office365との同期サーバリプレイス方法(オンプレサーバ)

office365

office365を利用する企業では、既存のオンプレADと同期をとってユーザー情報の反映などをしている企業も少なくないのではないでしょうか?

オンプレなのでどうしてもリプレイスの時期が必ず来ます。

今回は、オンプレADを運用しながら「office365」を利用している環境で必須となる「同期サーバ」のリプレイス方法についてシェアして行きたいと思います。

今回の環境

  • オンプレAD
  • office365との同期サーバ(オンプレ)
  • office365とサブスクリプション契約をしています
  • ユーザー情報は「オンプレAD」の情報を利用している
  • リプレイス前は、パスワード同期がオフなので後からオンにします。

リプレイスの流れ

  1. 旧同期サーバの設定をステージングモード:有効(降格)
  2. 新同期サーバへAADCインストール
  3. インストール後、構成同期のチェックを外してインストール
  4. 新同期サーバにて同期開始:パスワード同期にチェックを入れる
  5. 新同期サーバにて同期化:パスワード同期の構成をチェックして同期を実行します
  6. office365にて動作確認:30分単位
  7. 旧同期サーバの削除(アンインストール)

注意書き

ステージングモードは、同期のバトンを握っているサーバの事をさしています。ステージングモードを有効にすると「降格」に切り替わり「office365」との同期をオフにすることを意味します。

同期サーバの用途は、同期のみです。オンプレADの役割をしていません。

AADCとは「Azure AD connect」のことで同期サーバにインストールするソフトウェアのことです。最新バージョンのダウンロードはこちらから

これをインストールすると、「Microsoft Azure Active Directory 」がインストールされて各種同期サーバの設定が可能になります。その中にステージングモードというタスクが存在します。

1.旧同期サーバの設定をステージングモード:有効(降格)

「Microsoft Azure Active Directory 」を起動します。office365への認証が求められます。管理者権限を持ったユーザーでログインしてください。

左ペインより、「タスク」→「ステージングモード構成」を選択

「ステージングモードを有効にする」にチェックを入れます。

これで同期サーバの降格が実行されます。

「office365」の認証画面が表示されますので、管理者権限を持ったユーザーでサイインしてください。

2.新同期サーバへAADCインストール

先程のURLより最新の「AADC(Azure AD connect)」をインストールします

「カスタム」を選択してインストールを進めます。これは、パスワード同期がオフになった状態になります。

インストール完了画面で即時同期を実行するかも止められますが、ここではチェックを外してインストールを完了します。

4.新同期サーバにて同期開始:パスワード同期にチェックを入れる

新同期サーバにインストールされた「Microsoft Azure Active Directory 」を起動します。

「左ペイン」→「タスク」よりパスワード同期を設定します。

5.新同期サーバにて同期化:パスワード同期の構成をチェックして同期を実行します

新同期サーバにインストールされた「Microsoft Azure Active Directory 」を起動します。「office365」への認証が求められますので、管理者権限を付与してあるユーザーで認証をします。

左ペインのタスク(同期:Sync)より同期を実行させます。

新サーバでは、ステージングモードが無効になっていることを確認します。

6.office365にて動作確認:30分単位

office365管理センターに管理者権限でログインして、同期サーバが正常に行われているか確認します。

デフォルトの設定だと「30分単位」で同期が実行されます。実行から経過した時間がダッシュボードに表示されます。

7.旧同期サーバの削除(アンインストール)

旧同期サーバにインストールされていた「AADC」をアンインストールします。これで移行作業は終了です。

今回は、プライベートIPアドレスも引き継ぐので、新サーバにて変更を実行します。ホスト名も変えたかったのですが、既にドメイン環境に参加していると、1回ドメインから抜けて、WorkGroupに入ってからのホスト名変更になります。

正常に同期が終わっているので、最後の最後でコケるのが怖かったのでホスト名は、旧サーバから引き継がないでそのまま運用しています。

ひとり情シスより

今回のリプレイスはライフサイクルにもとづいて作業を行っていました。ADやファイルサーバのリプレイスは、すべてベンダー作業にしているのですが「同期サーバ」は発注していませんでした。結構この作業は重くとても厄介でこれもベンダーに発注すればよかったです。AADCの事を深く理解しないで実行すると各パラメータでしっぺ返しを喰らいます。例えば「パスワード同期」これはADユーザーのパスワードと「office365」のパスワードを統一する機能です。元々これがオフになって別々のパスワードが存在していると、パスワード同期をオフにして「AADC」をセットアップしなくてはいけません。2018年度に総務省よりパスワードの変更せずにパスワード要件を高めて1つにしなさいというお達しが出たせいか、「Microsoft」でもパスワードの無期限化が標準仕様になっています。