Azure AD Domain Services のネットワークに関する考慮事項Networking considerations for Azure AD Domain Services

Azure 仮想ネットワークを選択する方法How to select an Azure virtual network

次のガイドラインは、Azure AD Domain Services で使用する仮想ネットワークを選択する際に役立ちます。The following guidelines help you select a virtual network to use with Azure AD Domain Services.

Azure 仮想ネットワークの種類Type of Azure virtual network

  • Resource Manager の仮想ネットワーク: Azure AD Domain Services は、Azure Resource Manager を使って作成された仮想ネットワーク上で有効にできます。Resource Manager virtual networks: Azure AD Domain Services can be enabled in virtual networks created using Azure Resource Manager.
  • 従来の Azure 仮想ネットワークで Azure AD Domain Services を有効にすることはできません。You cannot enable Azure AD Domain Services in a classic Azure virtual network.
  • Azure AD Domain Services が有効になっている仮想ネットワークに他の仮想ネットワークを接続することはできません。You can connect other virtual networks to the virtual network in which Azure AD Domain Services is enabled. 詳細については、「ネットワーク接続」を参照してください。For more information, see the Network connectivity section.
  • リージョン仮想ネットワーク: 既存の仮想ネットワークを使用する予定がある場合は、リージョン仮想ネットワークであることを確認してください。Regional Virtual Networks: If you plan to use an existing virtual network, ensure that it is a regional virtual network.

仮想ネットワークの Azure リージョンAzure region for the virtual network

  • Azure AD Domain Services の管理対象ドメインは、サービスを有効にすることを選択した仮想ネットワークと同じ Azure リージョンにデプロイされます。Your Azure AD Domain Services managed domain is deployed in the same Azure region as the virtual network you choose to enable the service in.
  • Azure AD Domain Services でサポートされている Azure リージョンの仮想ネットワークを選択します。Select a virtual network in an Azure region supported by Azure AD Domain Services.
  • Azure AD Domain Services を使用できる Azure リージョンを確認するには、 リージョン別の Azure サービス に関するページを参照してください。See the Azure services by region page to know the Azure regions in which Azure AD Domain Services is available.

仮想ネットワークの要件Requirements for the virtual network

  • Azure ワークロードへの近さ: Azure AD Domain Services にアクセスする必要のある仮想マシンを現在ホストしている (または今後ホストする予定の) 仮想ネットワークを選択します。Proximity to your Azure workloads: Select the virtual network that currently hosts/will host virtual machines that need access to Azure AD Domain Services. 管理対象ドメインとは異なる仮想ネットワークにワークロードがデプロイされている場合は、仮想ネットワークを接続することも選択できます。You may also choose to connect virtual networks if your workloads are deployed in a different virtual network than the managed domain.
  • カスタムまたは持ち込みの DNS サーバー: 仮想ネットワーク用にカスタムの DNS サーバーが構成されていないことを確認します。Custom/bring-your-own DNS servers: Ensure that there are no custom DNS servers configured for the virtual network. カスタム DNS サーバーの例は、仮想ネットワークにデプロイした Windows Server VM で実行されている Windows Server DNS のインスタンスです。An example of a custom DNS server is an instance of Windows Server DNS running on a Windows Server VM that you have deployed in the virtual network. Azure AD Domain Services は、仮想ネットワーク内にデプロイされているカスタム DNS サーバーと統合されません。Azure AD Domain Services does not integrate with any custom DNS servers deployed within the virtual network.
  • 同じドメイン名を持つ既存のドメイン: 仮想ネットワークで使用できるドメインと同じ名前の既存のドメインがないことを確認します。Existing domains with the same domain name: Ensure that you do not have an existing domain with the same domain name available on that virtual network. たとえば、選択した仮想ネットワークで既に利用可能な "contoso.com" という名前のドメインがあると仮定します。For instance, assume you have a domain called 'contoso.com' already available on the selected virtual network. その後、その仮想ネットワークでこれと同じドメイン名 (つまり "contoso.com") で、Azure AD Domain Services の管理対象ドメインを有効にしようとします。Later, you try to enable an Azure AD Domain Services managed domain with the same domain name (that is 'contoso.com') on that virtual network. Azure AD Domain Services を有効にしようとすると、エラーが発生します。You encounter a failure when trying to enable Azure AD Domain Services. このエラーの原因は、仮想ネットワークのドメイン名で名前が競合していることにあります。This failure is due to name conflicts for the domain name on that virtual network. この場合、Azure AD ドメイン サービスの管理対象ドメインを設定するには、別の名前を使用する必要があります。In this situation, you must use a different name to set up your Azure AD Domain Services managed domain. または、既存のドメインのプロビジョニングを解除してから、Azure AD ドメイン サービスの有効化に進みます。Alternately, you can de-provision the existing domain and then proceed to enable Azure AD Domain Services.

