Microsoft Active Directory

デフォルトでは単一の Active Directory VSI が IBM Cloud® インフラストラクチャーにデプロイされます。

この設計では、オプションで 2 台の高可用性 MSAD サーバーを、専用の Microsoft Windows® Server VM として管理クラスターにデプロイすることもできます。

2 つの高可用性 MSAD サーバーのオプションを選択する場合は、お客様の責任で Microsoft ライセンスの取得とアクティベーションを行う必要があります。

Active Directory の役目は VMware® インスタンスを管理するためのアクセスの認証のみであり、デプロイされたインスタンスでのワークロードのユーザーの格納ではありません。 Active Directory サーバーのフォレスト・ルート・ドメイン名は、ユーザーが指定するドメイン・ネーム・サービス (DNS) のドメイン名と同じです。 このドメイン名は、複数のインスタンスがリンクされている場合、プライマリVMware Cloud Foundation for Classic - Automatedインスタンスに対してのみ指定される。 リンクされたインスタンスでは、各インスタンスに、フォレスト・ルート・レプリカ・リングに入っている Active Directory サーバーが含まれています。 Active Directory サーバー上には、DNS ゾーン・ファイルも複製されています。

vSphere シングル・サインオン (SSO) ドメイン

vSphere シングル・サインオン (SSO) ドメインは、単一インスタンスや複数のリンクされたインスタンスのための初期認証メカニズムとして使用されます。 SSO ドメインは、VMware インスタンスや複数のリンクされたインスタンスを MSAD サーバーに接続する役目も担います。 次の SSO 構成が適用されます。

• SSO ドメイン vsphere.local が、常に使用されます。
• 既存のインスタンスに関連付けられたVMwareインスタンスの場合、vCenterServerアプライアンスは既存のインスタンスのSSOドメインに参加します。
• SSO サイト名は、インスタンスのデプロイ時に選択したルート・ドメインです。

既存のフォレストとの統合

Active Directory フォレストのマージは複雑なプロセスです。 インスタンスを既存のActive Directoryフォレストと統合したい場合、IBM Cloudは、フォレストの統合を試みるのではなく、VMware vCenterServer®に追加のIDソースとして既存のActive Directoryインフラストラクチャを追加することを推奨します。IBM Cloudオートメーションでは、既存のドメインとの競合の可能性を減らすために、少なくとも3つの修飾子を持つインスタンスのルートドメインを選択する必要があります。

既存のドメインを ID ソースとして参照するには、以下の複数の方法があります。

• IBM Cloud 内のドメイン・コントローラーに接続できる場合、または IBM Cloud からドメイン・コントローラーに接続できる場合は、直接参照することができます。
• IBM Cloud 内に、読み取り専用レプリカ・コントローラーをデプロイすることができます。
• IBM Cloudによってデプロイされたドメインコントローラから、ドメインコントローラへの一方向信頼を追加することができます。

プライマリ VMware Cloud Foundation for Classic - Automated インスタンス

VMware Cloud Foundation for Classic - Automated展開では、展開されたAD VSIまたはVMをインスタンスのDNSサーバとして使用します。 すべてのデプロイ済みコンポーネントvCenter,NSX、ESXi ホスト）は、デフォルト DNS として AD を指すように設定されています。 DNS ゾーン構成は、デプロイ済みのコンポーネントの構成と干渉しない限りカスタマイズが可能です。

この設計では、次の構成によって、AD VM 上で DNS サービスが統合されます。

• ドメイン構造は、ユーザーが指定します。
• ドメイン名は、すべてのVMware Cloud Foundation for Classic - Automatedコンポーネントが扱う最大レベルまで、いくつでも指定できる。
• ドメイン・ネームのレベル数は 3 以上でなければなりません。 このガイドラインにより、トップレベル・ドメインがインスタンス・ドメインのインスタンスに責任を委任するというベスト・プラクティスが適用されます。
• AD/DNS サーバーは、DNS ドメインで権限を持つように構成されます。
• AD/DNS サーバーは、他のすべてのゾーンに対して IBM Cloud DNS サーバーをポイントするように構成されます。
• 最初のクラウド・リージョンまたはターゲットに展開されたクラウド・リージョンに統合されたセカンダリー・クラウド・リージョンは、一意のホスト接頭辞を持つ同じDNS名構造を使用しなければならない。
• オプションで、vSphereクラスタ内に冗長DNSサーバを配置できます。 ライセンスのない状態で 2 つの AD/DNS サーバーが構成されます。 そうしたサーバーのために Windows オペレーティング・システムのライセンスを用意するのは、お客様の責任です。
• 1つのサイトが1つのAD/DNSサーバのみでプロビジョニングされている場合、設定されているすべてのVMware Cloud Foundation for Classic - Automatedコンポーネントは、DNSエントリとしてその1つのIPアドレスのみを持つ必要があります。

セカンダリ VMware Cloud Foundation for Classic - Automated インスタンス

クロスインスタンス冗長性のために、最初のセカンダリVMware Cloud Foundation for Classic - Automatedインスタンスが既存のプライマリまたはスタンドアロンVMware Cloud Foundation for Classic - Automatedインスタンスに追加されると、そのプライマリインスタンスのAD DNSサーバIPアドレスは、セカンダリVMware Cloud Foundation for Classic - Automatedインスタンスと、DNSサーバエントリを必要とするすべてのコンポーネントの後続のセカンダリインスタンスの「セカンダリDNS」エントリで使用されます。

これには例えば、ESXi、vCenter、NSX Manager などがあり、HCX、Zerto、Veeam などのアドオン・コンポーネントもあります。 プライマリサイトのセカンダリDNSエントリは、最初のセカンダリVMware Cloud Foundation for Classic - AutomatedインスタンスのAD/DNS IPアドレスに変更されます。