Azure 上にADサーバーを構築する際にやっておきたい4つの設定

C:\Users\test-admin>w32tm /query /status
閏インジケーター: 0 (警告なし)
階層: 4 (二次参照 - (S)NTP で同期)
精度: -23 (ティックごとに 119.209ns)
ルート遅延: 0.0000788s
ルート分散: 0.0100002s
参照 ID: 0x564D5450 (ソース IP: 86.77.84.80)
最終正常同期時刻: 2023/11/16 16:31:25
ソース: VM IC Time Synchronization Provider　★
ポーリング間隔: 6 (64s)

仮想マシン統合サービスによるNTP同期を無効化

仮想マシン統合サービスによるNTP同期を無効にします。

以下のコマンドを実行し、レジストリの値を確認します。

reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

「Enabled」が0で無効、1で有効ですので現在は有効です。

C:\Users\test-admin>reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
DllName REGEXPANDSZ %SystemRoot%\System32\vmictimeprovider.dll
Enabled REG_DWORD 0x1　★
InputProvider REG_DWORD 0x1
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider\Parameters

以下のコマンド実行し、仮想マシン統合サービスによるNTP同期を無効にします。

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0

上書きメッセージが表示されるのでYesを入力してEnterを押します。

C:\Users\test-admin>reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0
値 Enabled は存在します。上書きしますか? (Yes/No) yes
この操作を正しく終了しました。

再度確認をします。

reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

「Enabled」が0になっているので無効化できました。

C:\Users\test-admin>reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
DllName REGEXPANDSZ %SystemRoot%\System32\vmictimeprovider.dll
Enabled REG_DWORD 0x0 ★
InputProvider REG_DWORD 0x1
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider\Parameters

NTPサービスを再起動して設定を反映します。

net stop w32time

net start w32time

以下のように実行結果が表示されます。

C:\Users\test-admin>net stop w32time
Windows Time サービスを停止中です.
Windows Time サービスは正常に停止されました。
C:\Users\test-admin>
C:\Users\test-admin>net start w32time
Windows Time サービスを開始します.
Windows Time サービスは正常に開始されました。

NTPサーバーの変更

外部のNTPサーバーを参照するように設定変更を行います。

以下のコマンドを実行して、「ntp.nict.jp」を参照するように変更します。

w32tm /config /update /manualpeerlist:”ntp.nict.jp,0x8” /syncfromflags:manual /reliable:yes

確認の為以下のコマンドを実行します。

w32tm /query /status

ソースが「ntp.nict.jp,0x8」に変わっていることが確認できます。

C:\Users\test-admin>w32tm /query /status
閏インジケーター: 0 (警告なし)
階層: 2 (二次参照 - (S)NTP で同期)
精度: -23 (ティックごとに 119.209ns)
ルート遅延: 0.0022026s
ルート分散: 3.7613705s
参照 ID: 0x85F3EEA3 (ソース IP: 133.243.238.163)
最終正常同期時刻: 2023/11/16 16:48:50
ソース: ntp.nict.jp,0x8
ポーリング間隔: 6 (64s)

3.Active Directory を構築する

サーバーにActive Directoryの機能を追加します。

この手順はオンプレミス等でADサーバーを構築する際と変わりありません。

Active Directory の機能を有効化する

1. 対象のVMに接続します。
2. サーバーマネージャーを開きます。
3. 「役割と機能の追加」を選択します。

1. 「開始する前に」の画面が開きます。
2. 「次へ」を選択します。

1. 「インストールの種類の選択」の画面が開きます。
2. 「役割ベースまたは機能ベースのインストール」を選択します。
3. 「次へ」を選択します。

1. 「対象サーバーの選択」の画面が開きます。
2. 今接続が選択されていることを確認します。
3. 「次へ」を選択します。

1. 「サーバーの役割の追加」の画面が開きます。
2. 「Active Directory ドメインサービス」を選択します。
3. 「Active Directory ドメインサービスに必要な機能を追加しますか？」の画面が開きます。
4. 「管理ツールを含める（存在する場合）」にチェックをいれます。
5. 「機能の追加」を選択します。

