Azure CLI を使用して新しい Active Directory フォレストをインストールする
AD DS は、多くのオンプレミス インスタンスで実行されるのと同じ方法で、Azure 仮想マシン (VM) で実行できます。 この記事では、Azure portal と Azure CLI を使用して、Azure 可用性セット内の 2 つの新しいドメイン コントローラーに新しい AD DS フォレストをデプロイする方法について説明します。 多くのお客様がラボを作成したり、Azure にドメイン コントローラーをデプロイする準備をするときに、このガイダンスが役に立ちます。
コンポーネント
- すべてのものを配置するためのリソース グループ。
- RDP での VM へのアクセスを許可するための Azure Virtual Network、サブネット、ネットワーク セキュリティ グループ、および規則。
- 2 つの Active Directory Domain Services (AD DS) ドメイン コントローラーを配置するための Azure 仮想マシン可用性セット。
- AD DS と DNS を実行するための 2 台の Azure 仮想マシン。
対象外の項目
- オンプレミスの場所からのサイト間 VPN 接続の作成
- Azure でのネットワーク トラフィックのセキュリティ保護
- サイト トポロジの設計
- 操作マスターの役割の配置計画
- Microsoft Entra Connect をデプロイして ID を Microsoft Entra ID に同期する
テスト環境を構築する
環境を作成するために Azure portal と Azure CLI を使用します。
Azure CLI は、コマンドラインやスクリプトで Azure リソースを作成および管理するために使用します。 このチュートリアルでは、Windows Server 2019 を実行している仮想マシンをデプロイするための Azure CLI の使用について詳しく説明します。 デプロイが完了したら、サーバーに接続し、AD DS をインストールします。
Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
Azure CLI の使用
次のスクリプトでは、Azure で新しい Active Directory フォレストのドメイン コントローラーを構築するために、2 台の Windows Server 2019 VM を構築するプロセスを自動化します。 管理者は、以下の変数をニーズに合わせて変更し、1 つの操作として完了することができます。 このスクリプトでは、必要なリソース グループ、リモート デスクトップのトラフィック規則を使用するネットワーク セキュリティ グループ、仮想ネットワークとサブネット、および可用性グループを作成します。 その後、VM がそれぞれ 20 GB のデータ ディスクで構築され、インストールされる AD DS に対してキャッシュが無効になります。
以下のスクリプトは、Azure portal から直接実行できます。 CLI をローカルにインストールして使用する場合、このクイック スタートを実施するには、Azure CLI バージョン 2.0.4 以降を実行している必要があります。 バージョンを確認するには、az --version
を実行します。 インストールまたはアップグレードする必要がある場合は、「Azure CLI 2.0 のインストール」を参照してください。
変数名 | 目的 |
---|---|
AdminUsername | ローカル管理者として各 VM で構成されるユーザー名。 |
AdminPassword | ローカル管理者パスワードとして各 VM に構成されるクリア テキスト パスワード。 |
ResourceGroupName | リソース グループに使用される名前。 既存の名前と重複しないようにしてください。 |
場所 | デプロイ先の Azure の場所の名前。 az account list-locations を使用して、現在のサブスクリプションでサポートされているリージョンを一覧表示します。 |
VNetName | Azure 仮想ネットワークを割り当てる名前。既存の名前と重複しないようにしてください。 |
VNetAddress | Azure ネットワークに使用する IP スコープ。 既存の範囲と重複しないようにしてください。 |
SubnetName | IP サブネットを割り当てる名前。 既存の名前と重複しないようにしてください。 |
SubnetAddress | ドメイン コントローラーのサブネット アドレス。 VNet 内のサブネットである必要があります。 |
AvailabilitySet | ドメイン コントローラー VM が参加する可用性セットの名前。 |
VMSize | デプロイの場所で使用可能な Standard Azure VM のサイズ。 |
DataDiskSize | AD DS がインストールされるデータ ディスクのサイズ (GB 単位)。 |
DomainController1 | 最初のドメイン コントローラーの名前。 |
DC1IP | 最初のドメイン コントローラーの IP アドレス。 |
DomainController2 | 2 番目のドメイン コントローラーの名前。 |
DC2IP | 2 番目のドメイン コントローラーの IP アドレス。 |
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS と Active Directory
このプロセスの一環として作成される Azure 仮想マシンが既存のオンプレミス Active Directory インフラストラクチャを拡張したものになる場合は、デプロイ前に、仮想ネットワーク上の DNS 設定を変更してオンプレミスの DNS サーバーを含める必要があります。 この手順は、Azure で新しく作成されたドメイン コントローラーがオンプレミスのリソースを解決できるようにし、レプリケーションの実行を許可するために重要です。 DNS、Azure、および設定の構成方法について詳しくは、「独自の DNS サーバーを使用する名前解決」セクションを参照してください。
Azure で新しいドメイン コントローラーを昇格した後、仮想ネットワークのプライマリおよびセカンダリ DNS サーバーに設定する必要があります。オンプレミスの DNS サーバーは、3 番目以降に降格されます。 再起動されるまで、VM は現在の DNS 設定を使用し続けます。 DNS サーバーの変更の詳細については、「仮想ネットワークの作成、変更、削除」の記事を参照してください。
