Azure

AADDSを構築する記事

—5/13追記(追記事項は末尾記載)—
皆様、こんにちは。

在宅勤務が長引きそうなので、これを機にいい椅子を買おうと考えてはや2か月経ちました。
エンジニアの×3と申します。

さて、今回の記事ではAzureADDSを構築して、管理端末からActiveDirectoryのユーザーとコンピュータを開くところまでをゴールとしたいと思います。

早速ポータルからAzureADDSを作成しましょう、と言いたいところですが・・・
まずは今回作成する構成を説明していきます。

構成といってもそんなに複雑ではないですが・・・

1つのリソースグループの中に、1つの仮想ネットワーク、
そしてその仮想ネットワークに2つサブネットを作成し、そのサブネットそれぞれでAzureADDSと管理用VMを作成しています。

ただこの構成、違和感を感じる方もいらっしゃるのではないでしょうか。

「なぜ、サブネットを分けているのか?」

これはAzureADDSの要件として、AzureADDS用のサブネットにはAzureADDS以外のリソースをデプロイしてはいけない、という制限があるのでこのような構成となっています。

さて、説明が多くなってきましたので、そろそろ作成していきましょう!

いざ作成・・・

今回はAzureADDSを作成するところから、記載していきます。
※リソースグループ、仮想ネットワーク、サブネットの作成は割愛
 また、AzureADで以下の様にAzureADDS管理用ユーザーを事前に作成済み

まずは、Azure Portalで「Azure AD Domain Service」と検索してください。
そして、「追加」か、「Azure AD Domain Serviceの作成」を押して作成画面を表示させます。

基本設定で、以下の様に入力

・サブスクリプション名、リソースグループ名はご自身の環境のものを、
 DNSドメイン名は自身で使用したい名前を入力してください
・DNSドメイン名のプレフィックス(今回で言うとkakeotamesiの部分)は、
 15文字以下でないとエラーが返されます。

ネットワーク画面では、事前に作成しておいた情報を入力

管理画面では、グループメンバーシップの管理から、メンバーの追加を押して、
AAD DC Administratorsに事前に作成したユーザーを追加します。

同期画面では、AzureADとAzureADDSの同期の種類を選択できます。
「すべて」でAzureAD上のユーザーがすべてAzureADDSに同期されます。
「範囲指定」を選択し同期スコープでグループを指定すると、そのグループ内のユーザーのみ同期されます。

それでは、確認して作成を押しましょう。
下記事項も含め1時間超時間が掛かります。
コーヒーでも飲んで気長に待ちます。

デプロイが終了してすぐは、AzureADDSの画面上で「マネージドドメインをプロビジョニング中」の表示が出て操作することが出来ないため、もう少し待ちます。

この表示が消えたら終了です。次のDNSの設定更新を実施しましょう。
赤枠の構成を押して、仮想ネットワーク内のDNSサーバー設定を更新します。

完了後、仮想ネットワークのDNSサーバー設定を確認してみると・・・

ちゃんと設定されてますね。

これでひとまずAzure側の作業は終了です。
次はようやくwindowsの操作に移っていきます。

いざドメイン参加・・・

早速windows サーバーにログインし、ドメイン参加を試してみましょう。

OKを押した後、サインイン画面が表示されます。
そこに AADDS管理用ユーザーのユーザー名、パスワードを打ち込みます。
※ここのユーザー名は
ユーザー名@xxx.omicrosoft.comのドメインを入力しても、
ユーザー名@カスタムドメイン名(今回だとkakeotamesi.com)、
どちらでも問題ないです。

正常にドメイン参加できれば、歓迎のポップアップが表示されます。

もしドメイン参加できないときは・・・

以下を確認してみてください。
・AzureADDS管理用ユーザーは作成後パスワード変更していますか?
 ユーザー作成後の初ログイン時にパス変を求められるため、これをしていないとドメイン参加ははじかれてしまいます。
・パス変後、30分ほど待ってみましょう。
 AzureADとAzureADDSの同期に時間が掛かります。
 公式では数分で同期とありますが、何度かうまくいかないことがあったので少し多めに待ってみます。
・DNSの設定更新後、仮想マシンは再起動しましたか?

さあ、あとはサーバーマネージャーでAD用の機能を追加すれば終了です。

・Remote Server Administration Tools/Role Administration Tools/AD DS and AD LDS Tools
・DNS Server Tools
・Group Policy Management
を追加します。
※日本語化していればもう少しやりやすいですが、筆者は横着しました・・・

追加したら、サーバーマネージャーのToolsを押して、「ActiveDirectory Users and Computers」を開きます。

開けましたね。これでゴールです。
実際にOUの追加やグループポリシーの変更をする際は、AzureADDS管理用ユーザーでログインしなおして編集してくださいね。

まとめ

今回はAzureADDSを作成、ドメイン参加と管理ツール導入までを実施しました。
このAzureADDS、オンプレのADの代わりとしても使用できるため(完全な代わりにはなりませんが、その説明は割愛)、Covid-19の影響で注目されているWindows Virtual Desktopを作成するのにもAzureADとこのAzureADDSだけで代用できてしまうのです。

弊社では、そんなWVDの構築、導入支援を実施しておりますので、
お気軽にお問い合わせください。

※追記 5/13
先日弊社にて、テレワーク導入キャンペーンが開始されました!
WVDについてだけではなく、Teamsなどについてもお得な情報が記載されてますので、ぜひ一度ご覧いただければと思います。

こんないろいろとメリットのあるAzureADDS、皆様も一度使用してみてはいかがでしょうか?

L7負荷分散 Azure Application Gateway について:1回目前のページ

Azure 資格試験の更新(2020年版の更新)次のページ

関連記事

  1. Azure

    普通のAzure Windows VMを、従量課金のSQL VMにしたい

    こんにちは。今回は、通常のWindows VMを従量課金のS…

  2. Azure

    祝日判定を使った自動起動について:Azure Automation

    こんにちは。 今回は、Azure Automationで祝日判定を行…

  3. Office 365

    Office 365 F3(旧F1)

    こんにちは、三醍醐です。今回はAzureの話ではなく、同じく…

  4. Application Gateway

    L7 負荷分散 Azure Application Gateway について:3回目

    こんにちは。ヤモトです。今回はApplication Gat…

  5. Azure

    Azure 資格試験の更新(2020年版)

    2020年になり、早くも Azure 資格試験の更新がありま…

  6. Azure

    WindowsVirtualDesktopがGAされているので(その2)

    その1で仮想マシンの展開まで行ったので次は接続、それとその他備考な…

関連記事

  1. Azure

    WindowsVirtualDesktopがGAされているので(その1)
  2. Azure

    WindowsVirtualDesktopがGAされているので(その2)
  3. Azure

    Azure VMの自動起動停止を行う
  4. Azure

    AADDSを構築する記事
  5. Azure

    Azure 資格試験の更新(2020年版の更新)
PAGE TOP