Azure

Active Directory Domain Services に仮想マシンを参加する

はじめに

Active Directory Domain Services(ADDS)を作成して仮想マシンを参加させていきます。

ログインの管理など様々なシーンでADDSを利用すると思います。

Microsoft Entra Domain Services のドキュメント - Microsoft Entra ID | Microsoft Learn
Microsoft Entra Domain Services のドキュメント - Microsoft Entra ID | Microsoft Learn

Microsoft Entra Domain Services を使用して、Kerberos または NTLM 認証をアプリケーションに提供する方法、または Azure VM をマネージド ドメインに ...

learn.microsoft.com

ADDSの作成は非常に簡単です。

チュートリアル: Microsoft Entra Domain Services マネージド ドメインを作成する - Microsoft Entra ID | Microsoft Learn
チュートリアル: Microsoft Entra Domain Services マネージド ドメインを作成する - Microsoft Entra ID | Microsoft Learn

このチュートリアルでは、Microsoft Entra 管理センターを使用して Microsoft Entra Domain Services のマネージド ドメインを作成して構成する方法について説明 ...

learn.microsoft.com

ADDSの作成

Azure AD Domain Serviceを作成します。

「基本」でDNS ドメイン名を指定します。通常は、そのまま入力されてるonmicrosoft.comを指定します。自分で指定することもできますが別途DNSの設定が必要です。

 

リージョン、SKUを指定します。SKUについては下記を参考にしてください。

価格 - Microsoft Entra Domain Services | Microsoft Azure
価格 - Microsoft Entra Domain Services | Microsoft Azure

Microsoft Entra Domain Services は、ドメイン参加、LDAP、Kerberos、Windows 統合認証、グループ ポリシーなどの、スケーラブルでハイパフォーマンスな、マ ...

azure.microsoft.com

フォレストはユーザーを指定します。

今回は、Domainサービスとしてだけ利用するためStandardにしています。

 

次にADDSの管理者を指定します。管理者はグループ AAD DC Administrators(自動作成)にAADユーザーを追加します。

 

次にADDSのユーザーを追加します。これは、AADからユーザーを同期します。

種類は、すべてのユーザーを追加するか、範囲を指定することができます。範囲はAADのグループです。

指定するグループは事前に作成しておく必要があります。ここでは AAD DC Membersを作成しユーザーを追加しています。

範囲として事前に作成したグループを指定します。AAD DC Administratorsは自動的に追加されています。

追加されたグループを確認できます。

セキュリティ設定はそのままで利用します。

あとは作成します。

作成する前に下記のように注意事項が表示されます。

利用できるようになるまでは、しばらく時間がかかります。また利用できるようになって最初には下記のように問題が検出されます。

構成を診断します。

問題はDNSレコードです。VNETに指定するのが一般的です。個別に仮想マシンなどに指定することも可能です。

VNETを開きDNSサーバーを開き、指定されたIPアドレスを指定します。

あとは仮想マシンを起動してドメインに参加します。

参加するときのユーザーはメンバーで参加できます。

参加を確認したら再起動します。

リモートデスクトップで接続を行うためNSGの設定を行う必要があります。

RDPに対して対象を許可します。

ここで注目すべきはCorpNetSawがサービスタグとして登録されています。しかし、ポータルではこれは認識されません。

あまり詳しい説明は見当たりませんが下記を参考にしてみてください。

CorpNetSaw and CorpNetPublic are not valid service tags in NSG · Issue #59525 · MicrosoftDocs/azure-docs · GitHub
CorpNetSaw and CorpNetPublic are not valid service tags in NSG · Issue #59525 · MicrosoftDocs/azure-docs · GitHub

CorpNetSaw and CorpNetPublic are not valid service tags in NSG. Are there any other service tags tha ...

github.com

リモートデスクトップで仮想マシンに接続する場合は下記を参考にしてください。

Active Directory Domain Services に参加した仮想マシンにリモートデスクトップで接続する - 技術的な何か。
Active Directory Domain Services に参加した仮想マシンにリモートデスクトップで接続する - 技術的な何か。

はじめに Active Directory Domain Services に参加した仮想マシンにリモートデスクトップで接続するを行う場合には下記のようなエラーがでます。 このユーザー アカウントはリ

level69.net

まとめ

ADDSは非常に簡単に作成し利用できます。利用シーンは多いと思いますので、一度は確認しておくべきサービスです。また、作成にリードタイムが長いので注意も必要です。

-Azure
-