クラウド時代の新しいActive Directoryの形――Microsoft Entra Domain Servicesとは：今だからこそ学び直すActive Directory基礎のキソ（5）

ある日突然、「Active Directoryドメインを新しく作り直して」と言われたらどうしますか？　ドメインコントローラーのインストールから始まり、バックアップをはじめとする運用設計、万が一の際のリストア計画まで、全てを一から新たに作り直さなければなりません。時間をかければ先人たちの知恵を借りて再作成できるとは思いますが、時間をかけられない場合はどうするか――。今回は「学び直し」という本連載の趣旨から少し外れて、クラウド時代の新しいActive Directoryの形に触れたいと思います。

[後藤諭史，＠IT]

今だからこそ学び直すActive Directory基礎のキソ

クラウド時代のActive Directoryドメインの形

　「Microsoft Azure」（以下、Azure）をはじめとするクラウドサービスが登場して、10年以上の時間が過ぎました。クラウド環境で仮想マシンを稼働させるIaaS（Infrastructure as a Service）の登場により、企業のコンピューティング環境は大きく変化し、手元の物理サーバ上で環境を作り上げるよりも手軽に素早くサービス環境を構築できるようになりました。

　「オンプレミス環境の延長線上にあるIaaS環境」として利用する場合、オンプレミスの仮想化環境上にある仮想サーバ群をIaaS環境に移行し、物理環境の維持管理の手間を省きたくなるのは合理的な考え方といえます。クラウドのIaaS環境への移行対象には、当然のことながらActive Directoryの「ドメインコントローラー」も含まれると思います。

　IaaS環境上にドメインコントローラーを移行したとしても、結局のところ仮想化基盤を変えただけです。従って、更新プログラム適用をはじめとするパッチ管理やバックアップなどのドメインコントローラーの運用管理は、オンプレミス環境と同様に管理者が実施する必要があります。

　手元の物理ハードウェア、ないしは仮想化環境上にあったときは管理者の自由にできていたことが、IaaS環境に移行することで新たな制約を受けることになります。特に懸念されるのは、仮想化基盤そのものへのアクセスが制限されることです。これによって仮想マシンとのネットワーク接続に問題が生じた場合の対応が難しくなる可能性があります。

　Azureには「Azure Backup」などの運用サービスもありますが、それこそ「クラウドなんだからもっと便利に、簡単にActive Directoryを運用したい！」というニーズが生まれてくるのも当たり前の話だと思います。

　そうしたニーズを満たすクラウドサービスが、今回紹介する「Microsoft Entra Domain Services」になります。

　Microsoft Entra Domain Servicesは、Azure上で提供されるマネージドサービスで、Active Directoryドメインサービスが提供する「Windowsドメイン参加」「グループポリシー」「LDAP（Lightweight Directory Access Protocol）」「Kerberos認証」などのサービスが利用可能です。マネージドサービスであるため、パッチ管理やバックアップなどの管理は不要で、稼働率に対するサービス水準合意（Service Level Agreement：SLA）は99.9％に設定されています。