Azure AD Connect サーバー「冗長化」設定時のADフォレストアカウントについて

はじめに

Azure AD Connectサーバー(AADC)は、オンプレミスADのアカウント情報とAzure ADのアカウント情報を同期させる役割があります。

また、AADC内でSSOを実現させるための設定を行うことができます。

このように、オンプレADAzure ADの同期や、認証をつかさどるサーバーであるために、AADCの冗長化構成を考える機会があるかと思います。

 

冗長化を構成するには、2つのポイントがあります。

  1. Active機とStandbyの構成にする
  2. Active機とStandby機の設定値を同一にする

 

今回は、私が実際に設定した時に躓いた点をご紹介します。

 

 

設定

Standby機を設定するには、[ステージングモードの構成]を選択します。

 

 

設定を進めていくと、[ディレクトリの接続]ページで、ADフォレストアカウントを入力する画面が表示されます。

このとき、冗長化構成のポイントである、「Active機とStandby機の設定値を同一にする」と念頭にあったため、

[既存のADアカウントを使用]を選択して、Active機で入力したADフォレストアカウントを入力しました。

しかし、エラーが出てしまいました。

 

そのため、[新しいADアカウントを作成]を選択して、オンプレADの管理者アカウントを入力したところ、

エラーが出ることなく承認されました。

 

ただ、「Active機とStandby機の設定値を同一にする」という前提条件がありますが、

Active機とは異なるADフォレストアカウントを入力してもよいのでしょうか。

 

 

解説

結論から言うと、Standby機の設定時に、Active機とは異なるADフォレストアカウントを入力しても問題ありません。

 

「Active機とStandby機の設定値を同一にする」とは、例えば、Active 機で[パスワード ハッシュ同期]を有効にしている場合に、

Standby 機でも[パスワード ハッシュ同期]を有効にして設定する必要があることを指します。

今回のADフォレストアカウントについては、オンプレ AD 上の情報の読み取り、および書き込みができれば Active 機と Standby 機で

ADフォレストアカウントが異なっていても問題が無いということになります。

 

Active 機とStandby 機で同じAD DS コネクタ アカウントを使用することは仕様上可能です。

ただし、同じ ADフォレストアカウントを使用することで、起こりうる弊害もあります。

例えば、 ADフォレストアカウントが意図せず削除されてしまった場合などに、 Active 機と Standby 機のどちらも同期処理が停止されることが

想定されます。

この時、Active 機と Standby 機で異なる ADフォレストアカウントを使用することで、上記の想定は回避できると考えられます。

 

よって、冗長化の観点では、Active 機と Standby で異なるADフォレストアカウントを指定する方法も1つの手ではないかと考えられます。

 

ご参考になればと思います。

 

 

 

 

いいね (この記事が参考になった人の数:1)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください