ECS上のADDSをAzure ADと同期する #1

Alibaba Cloud ECSにActive Directory Domain Service(AADS)を構築し、Azure AD Connect(AADC)を利用してAzure ADと同期します。

記事は前編と後編の2つとなり、今回はAlibaba Cloud ECS上にActive Directoryを構築するところまでとなります。

後編ではAADCのインストールとAzure ADとの同期を紹介します。

ECS上のADDSをAzure ADと同期する #2

1. ECSの購入

ADDSを構築するためにAlibaba Cloud ECSを購入します。　OSはWindows Server 2016です。

ADDSは常時CPUリソースを消費するサービスではありません。バーストタイプのt5タイプを購入します。

Windows Server 2016のシステム要件は以下が参考になります。デスクトップエクスペリエンスを利用する場合はメモリは2GB以上が推奨となります。今回はデスクトップエクスペリエンスを利用するので2GBを搭載するタイプファミリーを選択しています。

https://docs.microsoft.com/ja-jp/windows-server/get-started/system-requirements

ECSインスタンスが生成されました。

2. プライベートIPの固定化

ADDSを構築するにあたりプライベートIPを固定化します。　本当はOS上での固定設定が望ましいのですがそれはAlibaba Cloud の仕様として推奨されないため、DHCPから配布するIPを固定化します。

具体的な手順は以下の記事にまとめていますので今回は割愛します。

ECSのプライベートIPを変更する

3. ADDS構築の事前準備

ADDSの役割をインストールする前に以下を実施しておきます。

TimeZoneの変更（既定のUTC+08:00→UTC+09:00へ）
OSパッチの適用（最新化）

時刻同期は以下の通り変更しています。　ECSのテンプレートは既定でUTC+08:00の中国本土になっていますので適宜変更しましょう。　

次にWindows Updateを実行します。

しかし、”0x8024401f”のエラーコードで失敗します。　マイクロソフトの公式情報は見つからなかったのですがUpdate Serverとの通信で問題（HTTPステータスコードが500などで応答される）がある場合にでるとのこと。

インターネットと通信が出来ていないのでしょうか？　pingで確認します。インターネットとの通信は問題ありません。

名前解決も問題ありません。

パケットキャプチャで状況を確認することにします。　Wiresharkをインストールします（手順は省略）。

HTTPの応答コードは500です。　また、接続先のIPアドレスは100.100.X.XとAlibaba Cloudの管理用IPのようです。　通信の中身を見ると以下のデータを確認できます。　やはり接続先はAlibaba Cloud（/jp.update.cloud.aliyuncs.com）のようですね。

”Request URI: http://jp.update.cloud.aliyuncs.com/ClientWebService/Client.asmx”

Update Serverを指定する設定についてレジストリを確認します。　キーの場所はHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\です。　”http://jp.update.cloud.aliyuncs.com”が指定されています。

Update ServiceをAlibaba Cloudの中で提供することはインターネットへの不要なトラフィックを削除する点で意味のあることです。しかし、正常に動作しないことは困ってしまいます。　サポートチケットをあげようかと思いましたが個人的な検証で急いでいるわけでもありません。今回は直接インターネットのMicrosoftのUpdate Serverを参照するように変更し、パッチを適用することにします。

”HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer” の値を”1(使う）”から”0（使わない）”に変更し、Windows Serverを再起動します。

Windows Updateを再実行します。　今度は処理が進みました。

4. ADDSの構築

役割と機能の追加ウィザードから”Active Directory ドメインサービス”と”DNS サーバー”をインストールします。

詳細な手順は省略します。

インストール後に昇格を実施します。　こちらも手順は省略します。　構成後にOSが自動的に再起動されます。　

ADDSが正常に起動していることをイベントログから確認します。まずは”Directory Service”で”Active Directory ドメインサービスデータベースの更新を妨げていたすべての問題が解決しました。 Active Directory ドメインデータベースへの新規更新に成功しています。Net Logon サービスが再開されました。”のメッセージが出力されていることを確認します。　問題ないですね。

sysvol共有も確認します。　”DFS Replication”のログを確認します。”DFS レプリケーションサービスは、ローカルパス C:\Windows\SYSVOL\domain の SYSVOL レプリケートフォルダーの初期化に成功しました。このメンバーは、このレプリケートフォルダーに指定されたプライマリメンバーです。ユーザーの操作は必要ありません。SYSVOL 共有をチェックするには、「net share」と入力してください。 ”のメッセージが確認出来ます。こちらも問題ありません。