライアント アクセスの中断やクライアントのタイムアウトが発生する可能性があります。

ネットワーク トポロジと構成に関する次の要件を満たしていることを確認してください。

  • Azure NetApp Files でサポートされているネットワーク トポロジが使用されていることを確認してください。
  • AD DS ドメイン コントローラーに、Azure NetApp Files ボリュームをホストする Azure NetApp Files 委任サブネットからのネットワーク接続があることを確認してください。
    • AD DS ドメイン コントローラーを使用するピアリングされた仮想ネットワーク トポロジでは、Azure NetApp Files から AD DS ドメイン コントローラーへのネットワーク接続をサポートするようにピアリングが正しく構成されている必要があります。
  • ネットワーク セキュリティ グループ (NSG) および AD DS ドメイン コントローラー ファイアウォールには、AD DS と DNS への Azure NetApp Files 接続をサポートするように適切に構成された規則が必要です。
  • Azure NetApp Files と AD DS ドメイン コントローラー間の RTT 待機時間 が 10 ミリ秒未満であることを確認してください。

必要なネットワーク ポートは次のとおりです。

サービス Port Protocol
AD Web サービス 9389 TCP
DNS* 53 TCP
DNS* 53 UDP
ICMPv4 該当なし エコー応答
Kerberos 464 TCP
Kerberos 464 UDP
Kerberos 88 TCP
Kerberos 88 UDP
LDAP 389 TCP
LDAP 389 UDP
LDAP 389 TLS
LDAP 3268 TCP
NetBIOS 名 138 UDP
SAM/LSA 445 TCP
SAM/LSA 445 UDP

*AD DS ドメイン コントローラーで実行されている DNS

DNS の要件

Azure NetApp Files の SMB、デュアル プロトコル、Kerberos NFSv4.1 ボリュームでは、ドメイン ネーム システム (DNS) サービスと最新の DNS レコードに安定的にアクセスできる必要があります。 Azure NetApp Files サーバーと DNS サーバー間のネットワーク接続が不適切な場合、クライアント アクセスの中断やクライアントのタイムアウトが発生する可能性があります。 AD DS または Azure NetApp Files の DNS レコードが不完全であったり正しくなかったりすると、クライアント アクセスが中断したり、クライアントのタイムアウトが発生したりする可能性があります。

Azure NetApp Files では、Active Directory 統合 DNS サーバーまたはスタンドアロン DNS サーバーの使用がサポートされています。

DNS 構成に関する次の要件を満たしていることを確認してください。

  • スタンドアロン DNS サーバーを使用している場合:
    • DNS サーバーに、Azure NetApp Files ボリュームをホストする Azure NetApp Files 委任サブネットへのネットワーク接続があることを確認してください。
    • ネットワーク ポート UDP 53 と TCP 53 が、ファイアウォールまたは NSG によってブロックされていないことを確認してください。
  • AD DS Net Logon サービスによって登録された SRV レコードが DNS サーバーに作成されていることを確認してください。
  • Azure NetApp Files 構成と同じドメインで、DNS サーバー上に、Azure NetApp Files で使用する AD DS ドメイン コントローラーの PTR レコードが作成されていることを確認してください。
  • Azure NetApp Files では、ボリュームが削除された場合に、DNS エントリに関連付けられているポインター レコード (PTR) が自動的に削除されることはありません。 PTR レコードは、IP アドレスをホスト名にマップする逆引き DNS ルックアップに使用され、 通常は DNS サーバーの管理者によって管理されます。 お客様は、Azure NetApp Files にボリュームを作成する際、ボリュームに DNS 名を関連付けることができます。 ただし、DNS レコードの管理は、PTR レコードの管理も含め、Azure NetApp Files の機能の範囲外です。 Azure NetApp Files には、アクセスを容易にする目的でボリュームに DNS 名を関連付けるオプションが用意されていますが、その DNS 名に関連付けられた DNS レコードの管理機能はありません。 Azure NetApp Files 内のボリュームを削除する際は、それに関連付けられた DNS レコード (DNS 参照を転送するための A レコードなど) の管理作業、お使いの DNS サーバーや DNS サービスからの削除処理も必要になります。
  • Azure NetApp Files では、標準およびセキュリティで保護された動的 DNS 更新がサポートされます。 セキュリティで保護された動的 DNS 更新が必要な場合は、セキュリティで保護された更新が DNS サーバーで構成されていることを確認してください。
  • 動的 DNS 更新を使用しない場合は、AD DS 組織単位 (Azure NetApp Files AD 接続で指定) 内に作成した AD DS コンピューター アカウントのための A レコードと PTR レコードを、Azure NetApp Files LDAP 署名、LDAP over TLS、SMB、デュアルプロトコル、または Kerberos NFSv4.1 ボリュームのサポート用に手動で作成する必要があります。
  • 複雑な AD DS トポロジや大規模な AD DS トポロジでは、LDAP 対応の NFS ボリュームをサポートするために、DNS ポリシーまたは DNS サブネットの優先順位付けが必要になる場合があります

