1. ハイブリッド・クラウドでのActive Directory統合の拡張
  2. ハイブリッド・クラウドでのActive Directory統合の拡張

ハイブリッド・クラウドでのActive Directory統合の拡張

Microsoft Windows指向のハイブリッド・クラウドおよびマルチクラウド環境では、一部のアプリケーションがディレクトリ・サービスに依存し、Microsoft Active Directory (AD)をOracle Cloud Infrastructure (OCI)に拡張および統合することは、パフォーマンスとセキュリティにとって重要です。

ADは、多くの場合、IT環境のフレームワークとして実装されるMicrosoftサービスです。ADは、ネットワーク上のオブジェクトに関する情報を格納し、管理者やユーザーがこの情報を簡単に検索して使用できるようにします(アカウント、権限、セキュリティ・ポリシー、DNSなど)。ADは、ディレクトリ情報の論理的な階層構造の基礎として構造化データ・ストアを使用します。

ノート:

このリファレンス・アーキテクチャは、ADの知識に基づいて構築されています。ADが組織で使用されている場合は、OCIでの適切な実装についてシステム管理者に連絡してください。

アーキテクチャ

このリファレンス・アーキテクチャでは、ハイブリッド・クラウド環境でオンプレミスADとOCIの統合を拡張する方法について説明します。

OCIとADの統合- DNS

ADは、DNS機能を使用してドメイン内のサービスを提供します。DNS統合は、OCIでのAD環境の拡張において重要な部分です。新しいクラウド・ベースのサーバーおよびサービスが特定のAD機能を確実に活用するには、まずドメインによって管理されているDNSレコードを解決でき、場合によってはドメイン結合でも解決できる必要があります。

  • DNS転送: クライアントが接続した初期サーバーによって処理されるのではなく、問合せのDNSドメイン名に従って解決するために、特定のDNS問合せのセットを指定されたサーバーに転送するプロセス。

    このプロセスにより、ネットワークのパフォーマンスと回復性が向上します。これにより、ローカルDNSサーバーのゾーンに含まれていないネームスペースまたはリソース・レコードをリモートDNSサーバーに渡して解決することで、ネットワーク内部と外部の両方の名前問合せを解決できます。

    DNSサーバーがフォワーダを使用するように構成されている場合、ローカルのプライマリ・ゾーン、セカンダリ・ゾーンまたはキャッシュを使用して名前問合せを解決できない場合、リクエストは指定されたフォワーダに転送されます。

  • OCI DNS - VCN Resolver: インスタンスを使用して、同じVCN内の他のインスタンスのDNSホスト名(割当て可能)を解決できます。
  • OCI DNS - エンドポイント: エンドポイントは、DNS問合せを転送またはリスニング(受信)するためにVCNリゾルバに割り当てられるIPです。転送エンドポイントでは、AD DNSによって解決される関連問合せを転送するルールを作成できますが、リスナーは、AD DNSから転送されるOCI関連問合せを受け入れて解決します。

    サブドメインやSRVフォルダ(_msdscなど)を含め、すべてのADドメインに対して転送ルールを作成することをお薦めします。

  • Active Directory - DNS条件付き転送: AD DNSサーバー内に含まれる一連のDNS転送ルール。OCI統合の場合、FastConnect/VPNを介したプライベート名解決のために、すべてのOCIベース・ドメイン(VCN DNS名など)に対して転送ルールを作成することをお薦めします。

次の図は、このリファレンス・アーキテクチャを示しています。


integration- oci- msft- ad_dns_base.pngの説明が続きます
図Integrate- oci- msft- ad_dns_base.pngの説明

Integr- oci- msft- ad_dns_base- oracle.zip

OCIとADの統合- ドメイン拡張

ADは、サイト・トポロジを使用してリソースをロケーションにグループ化します。ディレクトリ・サービス・サイト・トポロジは、クライアント問合せおよびADレプリケーション・トラフィックを効率的にルーティングするのに役立つ物理ネットワークの論理表現です。ADドメイン・サービスのサイト・トポロジの設計には、ドメイン・コントローラの配置の計画と、効率的な問合せルーティングおよびトラフィック・レプリケーションを確保するためのサイト、サブネット、サイト・リンクおよびサイト・リンク・ブリッジの設計が含まれます。

サイト・トポロジは、ネットワークのパフォーマンスと、ユーザーがネットワーク・リソースにアクセスする機能に大きく影響します。ADサービスを利用するアプリケーションおよびユーザーは、ドメイン・コントローラにアクセスする必要があります。一貫性のあるサービスを確保するために、ほとんどの組織は、指定された場所に表されるすべてのリージョナルドメインにリージョナルドメインコントローラを配置します。

パフォーマンスと信頼性を最大限に高めるために、サブスクライブされたリージョンの関連サイト表現、デプロイされたVCNのサブネット表現、およびOCIベースのドメイン・コントローラの実装を作成することで、ADを拡張してOCIの場所を含めることをお薦めします。

