Managed Service for Microsoft Active Directoryを徹底解説

記事タイトルとURLをコピーする

G-gen の杉村です。当記事では Google Cloud (旧称 GCP) のサービスである Managed Service for Microsoft Active Directory (マネージド Microsoft AD) をご紹介したいと思います。

Managed Service for Microsoft Active Directory

概要

Managed Microsoft AD とは

Managed Service for Microsoft Active Directory (略称 Managed Microsoft AD) は Google Cloud (旧称 GCP) が提供する、フルマネージドな Microsoft Active Directory サービスです。

Managed Microsoft AD では、AD のサーバー構築、パッチ適用、バックアップ、冗長化などが自動化されており、インフラを意識すること無く Active Directory ドメインを作成することができます。またオンプレミスのフォレスト (ドメイン) と片方向/双方向の信頼関係を結ぶことも可能です。

また、簡単にマルチリージョン構成を構築することができ、追加の料金は発生しますがドメインコントローラを最大 4 つのリージョンに冗長化することもできます。

Managed Microsoft AD ではユーザー、デバイス、グループ、OU、GPO (グループポリシーオブジェクト) など一通りのオブジェクトを利用することができます。

ただし、後述する各種制限がありますので、要件に適しているかの検討が必要です。

制限事項

以下の制限事項があることに注意が必要です。

  • Managed Microsoft AD は既存ドメインのドメインコントローラとなることはできない (新規フォレスト・ドメインとなる)
  • Managed Microsoft AD のドメインコントローラにはリモートデスクトップ等でログインすることができない
    • ドメインに参加した別の管理用マシンから操作する
  • Managed Microsoft AD のドメインへ参加できるマシンの OS バージョンには制限あり
  • Managed Microsoft AD のドメインの機能レベルは Windows Server 2012 R2 である

料金

Managed Microsoft AD は以下の通りです (2023 年 1 月現在)。

単価 単位
$0.4 時間あたり・リージョンあたり

例として東京リージョンのみで運用する AD は以下のような月額料金となります。

$0.4 × 24h × 31 days = $297.6 / 月

最新の料金は以下のドキュメントを参照してください。

ユースケース

Managed Microsoft AD のユースケース

Managed Microsoft AD の主なユースケースは「Compute Engine 等の Google Cloud リソースが所属するためのドメイン」であると言えます。

そのためのアーキテクチャとして、後述の「リソースフォレスト」パターンなどがあります。

一方で、前述の制限事項もあることから「オンプレミスの既存ドメインの移行先として」あるいは「冗長化先として」というユースケースは現在のところあまり想定されていないと言えます。

ただし、Active Directory Migration Toolkit (ADMT) を使った既存ドメインからのオブジェクト移行方法が、Preview 中ではありますが用意されており、これも後述します。

既存ドメインからの移行

前提

一般的なクラウド移行のユースケースとして、オンプレミスのドメインコントローラをクラウドへ移行したい、という要求があります。

しかし Managed Microsoft AD では制限事項として 既存ドメインには参加できませんし、既存ドメインのドメインコントローラにはなれません。

つまり Managed Microsoft AD はあくまで新規フォレストとして構築することしかできません。よって、例えば「既存ドメインに参加させてドメインコントローラとして昇格させることでドメインコントローラを Managed Microsoft AD へそのまま移行する」ということは実現できないことになります。

Active Directory Migration Toolkit (ADMT) を使った移行

しかしながら Microsoft の提供するツールである Active Directory Migration Toolkit (ADMT) を利用することで、既存ドメインから Managed Microsoft AD で構築した新規ドメインへオブジェクトを移行する、という方法があります。

ただしこの方法は Google Cloud 側としては Preview 状態であり (2023 年 1 月現在) 本番環境での利用は推奨されません。

この方法では、既存ドメインと新規ドメイン (Managed Microsoft AD) の間に信頼関係を結び、ADMT を使ってユーザー、グループ等のオブジェクトを移行します。

移行後のオブジェクトでは SID が新規に割り振られてしまいパーミッション設定等がやり直しになってしまうことを回避するために、SID 履歴を保持して移行するなどの考慮事項があります。

ADMT を利用した移行手順などは Google Cloud からは提供されておらず、独自に調査して手順を確立する必要があります。

既存ドメインとの信頼関係

前提

Managed Microsoft AD では、オンプレミスの既存ドメイン (フォレスト) との片方向/双方向の信頼関係を確立することが可能です。

ただし、以下の条件を満たしている必要があります。

  • 既存ドメインコントローラが 対応 OS で稼働していること
    • Windows Server 2008 / 2012 R2 / 2016 / 2019
  • オンプレミスネットワークと Cloud VPN / Cloud Interconnect 等でプライベートネットワーク接続され、必要な TCP/UDP ポートで通信できること

アーキテクチャの検討

ドメイン間で信頼関係を結ぶにあたって、そもそもどういったフォレスト・ドメインアーキテクチャとすべきかを検討する必要があります。

Google Cloud から以下の詳細なドキュメントが公開されており、アーキテクチャ検討の参考にすることができます。

次に、そのうちひとつだけをピックアップして紹介します。

リソースフォレスト

Managed Microsoft AD で特に想定されているのは「リソースフォレスト」パターンです。

画像は公式より引用

このパターンでは Managed Microsoft AD で構築した新規フォレストからオンプレミスの既存フォレストに対して片方向の信頼関係を結びます。構成は以下のようになります。