タイム ソースの要件

Azure NetApp Files では、タイム ソースとして time.windows.com が使用されます。 Azure NetApp Files によって使用されるドメイン コントローラーが、time.windows.com またはその他の正確で安定したルート (階層 1) のタイム ソースを使用するように構成されていることを確認してください。 Azure NetApp Files とお客様のクライアントまたは AS DS ドメイン コントローラーの間のずれが 5 分を超える場合、認証は失敗し、Azure NetApp Files ボリュームへのアクセスも失敗する可能性があります。

Azure NetApp Files で使用する AD DS を決定する

Azure NetApp Files は、AD 接続用に Active Directory Domain Services (AD DS) と Microsoft Entra Domain Services の両方をサポートしています。 AD 接続を作成する前に、AD DS と Microsoft Entra Domain Services のどちらを使用するかを決定する必要があります。

詳細については、「セルフマネージド Active Directory Domain Services、Microsoft Entra ID、マネージド Microsoft Entra Domain Services を比較する」を参照してください。

Active Directory Domain Services に関する考慮事項

次のシナリオでは、Active Directory Domain Services (AD DS) を使用する必要があります。

  • オンプレミスの AD DS ドメインでホストされている AD DS ユーザーが、Azure NetApp Files リソースにアクセスできるようにする必要がある。
  • 一部をオンプレミス、一部を Azure でホストしているアプリケーションから、Azure NetApp Files リソースにアクセスする必要がある。
  • サブスクリプション内の Microsoft Entra テナントと Microsoft Entra Domain Services を統合する必要がない場合、または Microsoft Entra Domain Services が技術要件に合わない場合。

Note

Azure NetApp Files は、AD DS の読み取り専用ドメイン コントローラー (RODC) の使用をサポートしていません。

Azure NetApp Filesで AD DS を使用する場合は、「Azure 仮想ネットワークに AD DS をデプロイする」のガイダンスに従って、AD DS に対する Azure NetApp Files のネットワークおよび DNS 要件を満たしていることを確認してください。

Microsoft Entra Domain Services に関する考慮事項

Microsoft Entra Domain Services は、Microsoft Entra テナントと同期されるマネージド AD DS ドメインです。 Microsoft Entra Domain Services を使用することの主なメリットは以下のとおりです。

  • Microsoft Entra Domain Services はスタンドアロン ドメインです。 そのため、オンプレミスと Azure の間でネットワーク接続を設定する必要はありません。
  • デプロイと管理のエクスペリエンスが簡素化されます。

以下のシナリオでは、Microsoft Entra Domain Services を使用してください。

  • AD DS をオンプレミスから Azure へと拡張して、Azure NetApp Files リソースへのアクセスを提供する必要がない。
  • セキュリティ ポリシーにより、オンプレミスの AD DS を Azure へと拡張することができない。
  • AD DS に関する十分な知識がない。 Microsoft Entra Domain Services を使用するほうが、Azure NetApp Files の利用による成果が上がりやすいと考えられます。

Azure NetApp Files で Microsoft Entra Domain Services を使用する場合は、Microsoft Entra Domain Services のドキュメントで、アーキテクチャ、デプロイ、管理のガイダンスを参照してください。 Azure NetApp Files のネットワークおよび DNS 要件を満たしていることも確認してください。

