皆さんこんにちは。国井です。
今日はAAD Conectに関わる、ちょっとした小ネタを。
Active DirectoryとAzure ADの間で行うディレクトリ同期を担当するAzure AD Connect (AAD Connect)。
かつて、DirSyncやAADSyncなどのツールとして提供されていたAAD Connectはディレクトリ同期をActive Directoryからディレクトリ同期サーバーまでの同期を行い、ディレクトリ同期サーバーからAzure ADへの同期を(一時的に)行わないようにする、ステージングモードと呼ばれるオプションが用意されています。
これを図で表すと以下のようになります。
ディレクトリ同期は本来、Active Directoryディレクトリ同期サーバーへの同期(1.と3.の処理)、Azure ADに同期を行う前の現状確認のための同期(2.と4.の処理)を行ったのちに、Azure ADへの同期(5.の処理)を行いますが、5.のExport処理を行わないのがステージングモードです。
ステージングモードは、ディレクトリ同期サーバーとAzure ADの間の同期を実行せず、一時的に待機させておくことで、
一時的にディレクトリ同期サーバーでインターネット接続して欲しくない
Active Directoryとディレクトリ同期サーバー間の同期だけをテストしたい
などのニーズに対応するものです。
(ちょっとインパクトに欠けるニーズかな??)
2015年12月19日追記
バックアップ用のディレクトリ同期サーバーとして構築しておいて、
プライマリーのディレクトリ同期サーバーにトラブルが発生したら、
ステージングモードをオフにして、プライマリーの
ディレクトリ同期サーバーとしての運用を始める使い方が紹介されていました。
https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-topologies/
それでは、ステージングモードの実装を早速確認してみましょう。
■ ■ ■
まず、AAD Connectをインストールしたコンピューターはデスクトップにアイコンが作られるので、これを実行します。
すると、ウィザードで[追加のタスク]が表示されるので、ステージングモードを選択し、
Azure ADの資格情報を入力すると、ステージングモードの設定を有効または無効に切り替えられます。
ステージングモードを有効にしたディレクトリ同期サーバーはActive Directory→ディレクトリ同期サーバー、ディレクトリ同期サーバー→Azure ADの同期をそれぞれ行いますが、Azure ADへのExport処理が行われていないことがSynchronization Service管理ツールからわかります。
しかし、ディレクトリ同期サーバーにはActive DirectoryのID情報が同期されているので、Synchronization Service管理ツールで[Metaverse Search]をクリックして、検索すると、検索結果として、Active DirectoryのID情報が確認できます。
以上のことから、ステージングモードを有効にしておくことで、Active Directory→ディレクトリ同期サーバーの同期だけを行い、ディレクトリ同期サーバー→Azure ADの同期は一時停止してくれていることがわかります。
