本連載では、Microsoft Azureが提供するIaaS(Infrastructure as a Service)上にActive Directoryドメインサービスを構築しながら、Azure の特徴や使い方、IaaS上にActive Directory(マイクロソフトが開発したディレクトリ・サービスドメイン)を構築する際のポイントを解説する。
最終的には、Azure Active DirectoryとIaaS上のActive DirectoryドメインによるハイブリッドなActive Directoryを構成し、クラウド上のアプリケーションに対してIaaS上のActive Directoryドメインで認証が行えるようにする。後半はかなりハイレベルの作業になるが、ぜひチャレンジしていただきたい。
初回となる今回は、Azure IaaS上の仮想マシンをセットアップするところまで紹介する。オンプレミス(企業などが情報システムを自社設備で運用すること)の環境であれば、サーバを立ち上げるにはハードウェアを調達して現調し、DVDメディアからサーバのインストールを行うというプロセスが必須だが、ご存じのとおり、IaaSはそのような面倒な作業は必要ない。
今回初めてIaaSと呼ばれる環境を使用する場合は、一度試してみていただきたい。本番環境にIaaSを利用するかどうかは別として、検証環境が用意できない場合などにも便利なはずだ。
これから構築するシステム環境を詳しく解説する動画も用意したので、本稿と合わせて参照いただきたい。なお、本稿で掲載している動画はすべてマイクロソフトのサイト内に置かれているので、安心してアクセスいただきたい。
Azure Active Directory PremiumとWindows Server Active Directory on IaaSによるHybrid IdPの構築
[ステップ1]Microsoft Azureアカウントを準備する
Microsoft Azureは評価版が提供されているので、アカウントを持っていない場合は評価版を使ってトライいただきたい。評価版を申し込むにはマイクロソフトアカウントが必要となる。
登録にあたってはクレジットカードの番号が必要になるが、評価版から従量課金プランに変更しない限り、課金されることはない。つまり、評価版の期限が切れてしまった場合、そのままにしておけば課金の心配はないというわけだ。
アカウントの取得が難しい場合は、実際の操作手順を確認できる動画も用意したので、本稿と合わせて参照いただきたい。
[ステップ2]仮想ネットワークを作成する
Azure IaaS 上に仮想マシンを配置する際、その仮想マシンが外部からのアクセス専用のサーバであれば、必ずしも仮想ネットワークは必要ではない。仮想ネットワークが必要になるのは、他のサーバとインターネットを経由しないローカルネットワークを使用して通信する場合や、オンプレミスのネットワークと連携する場合だ。
今回の構成では、3台のサーバを展開し、それらはサーバ間でローカルな通信を行う必要があるため仮想ネットワークを作成しなければならない。
今回はシンプルに1つの仮想ネットワークのみを作成するが、以下の図のようにAzureの仮想ネットワークは柔軟に構成することができる。構成パターンは3種類用意されている。
- Point to Site:クライアントから直接Azure VNET(仮想ネットワーク)に接続
- Site to Site:Azure VNETとオンプレミスのネットワークを接続
- Azure VNET間接続:異なるAzure VNET間を接続
上記の構成パターンは複数を組み合わせて使用することも可能だ。
それでは、具体的な作業手順を紹介しよう。
(1)portal.azure.com にアクセスし、Azure アカウントでサインインする
(2)リソース マネージャー配下に仮想ネットワークを作成
[新規] - [ネットワーキング] - [仮想ネットワーク] を選択し、デプロイモデルから「リソース マネージャー」を選択して「作成」をクリックする。そのほかの選択肢としては「クラシック」が用意されているが、新たに作成する環境ではお勧めしない。
リソース マネージャーとは、ネットワークやストレージ、仮想マシンなどのリソースを1つにまとめて管理するための機能だ。リソース マネージャーを使うことで、Azure上のリソースの管理作業を従来と比較して大幅に軽減できる。リソースはテンプレート化することも可能で、今後同じ構成のサーバ群を展開する際は、テンプレートを読み込ませれば、そのまま同一環境を構築することができる。具体的に得られる効果については、手順を追いながら解説していく。