Azure NetApp Files で使用する AD DS サイト トポロジを設計する

Azure NetApp Files の SMB、デュアル プロトコル、または NFSv4.1 Kerberos ボリュームを使用するソリューション アーキテクチャでは、AD DS サイト トポロジを適切に設計することが不可欠です。

AD DS サイトのトポロジや構成が正しくないと、次の動作が発生する可能性があります。

Azure NetApp Files 用の AD DS サイト トポロジは、Azure NetApp Files ネットワークの論理表現です。 Azure NetApp Files 用の AD DS サイト トポロジを設計するには、ドメイン コントローラーの配置を計画し、サイト、DNS インフラストラクチャ、ネットワーク サブネットの設計を行って、Azure NetApp Files サービス、Azure NetApp Files ストレージ クライアント、AD DS ドメイン コントローラー間の良好な接続を確保する必要があります。

Azure NetApp Files AD サイト名で構成された AD DS サイトに割り当てられた複数のドメイン コントローラーに加えて、Azure NetApp Files AD DS サイトには 1 つ以上のサブネットを割り当てることができます。

Note

Azure NetApp Files AD DS サイトに割り当てるすべてのドメイン コントローラーとサブネットは、適切に接続され (RTT 待機時間が 10 ミリ秒未満)、Azure NetApp Files ボリュームで使用されるネットワーク インターフェイスから到達可能である必要があります。

Standard ネットワーク機能を使用している場合は、ユーザー定義ルート (UDR) またはネットワーク セキュリティ グループ (NSG) 規則によって、Azure NetApp Files と Azure NetApp Files AD DS サイトに割り当てられている AD DS ドメイン コントローラーとのネットワーク通信がブロックされないようにする必要があります。

ネットワーク仮想アプライアンスまたはファイアウォール (Palo Alto Networks や Fortinet ファイアウォールなど) を使用している場合は、Azure NetApp Files と、Azure NetApp Files AD DS サイトに割り当てられている AD DS ドメイン コントローラーやサブネット間のネットワーク トラフィックがブロックされないように構成する必要があります。

Azure NetApp Files での AD DS サイト情報の使用

Azure NetApp Files では、認証、ドメイン参加、LDAP クエリ、Kerberos チケット操作をサポートするためのドメイン コントローラーを検出するために、Active Directory 接続で構成された AD サイト名が使用されます。

AD DS ドメイン コントローラーの検出

Azure NetApp Files では、4 時間ごとにドメイン コントローラーの検出が開始されます。 Azure NetApp Files は、サイト固有の DNS サービス (SRV) のリソース レコードに対してクエリを実行して、Azure NetApp Files AD 接続の AD サイト名フィールドに指定された AD DS サイト内に、どのドメイン コントローラーがあるかを特定します。 Azure NetApp Files ドメイン コントローラーのサーバーの検出は、ドメイン コントローラーでホストされているサービス (Kerberos、LDAP、Net Logon、LSA) の状態を確認し、認証要求に最適なドメイン コントローラーを選択します。

Azure NetApp Files AD 接続の [AD サイト名] フィールドで指定された AD DS サイトの DNS サービス (SRV) リソース レコードには、Azure NetApp Files によって使用される AD DS ドメイン コントローラーの IP アドレスの一覧が含まれている必要があります。 DNS (SRV) リソース レコードの有効性は、nslookup ユーティリティを使用して確認できます。

Note

Azure NetApp Files によって使用される AD DS サイト内のドメイン コントローラーに変更を加える場合は、新しい AD DS ドメイン コントローラーをデプロイしてから既存の AD DS ドメイン コントローラーを廃止するまで、少なくとも 4 時間待機してください。 この待機時間により、Azure NetApp Files が新しい AD DS ドメイン コントローラーを検出できるようになります。

廃止された AD DS ドメイン コントローラーに関連付けられている古い DNS レコードが DNS から削除されていることを確認してください。 これにより、Azure NetApp Files が廃止されたドメイン コントローラーとの通信を試行しなくなります。