  • ドメイン・コントローラ: Microsoft ADサービスの中心です。ドメイン・リソースへのネットワーク・アクセスを許可する責任を負います。ユーザーを認証し、ユーザー・アカウントおよびホスト情報を格納し、ドメインに対してポリシーを適用します。ドメイン・コントローラは書込み可能または読取り専用(RODC)にできますが、デプロイメントごとに少なくとも1つの書込み可能ドメイン・コントローラが必要です。
  • サイト: 信頼性が高く高速なネットワーク接続を持つ1つ以上のTCP/IPサブネットを表す ADオブジェクト。サイト情報により、管理者はADアクセスおよびレプリケーションを構成して、物理ネットワークの使用を最適化できます。サイト・オブジェクトは一連のサブネットに関連付けられ、フォレスト内の各ドメイン・コントローラはIPアドレスに従ってADサイトに関連付けられます。サイトは複数のドメインのドメインコントローラをホストでき、ドメインは複数のサイトで表現できます。
  • サイト・リンク: Knowledge Consistency Checker(KCC)がADレプリケーションの接続を確立するために使用する論理パスを表すADオブジェクト。サイト・リンク・オブジェクトは、指定されたサイト間トランスポートを介して均一なコストで通信できるサイトのセットを表します。
  • ADサブネット: IPアドレスのセットが割り当てられるTCP/IPネットワークのセグメントの論理表現。サブネットは、ネットワーク上の物理的な近接性を識別する方法でコンピュータをグループ化します。ADのサブネット・オブジェクトは、コンピュータをサイトにマップするために使用されるネットワーク・アドレスを識別します。
  • スキーマ: ディレクトリに含まれるオブジェクトと属性のクラス、これらのオブジェクトのインスタンスの制約と制限、およびそれらの名前の形式を定義する一連のルール。
  • グローバル・カタログ: ディレクトリ内のすべてのオブジェクトに関する情報が含まれます。これにより、ディレクトリ内のどのドメインにデータが実際に含まれているかに関係なく、ユーザーと管理者はディレクトリ情報を検索できます。

次の図は、このリファレンス・アーキテクチャを示しています。


integration- oci- msft- ad- arch.pngの説明が続きます
図integrate- oci- msft- ad- arch.pngの説明

integration- oci- msft- ad- arch- oracle.zip

このアーキテクチャには、次のコンポーネントがあります。

  • リージョン

    Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含むローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、巨大な距離は(複数の国または大陸にわたって)分離できます。

  • 仮想クラウド・ネットワーク(VCN)およびサブネット

    VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、VCNを使用してネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる重複しない複数のCIDRブロックを含めることができます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCNの他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。パブリックまたはプライベートにできます。

  • 動的ルーティング・ゲートウェイ(DRG)

    DRGは、同じリージョン内のVCNとリージョン外のネットワーク(別のOracle Cloud Infrastructureリージョン内のVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダ内のネットワークなど)の間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。

  • FastConnect

    Oracle Cloud Infrastructure FastConnectは、データ・センターとOracle Cloud Infrastructureの間の専用プライベート接続を簡単に作成する方法を提供します。FastConnectは、インターネットベースの接続と比較すると、より高い帯域幅のオプションと、より信頼性の高いネットワーキング体験を提供します。

  • サイト間VPN

    サイト間VPNは、オンプレミス・ネットワークとOracle Cloud InfrastructureのVCN間にIPSec VPN接続を提供します。IPSecプロトコル・スイートでは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号化します。

  • ルート表

    仮想ルート表には、サブネットからVCN外の宛先(通常はゲートウェイを介)にトラフィックをルーティングするルールが含まれます。

  • セキュリティ・リスト

    サブネットごとに、サブネットの内外で許可される必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。

推奨事項

開始点として次の推奨事項を使用します。お客様の要件は、ここで説明するアーキテクチャとは異なる場合があります。
  • ドメイン・コントローラ

    高可用性のために2つ以上のドメイン・コントローラをデプロイすることを検討してください。複数のドメイン・コントローラをデプロイする場合は、別々の可用性ドメインへのデプロイメントを検討します。

  • サイト

    複数のドメイン・コントローラが複数の可用性ドメインにデプロイされている場合、内部のOCIレプリケーションおよび可用性の優先サイト・リンクを構成しながら、各可用性ドメインを独自のADサイトとして処理できます。

  • DNS

    OCIに1つ以上のドメイン・コントローラをデプロイしたら、DNS転送ルールを編集してローカルOCIドメイン・コントローラに対して解決することをお薦めします。

注意事項

このリファレンス・アーキテクチャを実装する場合は、次のオプションを検討してください。

  • DNS

    サブドメインやSRVフォルダ(_msdscなど)を含め、すべてのADドメインを転送する必要があります。場合によっては、さらにカスタム・ドメインが存在することがあります(たとえば、内部ドメインがパブリック・ドメインと衝突する場合)。すべてのルールのリストをエクスポートし、OCI上のルールとAD DNSへのリダイレクトを照合することをお薦めします。

    ルーティングとDNS転送はVCN全体であり、ドメイン結合に依存しません。

詳細の参照

次の追加リソースを確認します。

謝辞

  • Author: Maor Bracha
  • Contributors: Wei Han, Ejaz Akram