Azure AD Connect Healthとは、オンプレのID基盤を監視するための機能です。
対象のサーバーにエージェントをインストールすることで、ドメイン情報の取得、アラート検知、使用状況の取得など、信頼性を維持するために必要な情報をAzure AD上で確認することが出来ます。
Azure AD Connect Health のエージェントには下記の3種類あります。
- Azure AD Connect Health for sync
- Azure AD Connect Health for AD DS
- Azure AD Connect Health for AD FS
今回は、オンプレADのドメインコントローラー用である「Azure AD Connect Health for AD DS」をインストールします。
ちなみに「Azure AD Connect Health for sync」はAzure AD Connectをインストールした時に自動的にインストールされるものです。
1.前提条件
Azure AD Connect Healthを利用するにはいくつかの条件があります。
今回は意識しないと漏れそうな条件をピックアップして紹介します。
通信要件など、詳細条件はMicrosoftの公開情報をご確認ください。
Azure AD Connect Health エージェントのインストール
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-health-agent-install
1.1.Azure ADライセンス
Azure AD Connectは無償で利用出来ますが、Azure AD Connect HealthはAzure AD Premium P1もしくはP2のライセンスが必要です。
また、監視対象のサーバー数によって必要なライセンス数が異なりますので注意してください。
1台目は1ライセンス必要ですが、2台目以降は25ライセンスずつ増えていきます。
| エージェント数 | 必要ライセンス数 | 構成例 |
|---|---|---|
| 1 | 1 | Azure AD Connect × 1 |
| 2 | 26 | Azure AD Connect × 1 ドメインコントローラー × 1 |
| 3 | 51 | Azure AD Connect × 1 ドメインコントローラー × 2 |
| 4 | 76 | ドメインコントローラー × 2 AD FSサーバー × 1 AD FSプロキシ × 1 |
1.2.インストールアカウント
エージェントをインストールする際にAzure ADの認証を求められますが、グローバル管理者でのサインインが必要です。
なお、Azure AD上のAzure AD Connect Health画面へのアクセスもグローバル管理者が必要です。
1.3.Windows Serverのインストールオプション
Azure AD Connect Healthは、Server CoreのOSではサポートされていないため、GUIオプションを利用する必要があります。
2.エージェントのインストール
それでは実際に「Azure AD Connect Health for AD DS」をインストールします。
1.Azure Active Directory管理センターを開きます。
2.「Azure AD Connect」-「Azure AD Connect Health」をクリックします。
3.「AD DS用Azure AD Connect Healthエージェントをダウンロードする」をクリックし、ダウンロードした「AdHealthAdddsAgentSetup.exe」を管理者として実行します。
4.インストールウィザードが表示されたら「インストール」をクリックします。
5.「セットアップに成功しました」と表示されたら、「今すぐ構成する」をクリックします。
6.PowerShellで「エージェントの登録が正常に完了しました。」と表示されることを確認します。
7.下記のサービスが追加され、実行中になっていることを確認します。
- Azure AD Connect Health AD DS Insights Service
- Azure AD Connect Health AD DS Monitoring Service
3.正常性データの確認
エージェントが無事インストールされたら、Azure AD上で取得された情報を見てみましょう。
1.Azure Active Directory管理センターの「Azure AD Connect」-「Azure AD Connect Health」をクリックします。
2.「AD DSサービス」をクリックし、AD DSのドメイン名が表示されることを確認します。ドメイン名をクリックします。
3.ドメイン情報やアラート、監視情報などが表示されます。
次の手順から赤枠で囲んだ部分について詳細を見てみます。
4.手順3の「設定」をクリックし、フォレストの情報を確認します。
基本的にはフォレスト情報なので、ドメイン機能レベルやドメインごとのFSMOは表示されません。
- Property:フォレスト名、フォレスト機能レベル
- FSMO Roles:ドメイン名前付けマスター、スキーママスター
5.手順3の「ドメインコントローラー、ドメイン、サイト」の「ドメイン名」をクリックし、ドメインの情報を確認します。
ここではドメインコントローラー、FSMO、サイト、グローバルカタログなどの情報が見れます。
6.手順3の「ドメインコントローラー、ドメイン、サイト」の「Replication Status」をクリックし、レプリケーション状態を確認します。
7.手順3の「操作」の「アラート」をクリックし、アラート情報を確認します。
「通知設定」から通知のオンオフ、通知先を設定出来ます。
8.手順3の「監視」の「LDAP」、「Kerberos」、「NTLM」をクリックし、それぞれの認証状況を確認します。
4.Azure AD Connect Health 設定
最後にAzure AD Connect Health 全体の設定について紹介です。
「構成」の「設定」をクリックします。
- 自動更新:基本的にはオンにしておくことをお勧めします。
- Microsoftが正常性データへアクセスする:サポートを受ける際など、必要に応じて有効化すれば、平常時はオフで問題無いと思います。
「データ収集の停止」については別の機会に書きたいと思います。
これでオンプレADの監視をすることが出来ました。
コメント