マルチサイトのActive Directory環境ではAzure AD への同期間隔はどうなりますか?

こんにちはDXソリューション統括部の村松です。

Azure AD Connectを用いたオンプレミスのActive Directoory(以下”AD”)からAzure ADへのディレクトリ同期の間隔は既定では30分に設定されています。しかし、比較的大規模な企業様ではマルチサイトのActive Directory環境を構成しているかと思います。その場合、アカウント作成からAzure ADへのディレクトリ同期間隔はどうなるでしょうか?

※ちなみに既定ではサイト間のドメインコントローラのディレクトリ同期間隔は180分となっております。

以下のシステム構成の例を基に一緒に考えてみましょう。

——————————————————————————————
[Active Directory環境]
フォレスト数:1フォレスト(sample.com)
ドメイン数:1ドメイン
サイト数:2サイト(Tokyo,Oosaka)

[システム構成]
東京⇔大阪間のサイト間のディレクトリ同期間隔は180分
オンプレミスのADからAzure ADへのディレクトリ同期間隔は30分
Azure AD ConnectはOosakaサイトに配置
ドメインコントローラ(以下”DC”)の数:Tokyoサイトに2台、Oosakaサイトに1台配置
——————————————————————————————

上記のシステムにてTokyoサイト側にあるDC#1でユーザーアカウントを作成した場合、Azure ADにそのアカウントが同期されるまで最大どれくらいの時間がかかるでしょうか。

ポイントはAzure AD ConnectがどのDCのディレクトリ情報を読み取るかです。その場合、選択肢としては以下の2つが挙げられます。果たしてどちらでしょうか?
——————————————————————————————-
①Azure AD Connectは最新のディレクトリ情報のDC(DC#1)を読み取りにいくのでアカウント作成からAzure ADへの同期は最大30分程度で済む。
②Azure AD Connectは同一サイト(Oosaka)内のDC(DC#3)のディレクトリ情報を読み取りにいくので、アカウント作成からAzure ADへの同期は最大210分(180分+30分)程度かかる。
——————————————————————————————-

 


正解は………②でした!

マルチサイトにおけるAzure AD ConnectについてMicrosoft社のドキュメントに記載がなかったため、同社のサポートにこの部分の仕様について問い合わせてみたところ”既定”ではAzure AD Connectは同一サイト内のDCのディレクトリ情報を読み取りにいくそうです。そのためサイト間のディレクトリ同期の間隔によってはアカウントの作成からAzure ADへの同期まで最大30分+サイト間のDCのディレクトリ同期間隔程度かかると見込んだほうがいいでしょう。

またAzure AD へアカウントが同期されるまでの時間をできるだけ短くするには以下3つの方法があげられます。

1.AD環境のサイト間のDCの同期間隔を短くする。
2.オブジェクトを更新するDCと同一のサイトにAzure AD Connectを構築する。
3.Azure AD Connectの”Synchronization Service Manager”から優先的に読み取るDCを指定する。

 

“3”の優先的に読み取るDCを指定する手順については以下になります。

これによりAzure AD Connectはサイトの配置に関係なく指定されたDCのディレクトリ情報を優先的に読み取りにいきます。

 

【優先的に読み取るDCの指定手順】

1. Azure AD Connect サーバーにて、 Synchronization Service Manager を起動します。
2. [Connectors] タブを開きます。
3. 当該ドメインのコネクターを選択し、[Properties] をクリックしてプロパティを開きます。
4. [Configure Directory Partitions] をクリックし、”Select directory partitions” より設定するドメインを選択し、[Only use preferred domain controllers] にチェックを入れます。
5. [Configure] をクリックし、接続先とするドメインコントローラー (DC) をテキスト ボックスに入力して、[Add] をクリックします。
 ※入力する内容は、Azure AD Connect から名前解決できる FQDN 名を入力ください。
 ※必要に応じて複数設定いただけます。優先度の高い DC を一覧の上に配置します。
6. [OK] をクリックします。
7. 設定変更を反映するため、PowerShell で以下のコマンドを実行し、完全同期を行います。
 Start-ADSyncSyncCycle -PolicyType Initial

いいね (この記事が参考になった人の数:4)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください