AD設計の基礎から読み解くIaaS On AD
-
Upload
naoki-abe -
Category
Technology
-
view
1.544 -
download
8
description
Transcript of AD設計の基礎から読み解くIaaS On AD
![Page 1: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/1.jpg)
AD設計の基礎から読み解くIaaS AD
![Page 2: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/2.jpg)
今日のお話は・・・
レプリケーション
2
ドメイン コントローラー
オンプレミス
ドメイン コントローラー
Azure AD
Office 365
Google Apps
Salesforce
Windows Intune
VPN
Microsoft Azure
Windows Server AD Azure AD
![Page 3: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/3.jpg)
AD設計の基礎
![Page 4: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/4.jpg)
ドメインとは ?
ドメインに登録するアカウント・ ユーザー アカウント・ グループ アカウント・ コンピュータ アカウント
ユーザー アカウント
グループ アカウント
コンピュータアカウント
ドメインは、アカウントを登録して、管理する単位 ドメイン
1 つのドメインに、何万個ものアカウントを登録可能
Active Directory データベース
![Page 5: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/5.jpg)
フォレストとは ?
ドメイン
フォレスト
1つ以上のドメインで構成
1番大きな管理範囲
フォレスト内は推移的信頼関係によりシングルサインインが可能
1番大きな認証範囲
![Page 6: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/6.jpg)
AD設計指針
シングルフォレスト
シングルドメイン
シングルフォレストの特徴
全体を別ドメインのリソースを利用者が検索・利用可能
ADの制御情報(スキーマ、構成)の共有 フォレスト管理可能な管理者が存在する
要件似合わない場合 マルチフォレスト
![Page 7: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/7.jpg)
マルチドメインの選択基準
大規模環境でADデータベースサイズや複製トラフィックを最適化したい
分散管理
法的規制
専用のFRDを使用すると、Enterprise Admins,SchemaAdminsなどのフォレストレベルのサービス管理者グループを、ユーザーアカウントから論理的に分離できる
ドメインサービスの管理者とフォレストレベルのサービス管理者の役割を分離できる
FRDは通常、構造の変更やドメイン名の変更などに結びつく組織の変更の影響を受けない
FSMOの戦略的な配置 FRDには、エンドユーザー、グループ、コンピューターオブジェクトは含まれない
FRD
![Page 8: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/8.jpg)
マルチドメインのトポロジー
フォレスト
FRD
サブドメイン サブドメイン
全体を管理Enterprise Adminsグループ
ユーザーは登録しない
FRD(Forest Root Domain)
各ドメインの分散管理Domain Adminsグループ
サブドメイン
FRD配下のサブドメインは、並列に配置する(階層を増やさない) 推移的認証のルートがすべてFRD経由となり1ドメインとなる
![Page 9: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/9.jpg)
FRDのDNS設計
サブドメインのスタブソーンを作成する
FRD配下のサブドメインは、委任ではなく、スタブゾーンを作成するスタブゾーンにすることにより、メンテナンスフリーとなる
![Page 10: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/10.jpg)
スタブソーンの動作
west.contoso.com
contoso.com
north.contoso.com
sales.north.contoso.com
west.contoso.comのプライマリゾーン
sales.north.contoso.comのスタブゾーン
SOA sales.north.contoso.comNS dns.sales.north.contoso.comdns A 192.168.1.100
sales.north.contoso.comのプライマリゾーン
SOA sales.north.contoso.comNS dns.sales.north.contoso.comdns A 192.168.1.100file A 192.168.1.150www A 192.168.1.160
ターゲットサーバー
クエリ
![Page 11: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/11.jpg)
スタブソーンの動作
相手のDNSサーバーを識別するために必要なレコードのみ(SOA、NS、DNSサーバーのAレコード)をゾーン転送によりコピーする
ルートサーバーを経由せずに、相手先のDNSサーバーにクエリを送信できる
![Page 12: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/12.jpg)
ADの機能レベルについて
機能レベルとは実現できる機能のレベル分け定義のことで、設定する機能レベルによって、ドメイン内やフォレスト内で使用できる機能が異なる
機能レベルは自動的に上がらない
基本的に1度あげたら下げない
![Page 13: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/13.jpg)
[補足] ドメインの機能レベル
フォレストの機能レベル 有効な機能
Windows Server 2003 既定のActive Directoryの機能に加えて、以下の機能が有効・Netdom コマンドのサポート・特定のサービスへのアクセスのみを許可することができる制約付き委任の構成・承認マネージャーによる AD DS への承認ポリシーの保存
Windows Server 2008 「Windows Server 2003」 ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・SYSVOLに対するDFS-R レプリケーション・Kerberos認証における AES 128 および AES 256・細かい設定が可能なパスワードポリシー
Windows Server 2008 R2 「Windows Server 2008」 ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・Kerberos 認証におけるメカニズム認証
Windows Server 2012 「Windows Server 2008 R2」 ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・ダイナミックアクセス制御とKerberos防御の制御
Windows Server 2012 R2 「Windows Server 2008 R2」 ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効・Protected Usersグループ、および認証ポリシーとサイロによる認証セキュリティ
![Page 14: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/14.jpg)
[補足] フォレストの機能レベル
フォレストの機能レベル 有効な機能
Windows Server 2003 既定のActive Directoryの機能に加えて、以下の機能が有効・フォレストの信頼・ドメイン名の変更・Windows Server 2008 以降の読み取り専用ドメインコントローラー(RODC)の展開など(他にもあり)
Windows Server 2008 追加機能はなし
Windows Server 2008 R2 フォレストの機能レベル「Windows Server 2008」の機能に加えて、以下の機能が有効・Active Directoryのごみ箱
Windows Server 2012 追加機能はなし
Windows Server 2012 R2 追加機能はなし
![Page 15: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/15.jpg)
ドメイン機能レベル
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Set-ADDomainMode –DomainMode <機能レベル> -Identity <ドメイン名>
Windows Server 2008 機能レベルをスタート地点として行き来できる フォレスト機能レベルと同等のレベルまで下げることが可能
![Page 16: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/16.jpg)
フォレスト機能レベル
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Set-ADForestMode –ForestMode <機能レベル> -Identity <ドメイン名>
Windows Server 2008 機能レベルをスタート地点として行き来できる ADゴミ箱が有効な場合Windows Server 2008 R2まで下げることが可能
![Page 17: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/17.jpg)
ドメイン
FSMO(操作マスター)とは
FSMO:Flexible Single Master Operationフォレストルートドメイン(1台目のDC)マルチマスターレプリケーションの競合の課題を解決
ADにおける重要機能(シングルマスターレプリケーション)
フォレスト
スキーママスター
ドメイン名前付けマスター
PDCエミュレーター
RIDマスターインフラストラクチャマスター
![Page 18: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/18.jpg)
FSMO(操作マスター)の用途
スキーママスター
インフラストラクチャマスター
フォレスト
ドメイン名前付けマスター
PDCエミュレーター
RIDマスター
ドメイン
スキーマに対するすべての更新と変更
フォレスト内でのドメインの追加または削除、ドメイン ツリーの変更
ドメイン内の別のドメイン コントローラーで変更されたパスワードの優先複製 時刻同期 グループ ポリシーのマスター コンピューター
RID プールを、ドメイン コントローラーに割り当てる
グループメンバーのアカウント名の更新(外部参照オブジェクト) マルチ ドメイン構成においては、インフラストラクチャーマスターとGCを 1 台で構成してはいけない
![Page 19: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/19.jpg)
ドメインコントローラー
• AD DSの役割を実行するサーバー• Active Directoryデータベース(ntds.dit)およびsysvolをホストする
• ドメインコントローラー間でレプリケートする
• Kerberosキー配布センター(KDC)認証• ユーザーやコンピューターなどの認証を行う
• ベストプラクティス• 冗長性確保のため2台以上のDCが推奨される
• ブランチサイトではセキュリティ確保のためRODCを提供
![Page 20: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/20.jpg)
Active Directory データストア
• AD DS のデーターベース• %systemroot%¥ntds¥ntds.dit
• 論理パーティション• スキーマ
• 属性やクラス• 構成
• ドメイン、サービス、トポロジ• ドメイン
• ユーザー、グループ、コンピューター• アプリケーション
• DNS(AD統合モード)
• Sysvol• %systemroot%¥sysvol• ログオンスクリプト• ポリシー
アプリケーション
ドメイン
構成
スキーマ
AD DS データーベース
フォレスト全体で共通
ドメインごと
アプリケーションごと
![Page 21: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/21.jpg)
レプリケーション
• レプリケーションとはDC間の情報交換のこと
• マルチ マスタ レプリケーション• すべての DC がマスタとなり、お互いにユーザー情報などをレプリケート
• Sysvolの内容がレプリケートされる• FRS または DFSR
• フォレスト内の異なるドメインの DC間でも制御情報をレプリケーション
![Page 22: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/22.jpg)
SYSVOL
• %systemroot%¥sysvol
•以下のファイルを格納• スクリプト ファイル(ログオン、ログオフ、スタート、シャットダウン)
• グループ ポリシーのファイル• グループ ポリシー テンプレート(GPT)
• FRS(File Replication Service)またはDFSR(DFS Replication)を使用して、同一ドメイン内のドメインコントローラー間で複製し合う• FRS は、従来のバージョンから使用しているサービス
• DFSR は、Windows Server 2008 ドメイン機能レベルで使用可能なサービス
![Page 23: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/23.jpg)
サイト
Tokyo
Osaka Nagoya
サイトは、Active Directory における論理的なネットワーク境界物理ネットワークに合わせて構成する(通常は 同一 LAN で構成)サイトを構成すると、ログオン トラフィックとレプリケーション トラフィックを最適化できる
Default-First-Site-Name
![Page 24: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/24.jpg)
AD DSサイトのモデル
単一サイトモデル
すべてのコンピューターが1つの物理的な場所に存在する
複数の物理的な場所が高速リンクで接続されている
ドメインコントローラーが1つだけ存在する
複数サイトモデル
物理的な場所が複数存在する 場所間のリンクが低速で信頼性が低い 物理的な場所ごとに1つ以上のドメインコントローラーが存在する
サイト設計モデルの選択がレプリケーションの動作に大きく影響する
![Page 25: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/25.jpg)
サイト内レプリケーション
接続オブジェクト
変更発生
変更通知
15秒後
次は3秒後
変更通知15秒後
変更通知
ほぼリアルタイムで、複製パートナーに通知する3ホップ以内で伝達されるように、各DCのKCCにより接続オブジェクトが作成される(15分間隔でチェック)
レプリケーション データは、圧縮されない
![Page 26: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/26.jpg)
サイトを構成する目的
レプリケーショントラフィックの制御
ログオントラフィックの封じ込め
アプリケーション(DFS、Exchangeなど)
![Page 27: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/27.jpg)
サイト間レプリケーション
サイトリンク
ブリッジヘッドサーバー
ブリッジヘッドサーバー
ブリッジヘッドサーバー
レプリケーション データは、圧縮されるログオントラフィックが最適化されるレプリケーション トラフィックが最適化される(スケジューリング、間隔)ブリッジヘッドサーバーがサイト間のレプリケーションを行うサイト間トポロジジェネレータ(ISTG)が、ブリッジヘッドサーバーを指定する
![Page 28: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/28.jpg)
レプリケーショントポロジのベストプラクティス
物理ネットワークに適したトポロジ作成
コスト値は物理ネットワークを参考に
サイト間のコスト値が適切に割り当てられることで、最適なサイト間レプリケーショントポロジが算出される
![Page 29: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/29.jpg)
サイトの構成手順
Default-First-Site-Name
ネットワークの構成などに合わせて、サイトを構成する既定の状態
サイトを作成するサブネットを作成し、各サイトに関連付けるサイトリンクを作成し、結ぶサイトを選択するサイトリンクを構成する
コスト値スケジューリング間隔
ドメインコントローラを適切なサイトに移動する
![Page 30: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/30.jpg)
Active Directory ログオンプロセス
DNSサーバ
ドメインコントローラ ① ドメインコントローラは?(SRVリソースレコード)
④ ログオン(認証)要求
②応答
GC
③ ユニバーサルグループの問い合わせ
Active Directoryでは、DNSが必須DCの情報をクライアントに提示する
![Page 31: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/31.jpg)
各サイトにグローバルカタログサーバーを配置しない場合
DC+GCDC
アクセストークンを作成
ログオン
UGのメンバーシップの
確認
本社サイト支社サイト
DC
ユニバーサルグループのメンバーシップ確認のために、毎回グローバルカタログサーバーに問い合わせを行う
![Page 32: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/32.jpg)
グローバルカタログの役割
フォレスト全体でのオブジェクトの検索を提供する
ユニバーサルグループのメンバーシップを提供する
UPNログオン名を管理する
シングルフォレスト・シングルドメイン構成の際は、全てのDCにGCの設定を行うことにより検索のパフォーマンスが上がる
![Page 33: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/33.jpg)
サイト設計まとめ
サイトごとにDC,DNS,GCを配置
ユニバーサルグループメンバーシップキャッシュは使用しない
ブリッジヘッドサーバー、サイトリンクブリッジは自動にお任せ
サイトを作成する目的を明確にする
![Page 34: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/34.jpg)
RODCのシナリオ
DC+GC
ログオン
本社サイト 支社サイト
DC
支社サイトのユーザーは、本社サイトのDCにログオンするためログオン認証が遅い支社にDCを置き、支社内で認証を完結させたい
![Page 35: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/35.jpg)
支社にDCを配置する際の課題
DC+GC
ログオン
本社サイト 支社サイト
DC
支社にはサーバールーム(物理セキュリティ)が確保できない盗難にあった場合、パスワードクラックなどが行われる可能性がある
支社にはサーバー管理者がいない(Domain Admins)支社サイトで変更した操作は組織全体に影響する
DC
![Page 36: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/36.jpg)
RODCの特徴
DC+GC
ログオン
本社サイト 支社サイト
DC
読み取り専用ドメインコントローラー一方向のレプリケーション
RODC専用管理者(Domain Adminsの必要なし)設定したユーザー・コンピューターのみパスワードをキャッシュする
RODC
![Page 37: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/37.jpg)
IaaS on AD
![Page 38: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/38.jpg)
ガイドラインから検討する
http://msdn.microsoft.com/en-us/library/azure/jj156090.aspx
![Page 39: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/39.jpg)
IaaS on AD のシナリオ
企業フォレスト(オンプレミス環境)とは分離したフォレスト
オンプレミス環境との結合
オンプレミス環境のバックアップ
障害対策サイト
他のIaaSアプリケーションの認証
海外拠点のドメイン
![Page 40: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/40.jpg)
前提条件は?
オンプレミス環境Microsoft Azure
VPN
AD DS 1号機AD DS 2号機
VPN接続
サイト設計(それぞれのサイト、サイトリンクによる制御)
![Page 41: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/41.jpg)
こんなシナリオもできます!
オンプレミス環境Microsoft Azure
VPN
AD DSAD DS 兼 AD FS × 2可用性セット
ディレクトリ同期
WAP WEB
Internet
![Page 42: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/42.jpg)
IaaS で AD(DC)を配置する際の考慮点
オンプレミス環境Microsoft Azure
VPN
AD DS 1号機FileAD DS 2号機
Azureとの接続がなくなるとDCにアクセス不可
![Page 43: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/43.jpg)
このトポロジーなら大丈夫・・・だけどAzure必要か?
オンプレミス環境Microsoft Azure
VPN
AD DS
オンプレミス環境
VPN
AD DS
![Page 44: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/44.jpg)
海外拠点のドメインシナリオパターン1
オンプレミス環境(JP)Microsoft Azure(JP)
VPN
DC
オンプレミス環境(US)
VPN
Microsoft Azure(US)
VPN
DC
![Page 45: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/45.jpg)
海外拠点のドメインシナリオパターン2
オンプレミス環境(JP)Microsoft Azure(US)
VPN
AD DS
オンプレミス環境(US)
VPNDC
![Page 46: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/46.jpg)
海外拠点のドメインシナリオ3(普通に考えると)
オンプレミス環境(JP)Microsoft Azure(JP)
VPN
DC
オンプレミス環境(US)
VPN
RODC
DC
![Page 47: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/47.jpg)
送信トラフィックの制御
オンプレミス環境(JP)Microsoft Azure(JP)
VPN
DCDC
Microsoft Azure は、出力方向にのみ課金する(データ転送料)
Microsoft Azure が受信するトラフィックは、課金されない
出力方向(有料)
入力方向(無料)
![Page 48: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/48.jpg)
その手法は
サイトおよびサイトリンクのコスト調整(GCも含む)
RODCによる一方向のレプリケーション
オンプレミス環境(JP)Microsoft Azure(JP)
VPN
AD DS入力方向(無料)
RODC
![Page 49: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/49.jpg)
RODCは万能ではない(カスタマイズ必須)
デフォルトの状態ではローカルにパスワードを保存しない
管理者のパスワードは保存しない
オンプレミス環境(JP)Microsoft Azure(JP)
VPN
AD DS入力方向(無料)
RODC
![Page 50: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/50.jpg)
IaaS on AD の得意なシナリオは
企業フォレスト(オンプレミス環境)とは分離したフォレスト
オンプレミス環境との結合
オンプレミス環境のバックアップDC
障害対策サイト(DC含む)
他のIaaSアプリケーションの認証
海外拠点のドメイン
![Page 51: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/51.jpg)
独断と偏見で点数をつけると
企業フォレスト(オンプレミス環境)とは分離したフォレスト
オンプレミス環境との結合
オンプレミス環境のバックアップDC
障害対策サイト(DC含む)
他のIaaSアプリケーションの認証
海外拠点のドメイン
100点
80点
80点
100点
20点
![Page 52: AD設計の基礎から読み解くIaaS On AD](https://reader034.fdocuments.net/reader034/viewer/2022042512/559ef8b41a28abcc768b46d9/html5/thumbnails/52.jpg)
私ならどうするか?
DCに対する特別な送信トラフィックの制御は行わない
通常のDCの動作内のトラフィック量が発生することを認識する
Azure に DC を配置するならコストがかかります。