オンプレミス ネットワークを Azure に拡張する方法については、サイト間 VPN 接続の作成に関する記事を参照してください。
VM を構成し、Active Directory Domain Services をインストールする
スクリプトが完了した後、Azure portal、仮想マシンの順に移動します。
最初のドメイン コントローラーを構成する
スクリプトで指定した資格情報を使用して、AZDC01 に接続します。
- データ ディスクを初期化し、F: としてフォーマットする
- [スタート] メニューを開き、[コンピューターの管理] に移動する
- [ストレージ]>[ディスクの管理] の順に移動する
- ディスクを MBR として初期化する
- 新しいシンプル ボリュームを作成し、ドライブ文字 F: を割り当てる (必要に応じて、ボリューム ラベルを指定できます)
- サーバー マネージャーを使用して Active Directory Domain Services をインストールする
- ドメイン コントローラーを新しいフォレストの最初のものとして昇格させる
- [ドメイン コントローラー オプション] ページで、ドメイン ネーム システム (DNS) サーバーとグローバル カタログ (GC) をオンのままにする
- 組織の要件に基づいてディレクトリ サービス復元モードのパスワードを指定する
- パスを C: から変更し、場所の入力を求められたときに作成した F: ドライブを指すようにする
- ウィザードで行われた選択内容を確認し、[次へ] を選択する
注意
前提条件の確認では、物理ネットワーク アダプターに静的 IP アドレスが割り当てられていないという警告が表示されます。これは、静的 IP が Azure 仮想ネットワークで割り当てられるので無視しても問題はありません。
- [インストール] を選択する
ウィザードでインストール プロセスが完了すると、VM が再起動します。
VM の再起動が完了したら、前に使用した資格情報を使用してログインし直しますが、今回は作成したドメインのメンバーとしてログインします。
注意
ドメイン コントローラーへの昇格後の最初のログオンには通常よりも時間がかかる場合がありますが、これは問題ありません。 紅茶、コーヒー、水など、お好きな飲み物を一杯お飲みください。
現在、Azure 仮想ネットワークでは IPv6 がサポートされていますが、IPv6 よりも IPv4 を優先するように VM を設定する場合は、このタスクを完了する方法について、サポート技術情報の記事「高度なユーザー向け IPv6 Windows ガイダンス」を参照してください。
DNS を構成する
Azure で最初のサーバーを昇格した後、サーバーを仮想ネットワークのプライマリおよびセカンダリ DNS サーバーに設定する必要があります。オンプレミスの DNS サーバーは 3 番目以降に降格されます。 DNS サーバーの変更の詳細については、「仮想ネットワークの作成、変更、削除」の記事を参照してください。
2 番目のドメイン コントローラーを構成する
スクリプトで指定した資格情報を使用して、AZDC02 に接続します。
- データ ディスクを初期化し、F: としてフォーマットする
- [スタート] メニューを開き、[コンピューターの管理] に移動する
- [ストレージ]>[ディスクの管理] の順に移動する
- ディスクを MBR として初期化する
- 新しいシンプル ボリュームを作成し、ドライブ文字 F: を割り当てる (必要に応じて、ボリューム ラベルを指定できます)
- サーバー マネージャーを使用して Active Directory Domain Services をインストールする
- ドメイン コントローラーを昇格させる
- 既存のドメイン CONTOSO.com にドメイン コントローラーを追加する
- 操作を実行するための資格情報を指定する
- パスを C: から変更し、場所の入力を求められたときに作成した F: ドライブを指すようにする
- [ドメイン コントローラー オプション] ページで、ドメイン ネーム システム (DNS) サーバーとグローバル カタログ (GC) がオンになっていることを確かめる
- 組織の要件に基づいてディレクトリ サービス復元モードのパスワードを指定する
- ウィザードで行われた選択内容を確認し、[次へ] を選択する
注意
前提条件の確認では、物理ネットワーク アダプターに静的 IP アドレスが割り当てられていないという警告が表示されます。 これは、静的 IP が Azure 仮想ネットワークで割り当てられるので無視しても問題はありません。
- [インストール] を選択する
ウィザードでインストール プロセスが完了すると、VM が再起動します。
VM の再起動が完了したら、前に使用した資格情報でログインし直しますが、今回は CONTOSO.com ドメインのメンバーとしてログインします
現在、Azure 仮想ネットワークでは IPv6 がサポートされていますが、IPv6 よりも IPv4 を優先するように VM を設定する場合は、このタスクを完了する方法について、サポート技術情報の記事「高度なユーザー向け IPv6 Windows ガイダンス」を参照してください。
まとめ
この時点で、環境にはドメイン コントローラーのペアが含まれています。また、サーバーを環境にさらに追加できるように、Azure 仮想ネットワークを構成しました。 Active Directory Domain Services のインストール後のタスク (サイトとサービスの構成、監査、バックアップ、組み込みの管理者アカウントのセキュリティ保護など) は、この時点で完了している必要があります。
環境の削除
環境を削除する場合、テストが完了していれば、上記で作成したリソース グループを削除できます。 この手順では、そのリソース グループに含まれるすべてのコンポーネントを削除します。
Azure portal を使用して削除する
Azure portal から、[リソース グループ] に移動し、作成したリソース グループ (この例では ADonAzureVMs) を選び、[リソース グループの削除] を選択します。 このプロセスでは、リソース グループ内に含まれるすべてのリソースを削除する前に確認を求められます。
Azure CLI を使用して削除する
Azure CLI から、次のコマンドを実行します:
az group delete --name ADonAzureVMs