くらめその情シス:Azure AD Connect の更新

2022.08.10

情シス@アノテーションの飯島です。

MicrosoftよりAzure AD Connect (AADC)についてversion1のサポートが2022年8月末で終了します。

Azure AD Connect 1.x バージョンの廃止

AADCサーバはAzure ADとオンプレAD(当社はADサーバもEC2で構築しています。)の同期情報の連携を行うサーバです。当社のAADCサーバはEC2で構築していますが、OSが古かったEC2の更新も兼ねてアップグレードを実施しました。今回はEC2上のAADCサーバのアップデートの手順についてご紹介したいと思います。

前提条件

Azure AD Connect (AADC)導入の前提条件は以下のサイトに記載されています。

Azure AD Connect の前提条件

今回は同期元のADサーバは変更せず、AADCサーバだけのリプレースになります。そのため、既存サーバと同じサブネットにSequlity Groupを適用したEC2サーバを構築しました。Azure ADと オンプレAD(EC2側)の双方への接続と名前解決ができる状態であることを確認します。

新サーバの構築とスゥイングアップグレード

新サーバ構築の手順として、以下公式に紹介されているアップグレード手順のうち、「Azure AD Connect 1 台構成に 1 台追加で構成し、アップグレード」の手順を参考にしています。(既存サーバはアップグレードされた新サーバの確認後に削除)

Azure AD Connect アップグレード手順詳細

切替後に上手く同期できない場合でも(バージョンの違うAADCサーバからも)切り戻し可能である、との事で安心してすすめられました。

既存サーバのバックアップ

事前に既存のAADCサーバから設定のエクスポートを行います。

(1)AADCの起動 →「構成」→「現在の構成の表示またはエクスポート」→「次へ」

(2)「エクスポート設定」→「保存」で json形式のファイルをバックアップ保存します。

新サーバ(ステージングモード)の構築

Microsoftから「AzureADConnect.msi 」をダウンロードします。以下のインストール手順を参考にインストールしましたが、「AzureADConnect.msi」は以下ページ内の「Azure AD Connect のダウンロード」からダウンロード可能です。

Azure Active Directory Connect のカスタム インストール

インストール手順については、次の通りです。

(1)Azure AD Connect へようこそ 画面

ライセンス条項 および プライバシーに関する声明に同意します にチェック

(2)簡単設定 画面

「カスタマイズ」を選択

(3)必須コンポーネントのインストール

「同期設定をインポート」を選択し、既存サーバからエクスポートした json ファイルを選択

(4)ユーザーサインイン 画面

シングルサインオンを有効にする にチェック

(5)Azure AD に接続 画面

Azure AD のグローバル管理者の資格情報を入力して ログイン(アカウントにサインイン画面へ遷移します)

(6)ディレクトリの接続 画面

「資格情報の変更」を選択し、ADフォレストアカウント(オンプレADの同期用アカウント)を作成する

ADフォレストアカウント画面で「新しいアカウントを作成」にチェックを入れ、オンプレAD管理者のアカウント情報を入力して「OK」

構成済みディレクトリのチェックがグリーンになっていればディレクトリの接続画面で「次へ」を選択できるようになります

注意点としては、「新しいアカウントを作成」を選択するとオンプレAD側に先頭が「MSOL_~」で始まる名前のアカウント(AD DSコネクタアカウント)が自動作成されます。該当ユーザーは、同期作業中にディレクトリ情報を読み取る、または書き込む際に使用されているサービスアカウントの為、削除すると同期作業は出来なくなります

(7)構成の準備完了 画面

「構成が完了したら、同期プロセスを開始する」、「ステージングモードを有効にする」の双方にチェックを付けて「インストール」を選択

ステージングモードAzureやオンプレADに対して同期情報の連携を停止する設定になります。

(8)構成が完了しました 画面

「Azure AD Connect 構成が完了しました。同期処理が開始されました。」と表示されることを確認してインストール完了です。

ステージングモードからの切り替え

(1)既存サーバをステージングモードにします

既存サーバでAADCの起動 → 「構成」→「ステージングモードの構成」→「次へ」→ Azure ADの管理者資格情報を入力 → 「ステージングモードを有効にする」にチェックを付けて「次へ」→「構成が完了したら、同期プロセスを開始する」にチェックがついていることを確認して「構成」→「ステージングモードの構成が完了しました」を確認して「終了」

※両サーバともステージングモードで稼働している状態となります。

(2)構築した新規サーバのステージングモードを無効化する

新サーバでAADCの起動 → 「構成」→「ステージングモードの構成」→「次へ」→ Azure ADの管理者資格情報を入力 → 「ステージングモードを有効にする」のチェックを外して「次へ」→「構成が完了したら、同期プロセスを開始する」にチェックがついていることを確認して「構成」→「ステージングモードの構成が完了しました」を確認して「終了」

以上で新規のサーバがメインとして稼動することになります。

新サーバでのAADとADの同期確認

確認としてAzureAD側で以下を実施し、オンプレADに反映されることを確認しました。

・グループの作成

・ユーザーの作成

・グループの削除

・ユーザーの削除

おわりに

今回はversion1のサポート終了が間近となったAzureAD Connectサーバのアップデート手順についてご紹介しました。AADCサーバについては参考にできる情報も多くあり、思った以上に短時間での構築ができました。残り1か月を切っていますが、未対応の方は参考にして頂けると幸いです。

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。