Active Directory Domain Services と Azure Virtual Machines を使用する主なシナリオを調べる
AD DS と Azure Virtual Machines が関係する主なシナリオには次の 3 つがあります。
- クロスプレミス接続なしで Azure Virtual Machines にデプロイされる AD DS。 このデプロイでは、Azure に存在するすべてのドメイン コントローラーを持つ新しいフォレストが作成される結果になります。 この方法は、Kerberos 認証またはグループ ポリシーに依存するが、オンプレミスの依存関係がない Azure Virtual Machines でホストされる Azure 常駐のワークロードを実装する予定である場合に使用します。
- Azure Virtual Machines が常駐する Azure 仮想ネットワークへのクロスプレミス接続を使用した、既存のオンプレミス AD DS デプロイ。 このシナリオでは、既存のオンプレミスの Active Directory 環境を使用して、Azure Virtual Machine 常駐ワークロードの認証を提供します。 この設計を検討するときは、クロスプレミス ネットワーク トラフィックに関連する待機時間を考慮する必要があります。
- Azure Virtual Machines で追加のドメイン コントローラーをホストしている Azure 仮想ネットワークへのクロスプレミス接続を使用した、既存のオンプレミス AD DS デプロイ。 このシナリオの主な目的は、認証トラフィックをローカライズすることによって、ワークロードのパフォーマンスを最適化することです。
Azure Virtual Machines への AD DS ドメイン コントローラーのデプロイを計画する場合は、次の点を考慮する必要があります。
- クロスプレミス接続。 既存の AD DS 環境を Azure に拡張する場合は、オンプレミス環境と Azure 仮想ネットワークの間のクロスプレミス接続が重要な設計要素となります。 サイト間仮想プライベート ネットワーク (VPN) または Microsoft Azure ExpressRoute のいずれかを設定する必要があります。
- Active Directory トポロジ。 クロスプレミス シナリオでは、クロスプレミス ネットワーク インフラストラクチャを反映するように AD DS サイトを構成する必要があります。 これにより、認証トラフィックをローカライズし、オンプレミスと Azure Virtual Machine ベースのドメイン コントローラー間のレプリケーション トラフィックを制御できます。 サイト内レプリケーションでは、高帯域幅と永続的に使用できる接続が想定されます。 対照的に、サイト間レプリケーションでは、レプリケーション トラフィックのスケジュール設定と調整を行うことができます。 また、適切なサイトの設計により、特定のサイトのドメイン コントローラーが、そのサイトから送信された認証要求を処理することを保障できます。
- 読み取り専用のドメイン コントローラー (RODC)。 セキュリティ上の懸念により、一部のお客様は、Azure Virtual Machines に書き込み可能なドメイン コントローラーをデプロイすることに慎重です。 この問題を軽減する 1 つの方法は、代わりに RODC をデプロイすることです。 RODC と書き込み可能なドメイン コントローラーは、同様のユーザー エクスペリエンスを提供します。 ただし、RODC では、エグレス トラフィックの量と、対応する料金が低くなります。 これは、Azure 常駐のワークロードが AD DS への頻繁な書き込みアクセスを必要としない場合に適したオプションです。
- グローバル カタログの配置。 ドメイン トポロジに関係なく、すべての Azure Virtual Machine ベースのドメイン コントローラーをグローバル カタログ サーバーとして構成する必要があります。 これにより、グローバル カタログ参照がクロスプレミス ネットワーク リンクを横断するのが妨げられ、パフォーマンスが低下する可能性があります。