はじめに

Azure AD Connectサーバー（AADC）は、オンプレミスADのアカウント情報とAzure ADのアカウント情報を同期させる役割があります。

また、AADC内でSSOを実現させるための設定を行うことができます。

このように、オンプレADとAzure ADの同期や、認証をつかさどるサーバーであるために、AADCの冗長化構成を考える機会があるかと思います。

 

冗長化を構成するには、２つのポイントがあります。

1. Active機とStandby機の構成にする
2. Active機とStandby機の設定値を同一にする

 

今回は、私が実際に設定した時に躓いた点をご紹介します。

 

 

設定

Standby機を設定するには、[ステージングモードの構成]を選択します。

 

 

設定を進めていくと、[ディレクトリの接続]ページで、ADフォレストアカウントを入力する画面が表示されます。

このとき、冗長化構成のポイントである、「Active機とStandby機の設定値を同一にする」と念頭にあったため、

[既存のADアカウントを使用]を選択して、Active機で入力したADフォレストアカウントを入力しました。

しかし、エラーが出てしまいました。

 

そのため、[新しいADアカウントを作成]を選択して、オンプレADの管理者アカウントを入力したところ、

エラーが出ることなく承認されました。

 

ただ、「Active機とStandby機の設定値を同一にする」という前提条件がありますが、

Active機とは異なるADフォレストアカウントを入力してもよいのでしょうか。

 

 

解説

結論から言うと、Standby機の設定時に、Active機とは異なるADフォレストアカウントを入力しても問題ありません。

 

「Active機とStandby機の設定値を同一にする」とは、例えば、Active 機で[パスワード ハッシュ同期]を有効にしている場合に、

Standby 機でも[パスワード ハッシュ同期]を有効にして設定する必要があることを指します。

今回のADフォレストアカウントについては、オンプレ AD 上の情報の読み取り、および書き込みができれば Active 機と Standby 機で

ADフォレストアカウントが異なっていても問題が無いということになります。

 

Active 機とStandby 機で同じAD DS コネクタ アカウントを使用することは仕様上可能です。

ただし、同じ ADフォレストアカウントを使用することで、起こりうる弊害もあります。

例えば、 ADフォレストアカウントが意図せず削除されてしまった場合などに、 Active 機と Standby 機のどちらも同期処理が停止されることが

想定されます。

この時、Active 機と Standby 機で異なる ADフォレストアカウントを使用することで、上記の想定は回避できると考えられます。

 

よって、冗長化の観点では、Active 機と Standby 機で異なるADフォレストアカウントを指定する方法も１つの手ではないかと考えられます。

 

ご参考になればと思います。