Azure Active Directory(Azure AD)やPing ONEをはじめとしたクラウド上のID基盤(IDaaS)が流行ってきていますが、どのソリューションも現状はオンプレミスにActive Directoryが存在していることを前提として構成が組み立てられています。
これは、2014年のVittorio Bertocci氏へのインタビューでもオンプレミスのActive Directoryの普及率は95%を超えている、という発言があるとおり、エンタープライズ分野へIDaaSを適用する際は既存のActive Directoryを避けて通れず、どのようにシームレスにオンプレミスからクラウドへ橋渡しをするか?がフォーカスされているため決して不自然なことではありません。
しかし、こうなってくるとクラウド側の基盤がグローバルでレプリケーションされていて高い可用性を持っていたとしても、システム全体を見た時にはオンプレミスのActive Directoryがボトルネックや障害発生ポイントとなってしまいます。
と、いうことでマイクロソフトはハイブリッドID基盤をなるべく一か所で監視・管理できるようにしたり、セキュアに運用できるように色々と関連ソリューションを出しています。
| 脅威/リスク | 対象 | ソリューション |
|---|---|---|
| 稼働状況監視 | AD FS | Azure AD Connect Health for AD FS |
| AD DS | Azure AD Connect Health for AD FS | |
| 不正アクセス検知 | AD DS | Advanced Threat Analytics |
| 特権ID管理 | AD DS | Microsoft Identity Manager 2016 |
今回は、新たにPublic Previewが公開されたAzure AD Connect HealthによるActive Directory(AD DS)の稼働状況のモニタリングについて見てみたいと思います。
公式Blogでの発表
Introducing #AzureAD Connect Health for Windows Server AD
https://blogs.technet.microsoft.com/enterprisemobility/2016/07/19/introducing-azuread-connect-health-for-windows-server-ad/
仕組みとしては、監視用のエージェントをAzure PortalのAzure AD Connect HealthからダウンロードしてオンプレミスのAD DSサーバへインストール・構成するだけなので非常に簡単です。
◆エージェントを入手する
新ポータル(https://portal.azure.com)のダッシュボードにAzure AD Connect Healthがない人は追加しておきましょう。
Azure AD Connect Healthを開くとAgent for AD DSのダウンロードができるようになっていますので、Get toolsをクリックしてAgentモジュールをダウンロードします。
◆エージェントをインストールする
次は、監視対象のドメインコントローラへログインしてモジュールをインストールします。ダウンロードしたモジュールをドメインコントローラへコピーしてインストーラを実行します。
この際、以下の前提事項があるので準備をしておいてください。。
- ドメインコントローラ上でビルトインアカウントによるInternet Exploreが実行できること
- microsoftonline.com、microsoftonline-p.com、micorosoft.com、windows.netのCookieを受け入れる設定になっていること(windows.netはいらないかも)
- Azure ADテナント上でグローバル管理者権限を持つ組織アカウント(マイクロソフトアカウントではなく)が存在していること
- ドメインコントーローラからAzureへの上り通信がブロックされていないこと
特に、Windows Server 2016では、IEの設定が厳しいのでCookieの受け入れの設定を確実にしておかないとエージェントのセットアップに失敗します。
ダウンロードしたファイルを実行すると、インストールが始まります。
インストール自体は非常にシンプルなのですぐに終わります。
◆エージェントを構成する
インストールが完了したらAzure ADのテナントへ接続し、エージェントを登録します。
うまくIEの構成がされていれば、Azure ADへのログインダイアログが起動してきますので、「組織アカウント」でログインします。(マイクロソフトアカウントだとエラーが出ます)
以下、エラーになった場合のメッセージです。
<Cookieの受け入れ設定が出来ていない場合>
<マイクロソフトアカウントでログインした場合>
うまく構成ができると、以下のメッセージが出ます。
◆ポータルより状態を監視する
インストールが完了するとドメインコントローラに関する情報がエージェントによりAzure AD Connect Healthへアップロードされます。
各種状態を確認することが出来ます。
<FSMO、サイト、GCなど>
<機能レベルなどのプロパティ>
<認証要求数、レプリケーションステータスなど>
ちなみに監視対象のドメインコントローラを停止すると以下のようにアラートが表示されます。
(検知するまでにしばらく時間がかかります)
これでHybrid ID基盤のオンプレミス側の構成要素であるAD DSの状態監視もクラウドから実行できますので、別途監視ツールや運用ツールを用意する必要性がぐっと下がりますので、安心して基盤の運用ができますね。
投稿
0 件のコメント:
コメントを投稿