AD DS LDAP サーバーの検出

Azure NetApp Files NFS ボリュームに対して LDAP が有効になっている場合は、AD DS LDAP サーバーの個別の検出プロセスが発生します。 Azure NetApp Files で LDAP クライアントが作成されると、Azure NetApp Files は AD DS ドメイン サービス (SRV) のリソース レコードに対してクエリを実行する際、AD 接続で指定された AD DS サイトに割り当てられた AD DS LDAP サーバーではなく、ドメイン内のすべての AD DS LDAP サーバーの一覧を照会します。

大規模または複雑な AD DS トポロジでは、AD 接続で指定された AD DS サイトに割り当てられている AD DS LDAP サーバーが確実に返されるようにするために、DNS ポリシーまたは DNS サブネットの優先順位付けの実装が必要になる場合があります。

または、LDAP クライアント用に最大 2 つの優先 AD サーバーを指定し、AD DS LDAP サーバー検出プロセスをオーバーライドすることもできます。

重要

Azure NetApp Files LDAP クライアントの作成時、検出された AD DS LDAP サーバーに Azure NetApp Files が到達できない場合は、LDAP 対応ボリュームの作成が失敗します。

AD サイト名の構成が正しくないか不完全な場合の結果

AD DS サイトのトポロジや構成が正しくないか不完全な場合、ボリュームの作成エラー、クライアント クエリの問題、認証エラー、Azure NetApp Files AD 接続の変更エラーが発生する可能性があります。

重要

Azure NetApp Files AD 接続を作成するには、[AD サイト名] フィールドは必須です。 定義する AD DS サイトは、存在し、適切に構成されている必要があります。

Azure NetApp Files は、AD DS サイトを使って、AD サイト名で定義されている AD DS サイトに割り当てられているドメイン コントローラーとサブネットを検出します。 AD DS サイトに割り当てられているすべてのドメイン コントローラーは、ANF によって使われる Azure 仮想ネットワーク インターフェイスからのネットワーク接続が良好で、到達可能である必要があります。 Azure NetApp Files によって使われる AD DS サイトに割り当てられた AD DS ドメイン コントローラー VM は、VM をシャットダウンするコスト管理ポリシーから除外されている必要があります。

Azure NetApp Files が AD DS サイトに割り当てられているドメイン コントローラーに到達できない場合、ドメイン コントローラー検出プロセスにより、AD DS ドメインに対してすべてのドメイン コントローラーの一覧を取得するクエリが実行されます。 このクエリから返されるドメイン コントローラーのリストは、順序なしのリストです。 その結果、Azure NetApp Files は到達可能でない、または適切に接続されていないドメイン コントローラーを使用しようとすることがあり、これによってボリューム作成の失敗、クライアント クエリの問題、認証の失敗、および Azure NetApp Files の AD 接続の修正に失敗することがあります。

Azure NetApp Files AD 接続によって使われる AD DS サイトに割り当てられたサブネットに、新しいドメイン コントローラーがデプロイされるたびに、AD DS サイトの構成を更新する必要があります。 Azure NetApp Files によって使われる AD DS サイトに割り当てられたドメイン コントローラーに対する変更が、サイトの DNS SRV レコードに反映されていることを確認します。 DNS (SRV) リソース レコードの有効性は、nslookup ユーティリティを使用して確認できます。

Note

Azure NetApp Files は、AD DS の読み取り専用ドメイン コントローラー (RODC) の使用をサポートしていません。 Azure NetApp Files で RODC が使用されないようにするには、RODC との AD 接続の AD サイト名フィールドを構成しないようにしてください。

Azure NetApp Files 用の AD DS サイト トポロジ構成のサンプル

AD DS サイト トポロジは、Azure NetApp Files がデプロイされているネットワークの論理的な表現です。 このセクションでは、AD DS サイト トポロジのサンプル構成シナリオで、Azure NetApp Files の基本的な AD DS サイト デザインを示します。 これは、Azure NetApp Files のネットワークや AD サイト トポロジを設計する唯一の方法ではありません。

重要

複雑な AD DS や複雑なネットワーク トポロジを使用する場合は、Azure NetApp Files のネットワークと AD サイトの設計について、Microsoft Azure CSA のレビューを受けるようにしてください。

