サーバー筐体交換などのため、Azure AD Connectサーバーを別のサーバーに移行する手順
本エントリーの目次
Azure Active Directory Connectサーバーを、別のサーバーに移行したい!
数年ほど前から、オンプレ(オンプレミス = 自社内設置)のActive DirectoryとOffice 365のAzure Active Directoryを、Azure Active Directory Connect※を使って同期運用されている環境が増えてきています。
※MicrosoftさんのドキュメントではAzure AD Connect、AADCと表記されていることが多いため、以下ではそのように表記します。
そしてAzure AD Connectサーバーの導入から数年経ち、そろそろAzure AD Connectサーバーの筐体を新しいものに交換したい!
Azure AD Connectサーバーを別のサーバーに移行したい!
と感じている方もいらっしゃることでしょう。
そこで今回は、Azure AD Connectサーバーを別のサーバーに移行する手順をご紹介します!
はじめに
これからご紹介する手順は、シングルフォレスト・シングルドメインで、移行元AADCサーバーが複数のWindows Server 2012 R2 Standard。
移行先AADCサーバーが複数のWindows Server 2019 Standardで、同期内容はディレクトリ同期とパスワードハッシュ同期。
そしてシームレスシングルサインオン(以下シームレスSSOと表記)が有効の環境で、動作確認を行っています。
他の動作環境・同期内容での移行をする際は、手順が変わったり別途追加作業が必要となるかもしれませんこと、あらかじめご了承ください。
ステージングモードについて
同期内容がディレクトリ同期とパスワードハッシュ同期だけで、オンプレADのADオブジェクト(ユーザーやグループ)の内容が頻繁に変わらない環境では、AADCサーバーを1台だけ構築・運用している環境も多いと思います。(AADCサーバーで障害が発生すると、オンプレADの変更がAzure ADに反映されなくなるなどの問題が起こりますが、影響が小さいため。※)
ですがAzure AD Connectは冗長構成(アクティブ/ステージング構成)を簡単に設定可能であること。
また、これからご紹介する移行手順中でAzure AD Connectのアクティブ/ステージングの切り替え機能を使用していることから、現在AADCサーバーが1台であり、移行を検討されているということであれば、この機会に冗長構成の導入も検討されると良いでしょう。
※パススルー認証を利用している場合は認証機能が利用できなくなるため、障害の影響がかなり大きいです。
Azure AD Connectのアクティブモードとステージングモードの違い
Azure AD Connectのアクティブモードとステージングモードの違いについては、Microsoftさんの解説が分かりやすいため、以下に引用します。
Staging サーバーとは?
シンプルに言えば [Export (書き込み) を行わない、アイドリング状態のサーバー] です。中略
[Import で最新の情報を取り込み、Sync でデータベースを更新する] ところまでは一緒ですが、最後の Export (書き込み) 処理をしない、というのが Staging サーバーの動作です。
上記解説中のImportとExport作業はアクティブモードのAADCサーバーで定期的に実行されており、AADCサーバーにインストールされているSynchronization Service ManagerのOperationsで実行履歴を確認できます。(Operations中のProfile Name列にImportとExportの履歴が記載されています。)
AADCのアクティブモードでは、”Importで最新の情報を取り込み、Sync でデータベースを更新”し、かつExport作業(書き込み処理)も実行する。
対してステージングモードでは、”Importで最新の情報を取り込み、Sync でデータベースを更新”するが、Export作業(書き込み処理)を行わない、という違いがあります。
そのため、アクティブモードのAADCサーバーに障害が起きた場合は、ステージングモードのAADCサーバーをアクティブモードに変更することで、すでにImportしていた情報をExportするようになり、ただちにAADCシステム全体の機能が復旧できる、というわけです。
そしてAADCサーバーの移行をする際は、冗長構成(アクティブ/ステージング構成)の切り替え手順を使うことで、スピーディーな移行作業を実現できます。
Azure AD Connectサーバーを別のサーバーに移行する手順
Azure AD Connectサーバーを別のサーバーに移行する場合は、後述の流れで作業を行います。
