はじめに
目的
オンプレミスで稼働しているADサーバーのリプレイスに伴い、Azure上にADサーバーを構築するというケースがあります。
今回は、Azurez上に新規でADサーバーを構築する際にやっておきたい設定をまとめます。
対象者
この情報は、次の方々を対象としています:
- 企業のIT管理者の方
- SIerでサーバー移行を担当している方
- Azure VMを作成できる方
環境
- Azureのサブスクリプション
- Windows Server 2022 Azure Edition
1. Azure でWindows VM を作成した際に最低限やっておきたい初期設定
VMを作成したら、以下の記事に記載されている手順に従って初期設定を完了させます。
2.NTPサーバーの変更
Azure のWindows VMは通常、ホストサーバーから時刻を同期しています。
Kerberos認証を使用する場合、ドメインコントローラーとクライアント間で時刻のずれが生じると認証に失敗する可能性があります。
このような問題を防ぐためには、外部の時刻同期サーバーを参照するように設定を変更する必要があります。
現在の設定の確認
以下のコマンドを実行し、現在参照しているNTPサーバーを確認します。
現在の設定の確認
以下のコマンドを実行し、現在参照しているNTPサーバーを確認します。
w32tm /query /status /verbose
ソースで「VM IC Time Synchronization Provider」と表示されます。
これはホストサーバーをNTPサーバーとして参照しているということになります。
C:\Users\test-admin>w32tm /query /status
閏インジケーター: 0 (警告なし)
階層: 4 (二次参照 - (S)NTP で同期)
精度: -23 (ティックごとに 119.209ns)
ルート遅延: 0.0000788s
ルート分散: 0.0100002s
参照 ID: 0x564D5450 (ソース IP: 86.77.84.80)
最終正常同期時刻: 2023/11/16 16:31:25
ソース: VM IC Time Synchronization Provider ★
ポーリング間隔: 6 (64s)
仮想マシン統合サービスによるNTP同期を無効化
仮想マシン統合サービスによるNTP同期を無効にします。
以下のコマンドを実行し、レジストリの値を確認します。
以下のコマンドを実行し、レジストリの値を確認します。
reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
「Enabled」が0で無効、1で有効ですので現在は有効です。
C:\Users\test-admin>reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
DllName REGEXPANDSZ %SystemRoot%\System32\vmictimeprovider.dll
Enabled REG_DWORD 0x1 ★
InputProvider REG_DWORD 0x1
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider\Parameters
以下のコマンド実行し、仮想マシン統合サービスによるNTP同期を無効にします。
reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0
上書きメッセージが表示されるのでYesを入力してEnterを押します。
C:\Users\test-admin>reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0
値 Enabled は存在します。上書きしますか? (Yes/No) yes
この操作を正しく終了しました。
再度確認をします。
reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
「Enabled」が0になっているので無効化できました。
C:\Users\test-admin>reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
DllName REGEXPANDSZ %SystemRoot%\System32\vmictimeprovider.dll
Enabled REG_DWORD 0x0 ★
InputProvider REG_DWORD 0x1
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider\Parameters
NTPサービスを再起動して設定を反映します。
net stop w32time
net start w32time
以下のように実行結果が表示されます。
C:\Users\test-admin>net stop w32time
Windows Time サービスを停止中です.
Windows Time サービスは正常に停止されました。
C:\Users\test-admin>
C:\Users\test-admin>net start w32time
Windows Time サービスを開始します.
Windows Time サービスは正常に開始されました。
NTPサーバーの変更
外部のNTPサーバーを参照するように設定変更を行います。
以下のコマンドを実行して、「ntp.nict.jp」を参照するように変更します。
w32tm /config /update /manualpeerlist:”ntp.nict.jp,0x8” /syncfromflags:manual /reliable:yes
確認の為以下のコマンドを実行します。
w32tm /query /status
ソースが「ntp.nict.jp,0x8」に変わっていることが確認できます。
C:\Users\test-admin>w32tm /query /status
閏インジケーター: 0 (警告なし)
階層: 2 (二次参照 - (S)NTP で同期)
精度: -23 (ティックごとに 119.209ns)
ルート遅延: 0.0022026s
ルート分散: 3.7613705s
参照 ID: 0x85F3EEA3 (ソース IP: 133.243.238.163)
最終正常同期時刻: 2023/11/16 16:48:50
ソース: ntp.nict.jp,0x8
ポーリング間隔: 6 (64s)
3.Active Directory を構築する
サーバーにActive Directoryの機能を追加します。
この手順はオンプレミス等でADサーバーを構築する際と変わりありません。