警告

Domain Services は、有効にした後、別の仮想ネットワークに移動できません。You cannot move Domain Services to a different virtual network after you have enabled the service.

ネットワーク セキュリティ グループとサブネットの設計Network Security Groups and subnet design

ネットワーク セキュリティ グループ (NSG) には、仮想ネットワークの VM インスタンスに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) 規則が含まれています。A Network Security Group (NSG) contains a list of Access Control List (ACL) rules that allow or deny network traffic to your VM instances in a Virtual Network. NSG は、サブネットまたはそのサブネット内の個々の VM インスタンスと関連付けることができます。NSGs can be associated with either subnets or individual VM instances within that subnet. NSG がサブネットに関連付けられている場合、ACL 規則はそのサブネット内のすべての VM インスタンスに適用されます。When an NSG is associated with a subnet, the ACL rules apply to all the VM instances in that subnet. また、NSG を直接 VM に関連付けることにより、その個々の VM に対するトラフィックをさらに制限できます。In addition, traffic to an individual VM can be restricted further by associating an NSG directly to that VM.

Recommended subnet design

サブネットの選択に関するガイドラインGuidelines for choosing a subnet

  • Azure AD Domain Services は、Azure 仮想ネットワーク内の別の専用サブネットにデプロイします。Deploy Azure AD Domain Services to a separate dedicated subnet within your Azure virtual network.
  • 管理対象ドメインの専用サブネットに NSG を適用しないでください。Do not apply NSGs to the dedicated subnet for your managed domain. この専用サブネットに NSG を適用する必要がある場合は、ドメインのサービス提供および管理に必要なポートがブロックされていないことを確認してください。If you must apply NSGs to the dedicated subnet, ensure you do not block the ports required to service and manage your domain.
  • 管理対象ドメインの専用サブネット内で使用できる IP アドレスの数を過度に制限しないでください。Do not overly restrict the number of IP addresses available within the dedicated subnet for your managed domain. このような制限により、サービスが管理対象ドメインに対して 2 つのドメイン コントローラーを利用できなくなります。This restriction prevents the service from making two domain controllers available for your managed domain.
  • 仮想ネットワークのゲートウェイ サブネットでは Azure AD Domain Services を有効にしないでくださいDo not enable Azure AD Domain Services in the gateway subnet of your virtual network.

警告

Azure AD Domain Services が有効になっているサブネットに NSG を関連付けると、Microsoft によるドメインのサービス提供および管理機能が中断される可能性があります。When you associate an NSG with a subnet in which Azure AD Domain Services is enabled, you may disrupt Microsoft's ability to service and manage the domain. さらに、Azure AD テナントと管理対象ドメインの間の同期が中断されます。Additionally, synchronization between your Azure AD tenant and your managed domain is disrupted. SLA は、Azure AD Domain Services によるドメインの更新と管理をブロックする NSG が適用されているデプロイには適用されません。The SLA does not apply to deployments where an NSG has been applied that blocks Azure AD Domain Services from updating and managing your domain.