ご紹介している手順では旧AADCサーバーを最新のAzure AD Connectに更新。
そして新AADCサーバーに対しては最新のAzure AD Connectをインストールするケースを例に、移行方法を説明しています。
これは、新AADCサーバーに対して最新バージョンをインストールする場合で、移行時に問題が起きた際、それがAADCサーバーの移行(Server OSの変更など)によるものなのか。
またはAzure AD Connectのバージョンを上げたことが原因なのか、切り分けをしやすくするためであり、旧AADCサーバーを最新のAzure AD Connectに更新する作業は必須ではありません。
旧AADCサーバー(ステージングモード)を、最新のAzure AD Connectにアップグレードする
Azure AD Connectは現在も開発が進められており、数年前と比べるとかなりバージョンが上がっています。
そのため、これまでAzure AD Connectを更新していなかった、という場合には、まずは旧AADCサーバーにインストールされているAzure AD Connectを更新しておきましょう。
Azure AD Connectを最新バージョンに更新する方法はいくつかありますが、多くのケースではインプレースアップグレードで問題ないでしょう。
インプレースアップグレードの手順については、以下Microsoftさんの解説ページを参考になさってください。
Microsoft – Azure AD Connect:旧バージョンから最新バージョンにアップグレードする インプレース アップグレード
インプレースアップグレードについてMicrosoftさんは、サーバーが1台のときにおすすめと書いていますが、冗長構成の環境で実行しても問題ありません。
インプレース アップグレードは、Azure AD Sync または Azure AD Connect からの移動に使用できます。
中略
この方法は、サーバーが 1 台でオブジェクトが約 100,000 未満の場合にお勧めします
(Microsoft – Azure AD Connect:旧バージョンから最新バージョンにアップグレードする インプレース アップグレードより引用)
Azure AD Connectの更新が完了したら、Synchronization Service ManagerのOperationsで実行履歴を確認し、Import作業などが正常に完了しているかを確認してください。(アップグレードによる悪影響が出ていないかを確認する。)
旧AADCサーバー(アクティブモード)を、最新のAzure AD Connectにアップグレードする
旧AADCサーバー(ステージングモード)のAzure AD Connectの更新が完了したら、旧AADCサーバー(アクティブモード)のAzure AD Connectも更新を行います。
更新が完了したら、ステージングモードと同じようにSynchronization Service ManagerのOperationsで実行履歴を確認し、Import作業などが正常に完了しているかを確認してください。(アップグレードによる悪影響が出ていないかを確認する。)
またアクティブモードではExport作業も実行されるため、これも正常に完了しているかを確認しておきましょう!
尚、Azure AD Connectを更新した場合は、念のためOffice 365 ポータルでディレクトリ同期のクライアントバージョンを確認しておくと良いでしょう。
参考:Office 365 でディレクトリの同期状態を表示する
本エントリー執筆時点の最新のAzure AD Connectであるバージョン1.3.21.0では、以下のようにアップグレードが反映されない不具合があるようです。
Azure AD Connect の以前のバージョンから 1.3.21.0 へのアップグレードに関する既知の問題 (Azure AD Connect が正常にアップグレードされても O365 ポータルによって更新されたバージョンが反映されない) があります。
新AADCサーバーにAzure AD Connectをステージングモードでインストールする
旧AADCサーバー群のAzure AD Connectの更新が終わったら、新しいAADCサーバーとなるサーバー機に最新バージョンのAzure AD Connectをインストールします。
このときのポイントは、アクティブモードではなくステージングモードでインストールを行う点です。
ステージングモードでインストールを行う方法はとても簡単でして、Azure AD Connectの新規インストールの際、インストールウィザードの最後に『構成が完了したら、同期プロセスを開始する。』という設定項目の下に、『ステージングモードを有効にする』という設定があります。
これにチェックを入れ、ステージングモードを有効にする構成でインストールを行うだけでOKです。
