拠点にドメインコントローラーを残すべきか? ゼロトラスト時代のActive Directory設計を考える

この記事の内容

  • 拠点のActive Directory Domain Controllerをデータセンターへ集約する際の推奨アプローチを解説します
  • 回線品質が十分な場合にDCを集約してもよい理由と、その際のリスクについて整理します
  • ドメインコントローラーの「移動」ではなく「追加と降格」が推奨される理由を説明します
  • ファイルサーバー・プリントサーバーの扱いなど、集約を妨げる現実的な課題を取り上げます
  • ゼロトラストネットワーク・クラウドへの移行を見据えた、より本質的な設計方針を紹介します

ドメインコントローラーを「移動」してはいけない

ADの移行プロジェクトで拠点のドメインコントローラー(DC)をデータセンターへ集約する場合、既存のDCをそのまま「引っ越し」する方法は推奨されません。

DCにはサイトリンクやDNSの設定など、環境に紐づいた多くの情報が含まれています。そのため、既存のDCを物理的・論理的に移動するよりも、次のような手順が推奨されます。

  1. データセンター側に新しいDCを追加する
  2. レプリケーションが正常に機能していることを確認する
  3. 拠点側の古いDCを降格(デモーション)して削除する

この「追加してから降格する」アプローチのほうが安全で、トラブルが発生しにくい構成です。

回線が強ければ、拠点にDCは不要か

「拠点の回線が十分に強い」という前提であれば、DCをデータセンターに集約してしまっても問題ないケースは多くあります。実際に、拠点にはDCを一切置かずデータセンターに全て集約して、問題なく運用されているお客様の事例も多数存在します。

DCの負荷自体は非常に低く、Windowsが登場した初期のころとは異なり、現代のサーバースペックであれば1台で数万・数十万ユーザーのリクエストも十分にさばけます。

拠点DCが不在のときに起きること

ただし、DCをデータセンターへ集約した状態で回線が切れた場合には、次のような問題が発生します。

  • PCがドメインに対してログイン認証しようとしても、DCに到達できないためロックインができない
  • ドメインログイン時に時間がかかる、または失敗する

この問題への対処として、キャッシュ認証情報によるログインが利用できる場合があります。一度ログイン済みのアカウントであれば、キャッシュを使って認証を通過できます。

どの程度のリスクを許容するかは、BCPの設計方針や組織の要件によって異なります。ファイルサーバーなど他のリソースも同様に切断されるなら、拠点にDCだけ置いても意味がないという考え方もあります。

DCを拠点に残す判断基準

拠点にDCを残すかどうかは、最終的には次の観点から判断することになります。

  • 回線品質: 専用線や安定した回線が確保されていれば集約で問題ない
  • BCP要件: 回線断時にどのレベルのサービス継続を求めるか
  • 運用能力: オフィスにサーバールームがあり、温度・電源管理、セキュリティ管理が適切に行えるエンジニアが常駐しているか
  • サーバー台数とスペース: サーバーが増えると発熱も増え、サーバールームに収まらなくなることがある

サーバーの適切な管理体制がある環境では、近くにDCを置く利点もあります。一方で、管理が難しい場合はデータセンターに預けるほうがメリットが大きいことも多いです。

集約を妨げる現実的な課題:ファイルサーバーとプリントサーバー

DCの集約を検討する際に、よく障壁となるのがファイルサーバープリントサーバーの存在です。

「回線が切れても、このファイルサーバーだけは拠点で使い続けたい」というニーズがあることで、拠点にサーバーを残さざるを得ないケースがあります。

Azure FilesのAD認証(プレビュー)

この課題に対して、Azure FilesのAD認証機能がプレビューとして利用可能になっています。従来はAzure FilesにAD認証を統合するのが難しい状況でしたが、ドメイン参加したアカウントでAzure Filesへ認証アクセスできるようになってきています。

これにより、拠点のファイルサーバーをAzure Filesに移行し、AD認証もクラウド側で完結させる構成が現実的になりつつあります。

プリントサーバーについては、クラウドプリントサーバーの選択肢もありますが、まだ課題が残る部分もあり、プリンター自体をAD連携なしで運用する方法も検討に値します。

ゼロトラストの世界観へ:そもそもVPNを使わない設計

DCを拠点に置くかどうかという議論自体が、実は時代遅れになりつつあるという視点もあります。

テレワークやリモートワークが普及した現代では、「拠点間の回線がつながっていること」を前提とした設計から脱却し、次のような設計方針が求められています。

  • システムはインターネット越しにアクセスできる構成にする
  • Microsoft 365などのSaaSはもちろん、社内システムもインターネット経由でアクセス可能にする
  • PCからでもスマートフォンからでも、インターネットさえ繋がれば全てのサービスが使える

この世界観では、拠点間のVPN(サイト間VPN)に依存する構成ではなく、EntraID(旧Azure AD)やアプリケーションプロキシなどを活用した、よりモダンなゼロトラスト構成を目指します。

[[PC/(]/V]PN)()AEDntDrCa/ID/AzureFiles/SaaS

データセンターに自社システムが残る過渡期でも、インターネット経由でアクセスできる構成に整えていくことが、将来を見据えた方向性です。

まとめ

拠点にドメインコントローラーを残すべきかどうかは、回線品質・BCP要件・運用体制によって答えが変わります。ただし、共通して言えるポイントは以下の通りです。

  • DCは「移動」せず、新規追加→旧DCの降格という手順で移行する
  • 回線が十分に安定しているなら、データセンターへの集約も十分選択肢になる
  • 回線断時のリスクはキャッシュ認証で一定程度カバーできる
  • ファイルサーバーの課題はAzure FilesのAD認証機能で解決できる可能性がある
  • より本質的には、VPN依存から脱却してゼロトラスト・インターネットベースのアクセス設計を目指すことが時代の流れである

拠点DCを置くか置かないかという個別の判断だけでなく、「インターネットさえあれば全てのシステムにアクセスできる」という設計思想への移行を、長期的なゴールとして見据えることが重要です。