待望（？）のAzure Active Directory Domain ServicesがPublic Previewとなりました。

• Azure AD Domain Services is now in Public Preview – Use Azure AD as a cloud domain controller!
• Azure Active Directory Domain Services
• Azure Active Directory Domain Services （ドキュメント）

平たく言うとManagedな（制限付きの）Windows Server Active Directory Domain Servicesです。オンプレのActive DirectoryドメインをAzure上に建てられるうえにドメコンの管理から解放されます。Domain Controller as a Serviceですね！

概要

Windows ServerのほうのActive Directory Domain Serviceはもう説明するまでもないですよね。もう15年も歴史があるサービスです。ユーザーやグループ、コンピューターの管理、ポリシーによるセキュリティコントロール、認証など行うことができます。

これまでのAzure ADはIdPとして認証とユーザーやグループ、最近ではデバイスの管理が行えるサービスでした。これまでオンプレで行ってきたようないわゆるコンピューターのドメイン参加やコントロールには使えませんでした。

今回のAzure AD Domain Services（以下AADDS）ではそのドメイン機能を制限付きではありますがサービスとして提供されます。これまでも自前でドメインコントローラーを構築すればAzure上で（あるいはHybridで）ADドメインを使うことができていましたが、AADDSを使えばドメインコントローラーの管理から解放されます。もちろんユーザー管理などサーバー以外の部分はこれまで通りです。

VPNやExpressRouteを使ってオンプレと連携することもできるし、AzureAD Connectを使ってより複雑な構成をとることもできます。（後述）

機能概要

何ができますか？だいたい以下のような機能が提供されます。

• ドメインジョイン
  • コンピューターをドメインに参加させたりできます
• カスタムのドメイン名
  • Azure ADで使っているドメイン名とは別にActive Directoryドメイン用のドメイン名を定義できます
• Azure AD統合
  • ユーザーやグループ管理などはAzure ADと統合されています（=Azure ADで管理するということです）
• NTLM、Kerberos認証のサポート
  • Windows Server Active Directory Domain Service（WSADDS）と同じようにNTLM、Kerberos認証がサポートされます
• LDAP
  • LDAPバインドを使って認証したりディレクトリの読み取りができます
• グループポリシー
  • GPOが使えます（制限付き）
• マルチリージョン
  • 現状以下のリージョンで利用できます
  • Supported Azure Regions … Central US/East US/East US2/South Central US/West US/East Asia/Southeast Asia
• 高可用性
  • 複数台で冗長化されています（※ぱっとみたところ4台）
• 従量課金
  • ユーザー数（オブジェクト数）のレンジに応じてTierが定義されており、時間単価で課金されます（※Preview中はTierを選べません。時間あたり10.20円、月7,588.80円です）

だいたいWSADDSと同じだな？ということがわかりますね。もちろんSystem.DirectoryServicesといったADにアクセスするためのライブラリを使ってアクセスすることもできます。

管理方法などAADDS固有の部分を除けば仕組みなどはWSADDSと同じです。

制限事項

Preview時点での制限事項は以下の通りです。

• 現状シングルフォレスト・シングルドメインのみです
• 信頼関係はNGぽい気がします
• 複数VNETでできますか？ → 直接そのようなシナリオをサポートしてません。AADDSは1つのAzureのVNETに所属します。VNETやDNSをうまく構成すれば使えるでしょう。
• AADDSをAzure PowerShellなどで構成できません。Classicポータルで行う必要があります。
• 管理者アカウントはAAD DC Administratorsグループに所属させる必要があります。このグループにドメイン参加の権限が割り当てられています。
• 他の特権（Domain AdministratorやEnterprise Administratorなど）はありません
• OUは（AADDSの）ビルトインのものだけ使えます。追加したり変更できません。
• GPOは（AADDSの）ビルトインのものだけ使えます。
• ユーザー管理やグループ管理はAzure AD側で行う必要があります
• LDAP等を使用してユーザーやグループの管理は行えません
• EMSの一部として使えません。

使ってみよう

AADDSを構成するためには以下の手順を行います。

1. VNETの作成
    
   サポートされているリージョンのVNETを作成します。ごくごく普通です。
   このVNETにAADDSのドメインコントローラーが参加することになります。
2. 対象となるAzure ADにAAD DC Administratorグループを作成し、管理用（ドメイン参加などに使う）アカウントを登録します。
   
3. Azure ADの構成（Configure）ページのDomain ServicesでYesにし、参加するVNETとActive Directoryドメイン名を入力し保存します。
   
4. 構成が始まります。（1台目のIPアドレスが振られるまで20～30分、2台目のIPアドレスが振られるまで追加で20～30分見ておけばいいと思います）
   
5. 完了後、表示されたIPアドレスをVNETのDNSに設定します。（なくてもいいです）
   
   ※VNETのDNSに設定しておくとこのVNETにサーバー等が参加したときの参照先DNSになるのでそのままドメイン参加などができるという話です
6. 展開されたAADDSにはパスワードハッシュがないので、管理用アカウントのパスワードをAzure AD側でリセットするなりして同期します。（AAD Connectを使うシナリオなどもありますが割愛）
   詳細はドキュメントを参照ください。
   Step 5: Enable password synchronization

あとは普通にこのVNETにサーバーなりを参加させるだけですね。例えば以下のような感じで普通にドメイン参加することができます。

 

簡単なDeep Dive

どうもAzure ADとAADDSのドメインでAAD Conenctを使った同期を行ってるようです。なので、AADDSのドメインのユーザーやグループなどはAzure AD側で管理する必要があります。（Azure AD側でメンテすると5分程度でAADDS側に反映されます）
※パスワードハッシュがないから最初にパスワードリセットするなりして同期とらないといけないのもこれが理由と思われます

さてさてAADDSのドメインはどのように見えるでしょうか。

ごくごく普通のADですね。ただAADDC Computersにコンピューターを参加させる以外の管理はここから行えません。OUを作成したり、ユーザーを作成したりといった操作はすべて制限されています。

Azure AD側で作成したユーザーやグループはAADDC Users OUに同期されます。ドメイン参加したコンピューターはAADDC Computers OUに作成されます。

ちなみにDNSについては管理ツールから接続できませんでした。（逆引きは設定されてなさげ）

またドメインコントローラー名すらぱっとみわかりませんがIPアドレスで共有フォルダみればSYSVOLフォルダなど見えるので普通のADドメインのように扱えます。

ADサイトとサービスは権限ないので開きません。

ドメインコントローラーはランダムなサーバー名で4台用意されるようです。

GPOはAADDC UsersとAADDC Computers用にそれぞれ作成されてOUに割り当てられています。
※AADDC Usersのほうは設定項目なし

他のポリシー（ドメインデフォルトなど）は見ることはできますがリンクしたり編集できません。

もちろんADSI Editなどで参照はできますが編集できません。権限ないです。

要望など

もし要望があればこちらからPostしましょう。

まとめ

Previewとはいえ待ち望んでた人は多いかも？（複数サーバー間で同じSIDなアカウントが必要だったりドメイン参加が必要だったりという要件にはマッチしそう）
まだまだオンプレのADドメインの完全置き換えにはGPO周りやユーザー管理周りなど、不足点が多いかもしれませんが将来への布石として是非試してみて活用しましょう！