(3)「仮想ネットワーク」の設定
「仮想ネットワークの作成」画面が表示されたら、以下の情報を入力する。以下、入力項目について簡単に紹介する。
「名前」は、識別できる名前であれば何でもよい。ただし、クラウド上のリソースは目で見えないものであり、識別名によって判断する必要があるため、適当に付与するのではなく、一目でどのネットワークなのかを識別できるようにしよう。ここでは「My-VNET」とした。
「アドレス空間」はその名のとおり、このネットワーク全体で使用するアドレス空間を意味し、ここで定義したアドレス空間から、サブネットを切り出すことになる。ここでは規定値である「10.0.0.0/16」を指定した。
「サブネット」はサーバを配置するサブネットが使用するアドレス空間を指定する。ここで指定するアドレスは、先に指定した「アドレス空間」に含まれている必要がある。GUI上では1つしか作成できないが、あとからアドレス空間が許す限り無制限に作成できる。複数のサブネットを作成した場合、その間のルーティングは自動的に設定される。ここでは「My-subnet1」と指定した。
ここで1つ注意点がある。サブネット上の仮想マシンには、規定のDHCP(Dynamic Host Configuration Protocol)サーバによりIPアドレスが順番(規定では起動した順)に割り当てられる。つまり、ここで設定したサブネットのアドレス空間とは、DHCPサーバへのアドレスプールの登録でもあるのだ。詳しくは後述するが、仮想マシンに静的にIPアドレスを割り当てることはできない。仮に、仮想マシン内で静的なIPアドレスを設定しても、それは自動的にDHCP設定に置き換わってしまう。では、アドレスが固定できないのかというとそうではない。DHCPから割り当てられるIPアドレスを固定化(予約)することが可能だ。手順は後述する。
「サブスクリプション」は、複数のAzureサブスクリプションを持っている場合に仮想ネットワークを作成するサブスクリプションを指定する。Azure上にリソースを作成すると、サブスクリプションに対して課金されるため、複数のサブスクリプションを持っている場合は注意しなければならない。
また、サブスクリプションを超えてリソースを作成することはできない。つまり、仮想ネットワークを作成したサブスクリプションとは異なるサブスクリプションに仮想マシンを配置することはできないので注意されたい。画面には筆者が使用しているサブスクリプションが表示されているため、読者のサブスクリプション名とは異なる可能性がある。
「リソース グループ」は、作成する仮想ネットワークが所属するリソース グループを指定する。初めてAzureを使用する場合はリソース グループが存在しないため、「新規作成」をクリックして、リソース グループの名前を指定する。ここでは、新規に「My-RG」を作成するように指定している。
「場所」は、Azureのデータセンターのロケーションを意味している。Azure世界各国にデータセンターを持っており、どこを選択しても構わない。日本国内には「西日本」と「東日本」の2カ所にデータセンターが用意されている。ただし、これから作成する仮想マシンを「東日本」に配置したい場合は、仮想ネットワークも「東日本」にしなければならない。今回は「東日本」を選択した。
以上の項目の入力が完了したら「作成」をクリックする。30秒程度で仮想ネットワークが作成される。
(4)DNS サーバーの設定
次に、仮想ネットワークで使用するDNS サーバーを指定する。既定では、Azureが用意しているDNSが使用される。Active Directoryドメインを構築するには「カスタムDNS」を使用する必要があるが、現時点ではAzure DNSのままでよい。
以上で、ステップ2までの作業が終了となる。まだ、ステップは続くのだが、これらについては次回に説明しよう。
編集協力:ユニゾン
安納 順一
日本マイクロソフト テクニカル エバンジェリスト
主にインフラ系テクノロジーの日本市場への訴求を担当。近年はパブリッククラウド上のアイデンティティ・プロバイダーであるAzure Active Directoryを活用したセキュリティ基盤のデザインや実装方法などがメインのフィールドである。
Technetで個人ブログもさまざまな技術情報を発信している。