次の図はネットワーク トポロジの一例です。sample-network-topology.png ネットワーク トポロジを示す図。

サンプル ネットワーク トポロジでは、オンプレミスの AD DS ドメイン (anf.local) が Azure 仮想ネットワークに拡張されています。 オンプレミス ネットワークは、Azure ExpressRoute 回線を使用して Azure 仮想ネットワークに接続されています。

Azure 仮想ネットワークには、ゲートウェイ サブネット、Azure Bastion サブネット、AD DS サブネット、Azure NetApp Files 委任サブネットの 4 つのサブネットがあります。 anf.local ドメインに参加している冗長 AD DS ドメイン コントローラーは、AD DS サブネットにデプロイされています。 AD DS サブネットには、IP アドレス範囲 10.0.0.0/24 が割り当てられています。

Azure NetApp Files では、認証、LDAP クエリ、および Kerberos に使用されるドメイン コントローラーを決定するのに、1 つの AD DS サイトのみを使用できます。 サンプル シナリオでは、2 つのサブネット オブジェクトが作成され、Active Directory サイトとサービス ユーティリティを使用して呼び出された ANF サイトに割り当てられます。 一方のサブネット オブジェクトは AD DS サブネット 10.0.0.0/24 にマップされ、もう一方のサブネット オブジェクトは ANF 委任サブネット (10.0.2.0/24) にマップされます。

Active Directory サイトとサービス ツールで、AD DS サブネットにデプロイされた AD DS ドメイン コントローラーが ANF サイトに割り当てられていることを確認してください。

ANF > Servers ディレクトリに注意を向ける赤い枠線が付いた、[Active Directory サイトとサービス] ウィンドウのスクリーンショット。

Azure 仮想ネットワーク内の AD DS サブネットにマップするサブネット オブジェクトを作成するには、Active Directory サイトとサービス ユーティリティで [サブネット] コンテナーを右クリックし、[新しいサブネット...] を選択します。 [新しいオブジェクト - サブネット] ダイアログで、AD DS サブネットの IP アドレス範囲 10.0.0.0/24 が [プレフィックス] フィールドに入力されます。 サブネットのサイト オブジェクトとして ANF を選択します。 [OK] を選択してサブネット オブジェクトを作成し、ANF サイトに割り当てます。

[新しいオブジェクト - サブネット] メニューのスクリーンショット。

新しいサブネット オブジェクトが正しいサイトに割り当てられていることを確認するには、サブネット オブジェクト 10.0.0.0/24 を右クリックし、[プロパティ] を選択します。 [サイト] フィールドに ANF サイト オブジェクトが表示されます。

Azure 仮想ネットワーク内の Azure NetApp Files 委任サブネットにマップするサブネット オブジェクトを作成するには、Active Directory サイトとサービス ユーティリティで [サブネット] コンテナーを右クリックし、[新しいサブネット...] を選択します。

リージョン間レプリケーションに関する考慮事項

Azure NetApp Files リージョン間レプリケーションを使用すると、あるリージョンから別のリージョンに Azure NetApp Files ボリュームをレプリケートして、ビジネス継続性とディザスター リカバリー (BC/DR) の要件をサポートできます。

Azure NetApp Files の SMB、デュアル プロトコル、および NFSv4.1 Kerberos ボリュームでは、リージョン間レプリケーションがサポートされます。 これらのボリュームのレプリケーションには、次のものが必要です。

  • ソース リージョンと宛先リージョンの両方に作成された NetApp アカウント。
  • ソース リージョンと宛先リージョンに作成された NetApp アカウントでの Azure NetApp Files Active Directory 接続。
  • AD DS ドメイン コントローラーがデプロイされ、宛先リージョンで実行されている。
  • Azure NetApp Files が宛先リージョン内の AD DS ドメイン コントローラーと良好にネットワーク通信できるようにするために、Azure NetApp Files ネットワーク、DNS、および AD DS サイト デザインを宛先リージョンに適切にデプロイする必要がある。
  • 宛先リージョンの Active Directory 接続が、宛先リージョンの DNS リソースと AD サイト リソースを使用するように構成されている必要がある。

次のステップ