0.初めに
AADCサーバのEOL対応(バージョンアップに伴う影響確認)を行いました。
テストとして、検証環境を用いてAzure上でADサーバ、AADCサーバを構築したため、その備忘録として寄稿します。
最終目標は、オンプレADサーバとAzure ADの疎通確認です。
今回は自分のアカウントを用いて行うため、極力コストを減らしてAzureを学習できるように挑戦していきます。(凄い大事)
章立て
1.やること
2.対象者
3.Windows Serverの構築
4.節約&セキュリティ対策
5.接続確認
6.本作業の振り返り
7.最後に
1.やること
■アジェンダ
・Azure上にWindows Serverを構築すること ※今回の内容
・Windows ServerにADサーバ(オンプレAD)を構築すること
・Windows ServerにAADCサーバを構築すること(オンプレAD上に構築する)
・オンプレADとAzureADの同期が上手くいっているかの確認
2.対象者
・Azureまぁまぁ初心者(何回か触ったことあるし、何台かマシンも作成したことはある人)
・無料のサブスク期間が切れたのでコストを減らして学習したい人(私のような人)
3.Windows Serverの構築
サブスクリプションは作っておいて下さい。
リソースグループもあらかじめ作っておいた方が楽です。
以下、画像ベースでの説明↓
■ポイント①
地域は比較的安めなSoutheast Asiaを選択します。
サイズは動きにストレスを感じない程度でコスパ的にもまぁまぁなB2msにします。
注意点としては、
・Azure Spot割引は、マシンの冗長化をしていないと厄介なことになりそうなので、今回はしない。(安くしすぎれば良いって訳でもないので、、、)
以下原文
Azure スポットでは、従量課金の価格に対する割引価格で未使用の Azure 容量が提供されます。Azure では従量課金ワークロードのために容量を回収することがあるため、ワークロードはインフラストラクチャの喪失に耐性が必要です。
■ポイント②
今回はBastionという有能接続サービスを使わないので、RDPをONにします。
RDPを開放するというのはセキュリティ的にビミョイので、後続のNSGでマシンへの接続制限をかけてセキュリティも担保します。
(Bastionは構築後2週間で1万円弱くらいとられたような苦い思い出。ON/OFFを設定できず、構築すると課金が始まる...)
また、私には良心があるのでハイブリッド特典はいじりません。持っている方はどうぞ選択して下さい。
(ただONにしても、目を見張るほど安くなるわけでは無さそう...)
■ポイント③
ディスクはStandard SSDで良いでしょう。
デフォルト128GBなので、追加のディスクも要らないでしょう。
■ポイント④
NICネットワークセキュリティグループはひとまずBasicにしておく。
マシン作成後に追加で通信要件を入れていきます。
VMが削除されたときにパブリックIPとNICの削除はONにしておきます。(好み)
■最終的な姿
※触れていませんでしたが、パブリックIPはデフォルトの項目のまま、設定しています。
後続作業にて、変更/修正を行っています。
月額概算ですが、画像から
1時間当たり、0.1140 USD
1日当たり、2.736 USD
1か月当たり、82.08 USD
1ドル 137.56円(2022/8/27)
=11,290円
11,290円...とはなりませんので大丈夫です。上記値段は1か月フルでマシンをON(起動状態)にしていた時の値段です。
使用していないときは、マシンを停止させれば、1か月に使う時間なんて極小では無いでしょうか?
(それでもストレージ代?はマシンのON/OFF関係なしに請求されますが、、、)
ちなみに、上記と同じような条件で私が使用した時の値段は1,100円でした。
期間:2022/7/1~2022/7/31
VM稼働期間:体感約10時間くらいの稼働時間
参考画像なくて申し訳ないのですが、ストレージ料金が約800円でしたので、
VMの1か月の稼働時間が24、48時間と増えるぐらいには、大した金額増にはならないでしょう。
気になるようだったら、コストの管理と請求から金額を見てみるのもいいでしょう。
ただ、円安の影響は大きいですね。
4.節約&セキュリティ対策
節約のポイントと、セキュリティを強化するため私が施した対策を記載します。
■IPアドレスを静的→動的に変更
③新たなパブリックIPアドレスを「動的」設定になるように追加
⑤古い元のパブリックIPアドレスは削除しておきます。※Azure Portalの画面から操作で
上記で、ひとまず静的IPから動的IPへの変更は完了できました。
少し古い記事にはなりますが、IPアドレスを動的にすることで、少しコストを抑えることが出来ます。
静的IPだとマシン稼働有無に関わらず課金が発生し、
動的IPだとマシンの稼働時のみ、課金が発生する解釈。
※時間があれば公式ドキュメントも探してみます。
本作業は一旦設定した項目を後から修正するという作業でした。
なので、マシンの構築の段階で動的IPを振る設定に出来ていたかもしれません。
効率良いやり方発見すれば、共有します。(又はコメント等で教えてください。)
※うまく設定できない場合は、仮想マシンがOFF(割り当て解除済み)になっているかも確認してみてください。
■NSGの変更
次はNSGを変更して、自分以外のマシンからRDP接続されないように設定します。
※NSGに関しては、仮想マシン作成時にデフォの設定(Basic)にしておくと便利。
理由としては、カスタムにすると、後述画像の65XXX番台のセキュリティ規則も自分で設定する羽目になるので。
■現状
RDP接続がどの送信先からも有効であり、穴が開いている状態。
!!!意図しない相手から繋がれる恐れ大!!!
■対策
RDPをクリックした先の画面で、自分のIPからしか受け付けないように、受信セキュリティ規則を設定する。
※変更後は、全画面の「受信セキュリティ規則」の「ソース」が任意から自身のIPに変わっているはずです。
5.接続確認
下準備は完了したので、いよいよ接続していきます。
③ダウンロードされたファイルを実行し、画面の指示に従い「接続」
④デフォルトでは、Microsoftのアカウントの入力が求められますが、ここでは、作成したマシンへの接続アカウント(マシン作成の際に決めたアカウントIDとパスワード)を入力します。
6.本作業の振り返り
■アジェンダ
・Azure上にWindows Serverを構築すること
・Windows ServerにADサーバ(オンプレAD)を構築すること
・Windows ServerにAADCサーバを構築すること(オンプレAD上に構築する)
・オンプレADとAzureADの同期が上手くいっているかの確認
まずは、Azure上にWindows Serverを構築しました。
次回は、構築したWindows Serverの設定変更と、ADサーバの構築に移りたいと思います。
今回のポイントは以下3点。
・Windows Serverは動的IPのため、マシンをOFFにするたびにIPアドレスが変わります。
→今回は自己満検証ということで、値段を抑えるためIPは動的にしています。(+攻撃に晒される可能性を低くするため)
・NSGでは、自分のマシンのIPからしかRDP接続を受け付けないようにする。
→最低限のセキュリティは確保する。
・使用が終了したら、マシンの電源をAzure Portal側からOFFにさせる。
→マシン内でシャットダウンするだけだと、課金が発生します。また、攻撃に晒されないようにする目的のためにも重要な作業です。必ず「割り当て解除済み」となっているか確認しましょう。
7.最後に
オンプレADサーバをAzure上のWindows Serverに構築。も書き進めます、よろしくお願いします。
質問事項や指摘点あれば、コメントお願いします。