新AADCサーバーで冗長構成(アクティブ/ステージング構成)とする場合には、すべてのサーバーにAzure AD Connectをステージングモードでインストールしてください。
そしてインストールの完了後、Synchronization Service ManagerのOperationsで実行履歴を確認。
各AADCサーバーで、Import作業などが正常に完了しているかを確認してください。
尚、新規AADCサーバーを用意する際は、ドメインコントローラーとの同居は避け、ドメインコントローラーとは異なるサーバーにAzure AD Connectをインストールすることを推奨します。
これは、MicrosoftさんがAzure AD Connectのインストールの前提条件で、”お勧めできません。”と明言しているからです。
Azure AD Connect をドメイン コントローラーにインストールすることはお勧めできません。
これは、セキュリティの慣例上の理由に加え、設定に通常よりも厳しい制限があるために、Azure AD Connect を正しくインストールできないためです。
旧AADCサーバー(アクティブモード)を、ステージングモードに変更する
新AADCサーバーにAzure AD Connectをステージングモードでインストールしたら、旧AADCサーバーのうちアクティブモードとなっているサーバーを、ステージングモードに変更します。
Azure AD Connectのモード(アクティブ/ステージング)変更は、Azure AD Connectの『追加のタスク』ウィザードを起動して行います。
『追加のタスク』ウィザードは、Azure AD Connectをインストールした際、デスクトップにできたショートカットを使う。
または『C:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe』を実行して起動します。
Azure AD Connectの『追加のタスク』ウィザードが起動したら、『ステージングモードの構成』を選択してから、『次へ』ボタンをクリックします。
アクティブモードのAzure AD Connectがインストールされている場合は、『ステージングモードの構成』画面中の『ステージングモードを有効にする』にチェックが入っていないはずです。
そこでこれにチェックを入れてください。
あとは表示される手順にしたがい『次へ』、『構成』、『終了』というようにボタンをクリックしていけば、アクティブモードからステージングモードに設定を変更できます。
新AADCサーバー(ステージングモード)のうちの1台を、アクティブモードに変更する
旧AADCサーバー(アクティブモード)を、ステージングモードに変更するの手順が完了したら、新AADCサーバー(ステージングモード)のうちの1台を、アクティブモードに変更します。
これは旧AADCサーバー(アクティブモード)を、ステージングモードに変更すると同様の手順でAzure AD Connectの『追加のタスク』ウィザードを起動。
そして『ステージングモードの構成』を選択し、『ステージングモードの構成』画面中の『ステージングモードを有効にする』のチェックを外し、ステージングモードからアクティブモードに設定を変更するだけでOK!
尚、アクティブモードのAADCサーバーが1台も存在しない状態では、オンプレADとAzure ADが同期されない状態となります。
そのため、旧AADCサーバー(アクティブモード)をステージングモードに変更したら、ただちに新AADCサーバー(ステージングモード)のうちの1台をアクティブモードに変更してください。
また、Azure AD Connectの機能の中で、シームレスSSOを利用している場合には、PowerShellスクリプトとタスクスケジューラーなどを使い、AZUREADSSOACCコンピューターアカウントのKerberos復号化キーを、定期的にロールオーバーしている環境もあるでしょう。
参考:AZUREADSSOACC コンピューター アカウントの Kerberos の復号化キーをロール オーバーするにはどうすればよいですか。
こういった環境では、そういった処理の移行も忘れずに行ってください。
旧AADCサーバーからAzure AD Connectをアンインストールする
新AADCサーバーに移行を終えたら、旧AADCサーバーにインストールされているAzure AD Connectは不要となりますので、アンインストールしていただいて大丈夫です。
ただし、これまでアクティブモードのAADCサーバー1台のみの非冗長構成であった場合には、引き続き旧AADCサーバーをステージングモードで稼働させ、冗長構成としても良いでしょう。
※アンインストールしなければ、ステージングモードのAADCサーバーとして動作し続け、デメリットはないため、アンインストールは必須ではありません。
以上、参考になさってくださーい!