Active Directory の機能を有効化する
1. 対象のVMに接続します。
2. サーバーマネージャーを開きます。
3. 「役割と機能の追加」を選択します。
1. 「開始する前に」の画面が開きます。
2. 「次へ」を選択します。
1. 「インストールの種類の選択」の画面が開きます。
2. 「役割ベースまたは機能ベースのインストール」を選択します。
3. 「次へ」を選択します。
1. 「対象サーバーの選択」の画面が開きます。
2. 今接続が選択されていることを確認します。
3. 「次へ」を選択します。
1. 「サーバーの役割の追加」の画面が開きます。
2. 「Active Directory ドメイン サービス」を選択します。
3. 「Active Directory ドメイン サービスに必要な機能を追加しますか?」の画面が開きます。
4. 「管理ツールを含める(存在する場合)」にチェックをいれます。
5. 「機能の追加」を選択します。
1. 「Active Directory ドメイン サービス」にチェックが入っていることを確認します。
2. 「次へ」を選択します。
1. 「機能の選択」の画面が開きます。
2. ここは今回使いませんので、デフォルトのまま「次へ」を選択します。
1. 「Active Directory ドメイン サービス」の画面が開きます。
2. 「次へ」を選択します。
1. 「インストール オプションの確認」の画面が開きます。
2. 「インストール」を選択します。
3. 機能のインストールが終わるまで待ちます。
ドメインコントローラーへ昇格
1. 機能のインストールが完了したことが確認できます。
2. 「このサーバーをドメイン コントローラーに昇格する」を選択します。
1. 「配置構成」の画面が開きます。
2. 今回は新規のADサーバー構築となるので「新しいフォレストを追加する」を選択します。
3. 「ルートドメイン」を入力します。
4. 「次へ」を選択します。
1. 「ドメイン コントローラー オプション」の画面が開きます。
2. 「ディレクトリ サービス復元モード」のパスワードを入力します。
3. パスワードは忘れないように別の場所保管します。
4. 「次へ」を選択します。
1. 「DNS オプション」の画面が開きます。
2. 「次へ」を選択します。
1. 「追加オプション」の画面が開きます。
2. 「NetBIOS ドメイン名」が自動で割り振られます。
3. 問題なければ、「次へ」を選択します。
1. 「パス」の画面が開きます。
2. 「データベース」「ログ」「SYSVOL」のフォルダを作成するパスを選択できます。
3. このVMはOSディスクのホストキャッシュを「なし」に変更しているのでパスはデフォルトのままにします。
4. ※ログファイルのフォルダサイズが大きくなる場合やOSディスクのホストキャッシュを無効にしない場合、追加ディスクを割り当て、そちらにパスを指定します。
5. 「次へ」を選択します。
1. 「オプションの確認」の画面が開きます。
2. 意図した設定値になっているか確認します。
3. 「次へ」を選択します。
1. 「前提条件のチェック」の画面が開きます。
2. 前提条件のチェックで合格していることを確認します。
3. 「インストール」を選択します。
1. インストールが始まるので完了まで待ちます。
2. 完了すると自動で再起動します。
OUとグループとユーザーを作成する
最後にOUとグループとユーザーを作成します。
1. 再起動が終了したらVMに接続します。
2. 「サーバーマネージャー」を開きます。
3. 右上の「ツール」を選択します。
4. 「Active Directory ユーザーとコンピューター」を選択します。
1. 対象のドメインで右クリックします。
2. 「新規作成」を選択します。
3. 「組織単位(OU)」を選択します。
1. 名前で任意の値を入力します。
2. 「OK」を選択します。
1. 作成したOUを開きます。
2. 上部で人のアイコンを選択します。
3. 各項目入力します。
4. 「次へ」を選択します。
1. パスワードを入力します。
2. 「パスワードを無制限にする」を選択します。
3. 「次へ」を選択します。
1. 「完了」を選択します。
1. 同様の手順でユーザーを3名作成します。
1. 作成したOUを開きます。
2. 複数人写ったアイコンを選択します。
1. グループ名を入力します。
2. 他の値はデフォルトでOKです。
3. 「OK」を選択します。
1. 作成したグループをダブルクリックします。
2. 「メンバーのタブ」を選択します。
3. 「追加」を選択します。
1. 「選択するオブジェクト名を入力してください」で作成したユーザーの一部を入力します。
2. 「名前の確認」を選択します。
1. グループに追加するユーザーを選択します。
2. 「OK」を選択します。
1. 「選択するオブジェクト名を入力してください」に先程選択したユーザーが追加されていることを確認します。
2. 「OK」を選択します。
1. メンバーが追加されていることが確認できます。
2. 「OK」を選択して画面を閉じます。
4.仮想ネットワークのDNSサーバー変更
仮想ネットワークで使用するDNSサーバーをAzureの既定のものから、ADサーバーに変更します。
この設定を行うことで仮想ネットワーク内の他のVMはドメイン参加を行うことが可能となります。
ADサーバーのIPアドレス確認
DNSサーバーにADサーバーのプライベートIPアドレスを指定するので確認します。
1. Azure Portalで操作します。
2. ADサーバーのVMを開きます。
3. 左のメニューで「概要」を開きます。
4. 「プライベートIPアドレス」の値を控えます。
1. ADサーバーがある仮想ネットワークを開きます。
2. 左のメニューから「DNSサーバー」を選択します。
3. DNSサーバーで「カスタム」を選択します。
4. IPアドレスで先程控えた「ADサーバーのプライベートIPアドレス」と「168.63.129.16」を入力します。
5. IP アドレス 168.63.129.16 とは | Microsoft Learn
6. 「保存」を選択します。
まとめ、所感
Azure上にADサーバーを構築する際にやっておきたい設定をまとめました。
今回は新規構築ですので比較的簡単ですが、既存からの移行の場合はFSMOの移行などの操作が追加で発生します。
参考
Active DirectoryのNTP設定について | LIGLOG INFRA JOURNAL (lig-log.com)
Azure での Windows VM の時刻同期 - Azure Virtual Machines | Microsoft Learn