くらめその情シス:小ネタ:Active Directoryサーバ更新時のAzure AD Connectorの変更設定

特集

徳道 圭一

2021.03.11

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

どうも、情シスやってますアノテーションの徳道です。

ちょっと(だいぶ?)前に社内Active Directoryサーバを更新(2012→2019)しました。

OSの延長サポート切れでセキュリティパッチが提供されなくなるWindows Serverを更新していかないといけないのは世の常です。早め早めに乗り換えていくスタイル。

その際にAzureとアカウント情報を同期するAzure AD Connectorも設定変更が必要でした。

今回はそこで若干ひっかかったところがあったので、小ネタとしてご紹介します。

ActiveDirectoryサーバを更新すると何が変わる?

今回の事例ではAWSのEC2上で構築しているActiveDirectoryサーバのOS更新を行っています。

更新の流れは以下の通りです。

  1. 3台目、4台目のActiveDirectoryサーバを新しいAMIを使って起動
  2. 既存のドメインコントローラーとして参加させる
  3. 各種マスタを新サーバに移行
  4. 旧サーバをドメインコントローラーから降格
  5. 旧サーバを停止

ドメイン名自体は~.local、~corp.xxxxx.jpなどから変化するわけではないので、ドメインに参加しているWindowsPCなどからは違いがありません。

ではどこが変わるのか、というと以下の部分でドメインコントローラーサーバのホスト名が変化します。

  • グローバルカタログマスタ
  • 操作マスタ
  • サイト
  • ADサーバのDNS上にあるName Server、Service Locationなど

これらの更新は各マスターの設定変更で行われます(今回の記事ではマスタ移行の詳しい手順は触れません)。

AzureADと連携しているAzure AD Connectorでは、連携しているドメイン名が変わらなくとも細かい部分でこのドメインコントローラーサーバの名前変更が必要な個所がありました。

Azure AD Connectorで変更しないといけない設定

Azure AD ConnectorのActiveDirectory⇔AzureADとの連携設定は基本的にGUIのアプリで設定されているので、そこをいじる必要はありません。

しかし旧ドメインサーバを停止して丸一日ActiveDirectory → AzureAD同期の様子を見る試験をすると同期時にエラーが発生してしまいました。なんでやねん!

この原因はAzure AD Connectorの内部サービスでドメインコントローラーのホスト名が記録されており、優先度もついているためでした。

この設定、実は新しいドメインコントローラを追加しても自動で追加されないんです。

Synchronization Service の設定で、ADサーバの追加、順序の変更を行う

その設定はAzure AD Connectorの詳細設定ツールとしてインストールされている「Synchronization Service」にあります。

【公式】Azure AD Connect の Synchronization Service Manager UI の概要

Azure AD Connectorをインストールしているサーバには 「Synchronization Service Manager」がインストールされています。

これを立ち上げると実際にAzureと同期している設定の詳細情報を確認、変更することができます。

【Tips】

このツール、ショートカットがスタートメニューに作成されていますが、動作には管理者権限が必要です。

右クリックして「管理者として実行」か、ショートカットの設定で「管理者として実行」にチェックを付けておきましょう。

Synchronization Service Managerが起動したらツールバーの「Connector」 → Connectorsペインの「ローカルADのドメイン名(xxxx.local)」を選択 → Actionsペインで「Properties」を開きます。

 

Propertiesダイアログで「Configure Directory Partitions」を選択し、右側のDomain Controller Connection Settingsの「Configure」ボタンをクリックします。

 

Configure Preferred DCs に、追加したいドメインコントローラのホスト名(FQDN)を入力して追加します。

このとき、新ADサーバが優先になるように「Up」「Down」で設定しましょう。

 

Propaertiesの「Last used」が新サーバになればOKです。

AzureADで同期が成功していることを確認する

AzureADのグローバル管理者権限でログインし、Azure AD Connect Health のステータスがHealthyで、同期のエラーが出てないことを確認します。

6~8時間程度は様子を見たほうがよいでしょう。

これで新サーバだけでもActive DirectoryとAzureADの同期が正常にできるようになりました!

おわりに

Azure Active DirectoryはActive Directoryサーバを正のアカウント管理サーバとして、クラウド向けIdPとして利用しているところが多いと思います。

AD Connectorの細かい設定は公式マニュアルをしっかり読めば記載があるのですが、何しろ膨大な量があるので、見つけにくいところもあります。

Active Directoryサーバはどうしてもサポートサイクルの関係上、定期的に更新していくものですので今回の小ネタが管理者の方のショートカットとして活用していただけると幸いです。

それではまた次の記事でお会いしましょう。

customer-story-analytics

関連記事

Microsoft Entra ID から自動プロビジョニングしている AWS IAM Identity Center の SCIM アクセストークンをローテーションする

yhana

2024.02.24

Jump アカウント構成で外部 ID プロバイダとして Entra ID を利用する

yhana

2024.02.12

非 AWS Organizations 環境の AWS アカウントに Entra ID ユーザーでアクセスする

yhana

2024.02.12

Microsoft Entra ID のエンタイトルメント管理機能を利用して AWS へのアクセスの承認を委任する方法

yhana

2023.11.11