Azure AD Domain Services に必要なポートPorts required for Azure AD Domain Services

Azure AD Domain Services による管理対象ドメインのサービス提供および管理には、次のポートが必要です。The following ports are required for Azure AD Domain Services to service and maintain your managed domain. 管理対象ドメインを有効にしたサブネットに対してこれらのポートがブロックされていないことを確認してください。Ensure that these ports are not blocked for the subnet in which you have enabled your managed domain.

ポート番号Port number 目的Purpose
443443 Azure AD テナントとの同期Synchronization with your Azure AD tenant
33893389 ドメインの管理Management of your domain
59865986 ドメインの管理Management of your domain
636636 管理対象ドメインへのセキュリティで保護された LDAP (LDAPS) アクセスSecure LDAP (LDAPS) access to your managed domain

ポート 5986 は、PowerShell のリモート処理を使用して管理対象ドメインの管理タスクを実行するために使用されます。Port 5986 is used to perform management tasks using PowerShell remoting on your managed domain. 管理対象ドメインのドメイン コントローラーは、通常はこのポートをリッスンしません。The domain controllers for your managed domain do not usually listen on this port. サービスは、管理操作またはメンテナンス操作を管理対象ドメインに対して実行する必要がある場合にのみ、管理されたドメイン コントローラー上のこのポートを開きます。The service opens this port on managed domain controllers only when a management or maintenance operation needs to be performed for the managed domain. 操作が完了すると、サービスはすぐに管理対象ドメイン コントローラー上のこのポートを停止します。As soon as the operation completes, the service shuts down this port on the managed domain controllers.

ポート 3389 は、管理対象ドメインへのリモート デスクトップ接続に使用されます。Port 3389 is used for remote desktop connections to your managed domain. このポートも、管理対象ドメイン上でほとんど無効な状態を保持します。This port also remains largely turned off on your managed domain. サービスはトラブルシューティングの目的で管理対象ドメインに接続する必要がある場合にのみ、このポートを有効にします。このポートは、通常サービスの開始要求に応答して開始されます。The service enables this port only if we need to connect to your managed domain for troubleshooting purposes, initiated in response to a service request you initiate. 管理タスクと監視タスクは PowerShell のリモート処理を使用して実行されるため、この仕組みは継続的には使用されません。This mechanism is not used on an ongoing basis since management and monitoring tasks are performed using PowerShell remoting. このポートは、高度なトラブルシューティングのために管理対象ドメインへのリモート接続が必要になるような頻度の低いイベントでのみ使用されます。This port is used only in the rare event that we need to connect remotely to your managed domain for advanced troubleshooting. トラブルシューティングの操作が完了すると、ポートはただちに閉じられます。The port is closed as soon as the troubleshooting operation is complete.

Azure AD Domain Services を使用する仮想ネットワークのサンプル NSGSample NSG for virtual networks with Azure AD Domain Services

次の表は、Azure AD Domain Services の管理対象ドメインを使用して仮想ネットワークを構成できるサンプル NSG を示しています。The following table illustrates a sample NSG you can configure for a virtual network with an Azure AD Domain Services managed domain. この規則によって、必須ポートからの受信トラフィックで管理対象ドメインへの修正プログラムや更新プログラムを適用し、Microsoft による監視を可能にしています。This rule allows inbound traffic over the required ports to ensure your managed domain stays patched, updated and can be monitored by Microsoft. 既定の 'DenyAll' ルールは、インターネットから入ってくるその他すべてのトラフィックに適用されます。The default 'DenyAll' rule applies to all other inbound traffic from the internet.

また、この NSG では、インターネット経由での、セキュリティで保護された LDAP アクセスをロック ダウンする方法も示しています。Additionally, the NSG also illustrates how to lock down secure LDAP access over the internet. インターネット経由での管理対象ドメインへのセキュリティで保護された LDAP アクセスを行えないようにしている場合は、この規則についてはスキップしてください。Skip this rule if you have not enabled secure LDAP access to your managed domain over the internet. この NSG には、指定した IP アドレスから TCP ポート 636 経由で入ってくる LDAPS アクセスのみを許可するルール セットが含まれています。The NSG contains a set of rules that allow inbound LDAPS access over TCP port 636 only from a specified set of IP addresses. 指定した IP アドレスからインターネット経由で入ってくる LDAPS アクセスを許可する NSG ルールには、DenyAll NSG ルールより高い優先度が設定されています。The NSG rule to allow LDAPS access over the internet from specified IP addresses has a higher priority than the DenyAll NSG rule.

