Active Directory on AWSのドメインにWeb Roleを参加させてみよう
クリスマス目前! ということで、そろそろWindows Azure Advent Calendar jp: 2011にJoinさせてもらいます! 今回のテーマは、タイトルにもあるように、AWS(Amazon Web Service)上に立てた Active DirectoryにWeb Roleを参加させてみようと思います。
思い起こせばこのネタ、Developers Summit 2011にて、 ConnectのLive Demoで魔物に取りつかれておもっきり失敗し、 その後どこでもお話する場がなかったので、約1年越しでようやくお披露目することが出来ました。 # その節は、ご迷惑をおかけしました! > 関係者各位 …とまぁ、前振りが長すぎてもなので、早速本題行ってみましょう!
1. AD用のインスタンスをAWS上で立ち上げる AWS Management Console(Azure Portalと同じかんじ)から、AMIを選択し、EC2インスタンスを立ち上げます。 今回の検証に利用したAMIとセキュリティグループは下記の通りです。 AMI:Microsoft Windows Server 2008 R2 Base (AMI Id: ami-78e65179) セキュリティグループ: Inbound 3389(RDP)のみ許可 Windows Azure Connectは、Outbound 443さえ許可されていれば、 通信可能なので、Inboundは適宜必要なものだけ開放してください。
2. Active Directoryをインストール インスタンスが起動出来たら、RDPでログインし、 役割の追加から「Active Directoryドメインサービス」をインストールします。 今回は簡易検証なので、ローカルストレージにインストールしましたが、 永続化が必要な場合には、Amazonさんが出しているこのあたりの資料を読んで頂いて、 EBS(Azure Driveに似た機能)で永続化を図ってください。 ちなみにIPアドレスがDHCPによって割り振られているので、下記の警告が出ますが、「はい」を選択 してください。
3. Windows Azure Connect ローカルエンドポイントをインストール Active Directoryのインストール→再起動が終わったら、 Azure Portalにアクセスし、Connectのローカルエンドポイントをインストールしましょう! 正しくインストールできた場合には、下図のIPアドレス欄に「2a01:」で始まるIPv6アドレスが追加されているはずです。 このIPv6アドレスを使ってConnectが通信を行います。
4. Webロールをデプロイ! デプロイ前にロールの設定から下記の項目を設定しておきましょう。 パスワードはリモートデスクトップのパスワードと同様に暗号化する必要があります。 CSEncryptコマンドでパスワードを暗号化するか、リモートデスクトップのパスワード暗号化を使って、 暗号化された文字列をゲットしてください。また、任意となっている項目は必要に応じて適宜設定してください。 設定が完了したら、みんな大好き「デプローイ!」をAzureに対してしてください。
Microsoft.WindowsAzure.Plugins.Connect.ActivationToken | Connectのライセンス認証トークン 例:12345678-9abc-def1-abcd-123456789abc |
Microsoft.WindowsAzure.Plugins.Connect.Refresh | 設定不可 |
Microsoft.WindowsAzure.Plugins.Connect.WaitForConnectivity | 任意 |
Microsoft.WindowsAzure.Plugins.Connect.Upgrade | 設定不可 |
Microsoft.WindowsAzure.Plugins.Connect.EnableDomainJoin | true |
Microsoft.WindowsAzure.Plugins.Connect.DomainFQDN | ドメインのFQDN 例: jazgirls.local |
Microsoft.WindowsAzure.Plugins.Connect.DomainControllerFQDN | ドメインコントローラのFQDN 例:ip-0A96B178.jazgirls.local |
Microsoft.WindowsAzure.Plugins.Connect.DomainAccountName | ドメインユーザ 例:jazgirls\Administrator |
Microsoft.WindowsAzure.Plugins.Connect.DomainPassword | 暗号化されたパスワード |
Microsoft.WindowsAzure.Plugins.Connect.DomainOU | 任意 |
Microsoft.WindowsAzure.Plugins.Connect.Administrators | 任意 |
Microsoft.WindowsAzure.Plugins.Connect.DomainSiteName | 任意 |
5. ドメイン参加完了! デプロイが完了し、Roleがドメイン参加出来ているかを確認しましょう。 AWS上のADから確認するには、下図のように「Active Directoryユーザーとコンピューター」から、 「Computers」を選択し、Webロール(RDではじまるコンピュータ名)が追加されていれば成功です。 Webロール側から確認するには、「システムのプロパティ」から簡単に確認できます。 ドメインにうまく参加出来ていない場合には、 %PROGRAMFILES%\Windows Azure Connect\Endpoint\Logs\Integrator.Logを確認してください。 ドメイン参加が成功していれば下記のようなログがあるはずです。 12/18/2011 1:25:57 AM : NetJoinDomain succeeded. Target domain: jazgirls.local\ip-0A96B178.jazgirls.local 12/18/2011 1:25:57 AM : Domain join completed successfully
ということで以上、Windows Azure Advent Calendar 23日目、AWS上のADにWebロールを参加させてみよう♪でした。 今年もあと僅かですが、体調には気を付けてみなさまナイスデプロイを!