AWSでドメインに参加してるWindowsServerの複製をするには何をすればいいか

WindowsServerはSID(セキュリティID)でWindowsUpdateやドメイン内マシンを管理しているため、このIDの重複は基本的に良くない結果を生む、というのを最近知った。

AWSでサーバの複製をしようとすると、正規手順である、都度インスタンス作成&各々にAnsiblePlaybook適用という方法以外にも、マシンイメージ作ってインスタンス作成、という手も、サーバを複製するという観点では取り得る。
ただこの場合SIDも含めて複製されてしまうため、正しい形にするためにはSysprepによるSID再作成をする必要がある。

マイクロソフトとしては、Sysprepするならそれ用のマシンを準備すべきで、複数のユーザでログインしたり、OSのアップグレードをしたり、ドメイン参加したりしたマシンでは動作保証しない、という立場を取っている。
https://blogs.technet.microsoft.com/askcorejp/2018/04/03/windows10-sysprep-guide/

仮に、AWS上のWindowsServerのスナップショットから複製するとしたら
・ADと通信できない状態にした状態で、ドメインから抜ける
・ビルトイン管理者以外のプロファイルを削除する
・GPOを外す
という作業を行った上でSysprepを仕掛ければ問題ないかもしれない。
(その上で、ドメイン再参加と必要な設定をすることになる)

未検証なので、追々やってみよう。

ただ、列挙しただけでも相当の時間を要することは明らかであり
WindowsServerを利用した短時間のリカバリやスケーリングははるかに非現実的だなぁ。

更に調べてみると、SIDが重複しても一部のサービスを除いて実質問題ないとは公式的に発表されているが、とはいえ一部サービスには問題も起きるし、サポート外となることには違いないので極力Sysprepをかける必要がある。
https://technet.microsoft.com/ja-jp/windows/mark_12.aspx

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です