Azure

AADDSを構築する記事

—5/13追記(追記事項は末尾記載)—
皆様、こんにちは。

在宅勤務が長引きそうなので、これを機にいい椅子を買おうと考えてはや2か月経ちました。
エンジニアの×3と申します。

さて、今回の記事ではAzureADDSを構築して、管理端末からActiveDirectoryのユーザーとコンピュータを開くところまでをゴールとしたいと思います。

早速ポータルからAzureADDSを作成しましょう、と言いたいところですが・・・
まずは今回作成する構成を説明していきます。

構成といってもそんなに複雑ではないですが・・・

1つのリソースグループの中に、1つの仮想ネットワーク、
そしてその仮想ネットワークに2つサブネットを作成し、そのサブネットそれぞれでAzureADDSと管理用VMを作成しています。

ただこの構成、違和感を感じる方もいらっしゃるのではないでしょうか。

「なぜ、サブネットを分けているのか?」

これはAzureADDSの要件として、AzureADDS用のサブネットにはAzureADDS以外のリソースをデプロイしてはいけない、という制限があるのでこのような構成となっています。

さて、説明が多くなってきましたので、そろそろ作成していきましょう!

いざ作成・・・

今回はAzureADDSを作成するところから、記載していきます。
※リソースグループ、仮想ネットワーク、サブネットの作成は割愛
 また、AzureADで以下の様にAzureADDS管理用ユーザーを事前に作成済み

まずは、Azure Portalで「Azure AD Domain Service」と検索してください。
そして、「追加」か、「Azure AD Domain Serviceの作成」を押して作成画面を表示させます。

基本設定で、以下の様に入力

・サブスクリプション名、リソースグループ名はご自身の環境のものを、
 DNSドメイン名は自身で使用したい名前を入力してください
・DNSドメイン名のプレフィックス(今回で言うとkakeotamesiの部分)は、
 15文字以下でないとエラーが返されます。

ネットワーク画面では、事前に作成しておいた情報を入力

管理画面では、グループメンバーシップの管理から、メンバーの追加を押して、
AAD DC Administratorsに事前に作成したユーザーを追加します。

同期画面では、AzureADとAzureADDSの同期の種類を選択できます。
「すべて」でAzureAD上のユーザーがすべてAzureADDSに同期されます。
「範囲指定」を選択し同期スコープでグループを指定すると、そのグループ内のユーザーのみ同期されます。

それでは、確認して作成を押しましょう。
下記事項も含め1時間超時間が掛かります。
コーヒーでも飲んで気長に待ちます。

デプロイが終了してすぐは、AzureADDSの画面上で「マネージドドメインをプロビジョニング中」の表示が出て操作することが出来ないため、もう少し待ちます。

この表示が消えたら終了です。次のDNSの設定更新を実施しましょう。
赤枠の構成を押して、仮想ネットワーク内のDNSサーバー設定を更新します。

完了後、仮想ネットワークのDNSサーバー設定を確認してみると・・・

ちゃんと設定されてますね。

これでひとまずAzure側の作業は終了です。
次はようやくwindowsの操作に移っていきます。

いざドメイン参加・・・

早速windows サーバーにログインし、ドメイン参加を試してみましょう。

OKを押した後、サインイン画面が表示されます。
そこに AADDS管理用ユーザーのユーザー名、パスワードを打ち込みます。
※ここのユーザー名は
ユーザー名@xxx.omicrosoft.comのドメインを入力しても、
ユーザー名@カスタムドメイン名(今回だとkakeotamesi.com)、
どちらでも問題ないです。

正常にドメイン参加できれば、歓迎のポップアップが表示されます。

もしドメイン参加できないときは・・・

以下を確認してみてください。
・AzureADDS管理用ユーザーは作成後パスワード変更していますか?
 ユーザー作成後の初ログイン時にパス変を求められるため、これをしていないとドメイン参加ははじかれてしまいます。
・パス変後、30分ほど待ってみましょう。
 AzureADとAzureADDSの同期に時間が掛かります。
 公式では数分で同期とありますが、何度かうまくいかないことがあったので少し多めに待ってみます。
・DNSの設定更新後、仮想マシンは再起動しましたか?

さあ、あとはサーバーマネージャーでAD用の機能を追加すれば終了です。

・Remote Server Administration Tools/Role Administration Tools/AD DS and AD LDS Tools
・DNS Server Tools
・Group Policy Management
を追加します。
※日本語化していればもう少しやりやすいですが、筆者は横着しました・・・

追加したら、サーバーマネージャーのToolsを押して、「ActiveDirectory Users and Computers」を開きます。

開けましたね。これでゴールです。
実際にOUの追加やグループポリシーの変更をする際は、AzureADDS管理用ユーザーでログインしなおして編集してくださいね。

まとめ

今回はAzureADDSを作成、ドメイン参加と管理ツール導入までを実施しました。
このAzureADDS、オンプレのADの代わりとしても使用できるため(完全な代わりにはなりませんが、その説明は割愛)、Covid-19の影響で注目されているWindows Virtual Desktopを作成するのにもAzureADとこのAzureADDSだけで代用できてしまうのです。

弊社では、そんなWVDの構築、導入支援を実施しておりますので、
お気軽にお問い合わせください。

※追記 5/13
先日弊社にて、テレワーク導入キャンペーンが開始されました!
WVDについてだけではなく、Teamsなどについてもお得な情報が記載されてますので、ぜひ一度ご覧いただければと思います。

こんないろいろとメリットのあるAzureADDS、皆様も一度使用してみてはいかがでしょうか?

L7負荷分散 Azure Application Gateway について:1回目前のページ

Azure 資格試験の更新(2020年版の更新)次のページ

関連記事

  1. 最新情報

    テレワーク導入応援キャンペーン

    緊急事態宣言によるテレワーク対応待ったなし!でも、何が…

  2. Azure

    Azure VPNについてあれこれ

    こんにちは、三醍醐です。今回は、Azure VPNについてお…

  3. VDI

    WVD RDP Shortpath を試してみる記事

    みなさまこんにちは。最近散歩が楽しく感じてきました。ちょっとオヤジく…

  4. Azure

    Azure 資格試験の更新(2020年版)AZ-203編

    2020年になり、早くも Azure 資格試験の更新がありま…

  5. Azure

    Azure CDNでマルチオリジンをやってみる記事

    皆様こんにちは。最近ビタミンC系の飲み物が昔より体に染みる、気がして…

  6. Azure

    Azure VMの自動起動停止を行う

    こんにちは、三醍醐です。今回は、Azure VMの自動起動停…

関連記事

  1. Application Gateway

    L7 負荷分散 Azure Application Gateway について:3…
  2. Azure

    Azure Site Recoveryの課金について
  3. Azure

    Azureクラシックリソース(Azure Service Management)…
  4. Azure

    AzureのDMSでデータを移行してみる記事 ~MySQL編~
  5. Appサービス

    AppService周りをまとめてみる(Linux版)
PAGE TOP