サンプル NSG。セキュリティで保護された LDAPS を利用し、インターネット経由でアクセスします。

詳細 - ネットワーク セキュリティ グループの作成More information - Create a Network Security Group.

ネットワーク接続Network connectivity

Azure AD Domain Services の管理対象ドメインは、Azure の 1 つの仮想ネットワーク内のみで有効にすることができます。An Azure AD Domain Services managed domain can be enabled only within a single virtual network in Azure.

Azure ネットワークを接続するためのシナリオScenarios for connecting Azure networks

次のいずれかのデプロイ シナリオで Azure 仮想ネットワークを接続して管理対象ドメインを使用します。Connect Azure virtual networks to use the managed domain in any of the following deployment scenarios:

複数の Azure 仮想ネットワークで管理対象ドメインを使うUse the managed domain in more than one Azure virtual network

Azure AD Domain Services を有効にした Azure 仮想ネットワークには他の Azure 仮想ネットワークを接続できます。You can connect other Azure virtual networks to the Azure virtual network in which you have enabled Azure AD Domain Services. この VPN/VNet ピアリング接続により、ワークロードが他の仮想ネットワークにデプロイされている管理対象ドメインを使用できます。This VPN/VNet peering connection enables you to use the managed domain with your workloads deployed in other virtual networks.

Classic virtual network connectivity

Resource Manager ベースの仮想ネットワークで管理対象ドメインを使用するUse the managed domain in a Resource Manager-based virtual network

Resource Manager ベースの仮想ネットワークを、Azure AD Domain Services を有効にした Azure クラシック仮想ネットワークに接続できます。You can connect a Resource Manager-based virtual network to the Azure classic virtual network in which you have enabled Azure AD Domain Services. この接続により、ワークロードが Resource Manager ベースの仮想ネットワークにデプロイされている管理対象ドメインを使用できます。This connection enables you to use the managed domain with your workloads deployed in the Resource Manager-based virtual network.

Resource Manager to classic virtual network connectivity

ネットワーク接続オプションNetwork connection options

  • 仮想ネットワーク ピアリングを使用した VNet 間接続: 仮想ネットワーク ピアリングとは、同じリージョンに存在する 2 つの仮想ネットワークを Azure のバックボーン ネットワークを介して接続する機構です。VNet-to-VNet connections using virtual network peering: Virtual network peering is a mechanism that connects two virtual networks in the same region through the Azure backbone network. ピアリングされた 2 つの仮想ネットワークは、あらゆる接続において、見かけ上 1 つのネットワークとして機能します。Once peered, the two virtual networks appear as one for all connectivity purposes. これらの仮想ネットワークはあくまで個別のリソースとして管理されますが、そこに存在する仮想マシンは互いに、プライベート IP アドレスを使用して直接通信を行うことができます。They are still managed as separate resources, but virtual machines in these virtual networks can communicate with each other directly by using private IP addresses.

    Virtual network connectivity using peering

    関連情報 - 仮想ネットワーク ピアリングMore information - virtual network peering

  • サイト間 VPN 接続を使用した VNet 間接続: 仮想ネットワーク間 (VNet 間) の接続は、仮想ネットワークをオンプレミスのサイトの場所に接続することと似ています。VNet-to-VNet connections using site-to-site VPN connections: Connecting a virtual network to another virtual network (VNet-to-VNet) is similar to connecting a virtual network to an on-premises site location. どちらの接続タイプでも、VPN ゲートウェイを使用して、IPsec/IKE を使った安全なトンネルが確保されます。Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE.

    Virtual network connectivity using VPN Gateway

    関連情報 - VPN ゲートウェイを使用した仮想ネットワークの接続More information - connect virtual networks using VPN gateway