Azure AD Connect(AAD Connect)を使ってオンプレミスのActive DirectoryからAzure Active Directory(Azure AD)へIDを同期する際、実環境においては同期元となるADドメイン上に複数のドメインコントローラが複数サイトに配置されている場合が多いと思います。
そのような場合、同期元とするドメインコントローラをある程度固定することでレプリケーションのタイムラグなどによる無用なトラブルを回避することが可能です。
※Forefront Identity Manager(FIM)やMicrosoft Identity Manager(MIM)を使っている方なら普通に行う設定ですが、AAD Connectについても考え方は同様で、正式にサポートされている方法です。
早速設定方法を見てみます。
◆AAD Connectの初期状態
複数ドメインコントローラが存在する環境にAAD Connectをインストールした状態です。
今回はds1-addsとds2-addsという2台のドメインコントローラを用意し、ds2-addsにAAD Connectを同居させているので、初期状態では自動的にds2-addsが同期元として選択されました。(基本的にネットワーク的に近い(ICMPのレスポンスが早い)サーバが自動選択される仕組みのはずです)
Synchronization Service Managerを開いて同期履歴を見ると使われたドメインコントローラがわかります。
AD DSの管理エージェントの設定の[Last used]を見ても確認できます。
◆同期元とするドメインコントローラを設定する
いよいよ同期元となるドメインコントローラを設定します。
同じくSynchronization Service ManagerのConnectorsメニューよりAD DS管理エージェントの設定を開き、[Only use preferred domain controllers]にチェックを入れ、[Configure]を開きます。
ここで使用するドメインコントローラのFQDNを入力・設定します。
この設定を行うことにより、設定したドメインコントローラからのみIDが同期されるようになります。
再度同期ジョブを流すと設定したドメインコントローラが使われることがわかります。
◆優先ドメインコントローラが停止している場合の動作
先に設定した状態だと、優先設定したドメインコントローラからのみしか同期が行われないため、設定したドメインコントローラが停止していると同期エラーが発生してしまいます。
この事態を回避するためにはPreferred DCに複数のドメインコントローラを設定するか、[Only use preferred domain controllers]のチェックを外しておきます。
こうすることで優先ドメインコントローラが停止していたら、他のドメインコントローラを使って同期ジョブが実行されるため、同期が停止することはありません。
まとめると、以下のような動作となりますので環境に応じて設定を変更してうまく運用していきましょう。
| DC1 | DC2 | Preferred DC | Only use preferred domain controllers | 同期ジョブ |
|---|---|---|---|---|
| 起動 | 起動 | DC1 | チェックON | DC1を利用して同期実行 |
| 停止 | 起動 | DC1 | チェックON | 同期エラー |
| 起動 | 起動 | DC1 | チェックOFF | DC1を利用して同期実行 |
| 停止 | 起動 | DC1 | チェックOFF | DC2を利用して同期実行 |
投稿
0 件のコメント:
コメントを投稿