  • オンプレミスのリソースはオンプレミスのフォレストに所属
    • ユーザーアカウント、PC など
  • Google Cloud リソースは Managed Microsoft AD のフォレストに所属
    • Compute Engine VM など
  • 信頼関係があるため、オンプレミスのフォレストに所属するユーザーは、Managed Microsoft AD のフォレストに所属する Google Cloud 上のリソースにアクセスできる

これによりメインのフォレスト・ドメインは引き続きオンプレミスで管理し、Google Cloud 上のリソース管理を Managed Microsoft AD でホストする新しいフォレストに任せる、といった構成になります。

詳細は以下のドキュメントもご参照ください。

Managed Microsoft AD の機能と非機能

ドメイン

Managed Microsoft AD のドメインの構築は、Google Cloud コンソールもしくは gcloud コマンドで行います。

Managed Microsoft AD ではユーザー、デバイス、グループ、OU、GPO (グループポリシーオブジェクト) など一通りのオブジェクトを利用することができます。

また LDAPS の有効化、パスワードポリシー (Fine-Grained Password Policies, FGPP)、グループ マネージド サービス アカウント (gMSA)、ディレクトリスキーマの拡張などのセキュリティ施策を利用することも可能です。

新規ドメインを作成すると、いくつかの OU、グループ、GPO、ユーザーアカウントなどデフォルトのオブジェクトが作成されます。

その中には setupadmin (変更可能) という名前のユーザーも含まれています。これは 委任された管理者アカウント とも呼ばれおり、最初のセットアップはこのアカウントを用いて行います。

また前述の通り、Managed Microsoft AD のドメインに参加できるマシンはサポート対象 OS が限定されていますのでご注意ください。

  • Windows
    • Windows Server 2008
    • Windows Server 2008 R2
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    • Windows 10(バージョン 1909 以前)
  • Linux
    • Ubuntu 16.04 LTS
    • Red Hat Enterprise Linux (RHEL) 8.2 (Ootpa)

上記のバージョン以外は「ここに記載されているバージョン以外も機能しますが、テストされていません。」とされています。また上記リストは 2023/01 現在のものですので、正確な情報としては以下のドキュメントをご参照ください。

ドメインコントローラ

ドメインコントローラはフルマネージドの Windows Server 2019 です。ドメインの機能レベルは Windows Server 2012 R2 です。

OS パッチの適用などは完全に自動で行われ、ユーザーは意識する必要がありません。

その代わり、ドメインコントローラの VM にリモートデスクトップ等でログインすることはできません。ではどのようにドメインを管理すればいいのかというと、別の Windows マシン (Compute Engine VM 等) にリモート サーバー管理ツール (RSAT) をインストールし、そのマシンからドメインに参加して、管理者アカウントの権限で管理タスクを実行します。

信頼関係

前述のようなフォレスト設計を実現するために、他のドメインと双方向・片方向の信頼関係を結ぶことができます。

Managed Microsoft AD 側の作業は Google Cloud コンソールや gcloud コマンドで実施できます。

ネットワーク

Managed Microsoft AD では、ドメインコントローラはマネージドな VM として Google Cloud マネージドな VPC 内にデプロイされます。この VM や VPC は Google Cloud によってマネージされているため、ユーザーからは見えません。

ドメイン作成時に、最低 /24 の範囲でドメインコントローラが利用する CIDR を指定します。この CIDR は接続予定のネットワークと重複してはいけません。

ドメイン作成時もしくは設定変更により接続対象の VPC ネットワークを選択すると、ドメインコントローラのマネージドな VPC とユーザーの VPC が VPC Peering で接続されます。これにより VM 等がドメインに参加できるようになります。

これらの VPC は「承認済みネットワーク」と呼ばれ、最大 5 つの VPC ネットワークを選択できます。

本来、承認済みネットワークとして接続できるのは Managed Microsoft AD と同じ Google Cloud プロジェクトの VPC だけですが、ドメインピアリング という機能で他のプロジェクトの VPC と接続することもできます (最大 10 個)。

なおドメインコントローラは Public IP を持たないため、インターネットに晒されることはありません。

冗長化

Managed Microsoft AD では、設定値として指定するだけで簡単に複数リージョンへのデプロイを実現できます。

また単一リージョンを指定したときでも、2つのドメインコントローラが別々のゾーンに設置されます。

リージョンは新規作成時に指定するほか、あとからリージョンを追加したり削除することもできます。

モニタリング

Managed Microsoft AD は Cloud Monitoring と統合されており、ドメインのヘルス状態や信頼関係の状態が情報収集されています。

ただし、2023 年 1 月現在でいずれのメトリクスも BETA 扱いですのでご注意ください。

また、ドメインに対する監査ログを設定することも可能です。ログオンイベントやポリシー変更などが記録され、ログは Cloud Logging に出力されます。

バックアップ・リストア

以下の 3 つのバックアップ方法があります。

No 名称 説明
1 オンデマンド バックアップ 任意のタイミングでバックアップを取ることができる。最大 5 世代まで
2 スケジュール バックアップ 12 時間ごとに自動的に取得される。21 世代保存される
3 スキーマ拡張バックアップ スキーマ拡張が実施されると取得される。最大 10 世代まで

リストアは gcloud コマンドで実施可能です。これまでに取得されたスナップショット一覧から、スナップショット名を指定して行います。リストアには最長で 90 分ほどかかる場合があります。

杉村 勇馬 (記事一覧)

執行役員 CTO / クラウドソリューション部 部長

元警察官という経歴を持つ現 IT エンジニア。クラウド管理・運用やネットワークに知見。AWS 12資格、Google Cloud認定資格11資格。X (旧 Twitter) では Google Cloud や AWS のアップデート情報をつぶやいています。