1. 「Active Directory ドメインサービス」にチェックが入っていることを確認します。
2. 「次へ」を選択します。

1. 「機能の選択」の画面が開きます。
2. ここは今回使いませんので、デフォルトのまま「次へ」を選択します。

1. 「Active Directory ドメインサービス」の画面が開きます。
2. 「次へ」を選択します。

1. 「インストールオプションの確認」の画面が開きます。
2. 「インストール」を選択します。
3. 機能のインストールが終わるまで待ちます。

ドメインコントローラーへ昇格

1. 機能のインストールが完了したことが確認できます。
2. 「このサーバーをドメインコントローラーに昇格する」を選択します。

1. 「配置構成」の画面が開きます。
2. 今回は新規のADサーバー構築となるので「新しいフォレストを追加する」を選択します。
3. 「ルートドメイン」を入力します。
4. 「次へ」を選択します。

1. 「ドメインコントローラーオプション」の画面が開きます。
2. 「ディレクトリサービス復元モード」のパスワードを入力します。
3. パスワードは忘れないように別の場所保管します。
4. 「次へ」を選択します。

1. 「DNS オプション」の画面が開きます。
2. 「次へ」を選択します。

1. 「追加オプション」の画面が開きます。
2. 「NetBIOS ドメイン名」が自動で割り振られます。
3. 問題なければ、「次へ」を選択します。

1. 「パス」の画面が開きます。
2. 「データベース」「ログ」「SYSVOL」のフォルダを作成するパスを選択できます。
3. このVMはOSディスクのホストキャッシュを「なし」に変更しているのでパスはデフォルトのままにします。
4. ※ログファイルのフォルダサイズが大きくなる場合やOSディスクのホストキャッシュを無効にしない場合、追加ディスクを割り当て、そちらにパスを指定します。
5. 「次へ」を選択します。

1. 「オプションの確認」の画面が開きます。
2. 意図した設定値になっているか確認します。
3. 「次へ」を選択します。

1. 「前提条件のチェック」の画面が開きます。
2. 前提条件のチェックで合格していることを確認します。
3. 「インストール」を選択します。

1. インストールが始まるので完了まで待ちます。
2. 完了すると自動で再起動します。

OUとグループとユーザーを作成する

最後にOUとグループとユーザーを作成します。

1. 再起動が終了したらVMに接続します。
2. 「サーバーマネージャー」を開きます。
3. 右上の「ツール」を選択します。
4. 「Active Directory ユーザーとコンピューター」を選択します。

1. 対象のドメインで右クリックします。
2. 「新規作成」を選択します。
3. 「組織単位（OU）」を選択します。

1. 名前で任意の値を入力します。
2. 「OK」を選択します。

1. 作成したOUを開きます。
2. 上部で人のアイコンを選択します。
3. 各項目入力します。
4. 「次へ」を選択します。

1. パスワードを入力します。
2. 「パスワードを無制限にする」を選択します。
3. 「次へ」を選択します。

1. 「完了」を選択します。

1. 同様の手順でユーザーを3名作成します。

1. 作成したOUを開きます。
2. 複数人写ったアイコンを選択します。

1. グループ名を入力します。
2. 他の値はデフォルトでOKです。
3. 「OK」を選択します。

1. 作成したグループをダブルクリックします。
2. 「メンバーのタブ」を選択します。
3. 「追加」を選択します。

1. 「選択するオブジェクト名を入力してください」で作成したユーザーの一部を入力します。
2. 「名前の確認」を選択します。

1. グループに追加するユーザーを選択します。
2. 「OK」を選択します。

1. 「選択するオブジェクト名を入力してください」に先程選択したユーザーが追加されていることを確認します。
2. 「OK」を選択します。

1. メンバーが追加されていることが確認できます。
2. 「OK」を選択して画面を閉じます。

4.仮想ネットワークのDNSサーバー変更

仮想ネットワークで使用するDNSサーバーをAzureの既定のものから、ADサーバーに変更します。

この設定を行うことで仮想ネットワーク内の他のVMはドメイン参加を行うことが可能となります。

ADサーバーのIPアドレス確認

DNSサーバーにADサーバーのプライベートIPアドレスを指定するので確認します。

1. Azure Portalで操作します。
2. ADサーバーのVMを開きます。
3. 左のメニューで「概要」を開きます。
4. 「プライベートIPアドレス」の値を控えます。

1. ADサーバーがある仮想ネットワークを開きます。
2. 左のメニューから「DNSサーバー」を選択します。
3. DNSサーバーで「カスタム」を選択します。
4. IPアドレスで先程控えた「ADサーバーのプライベートIPアドレス」と「168.63.129.16」を入力します。
5. IP アドレス 168.63.129.16 とは | Microsoft Learn
6. 「保存」を選択します。