Site cover image

🐧 きまぐれクラウド日記

NotionをヘッドレスCMSとして利用しています。 AzureとMirosoft 365 に関することを備忘録と頭の整理の為に書いていきます。

🐧 Azure 上にADサーバーを構築する際にやっておきたい4つの設定

はじめに

目的

オンプレミスで稼働しているADサーバーのリプレイスに伴い、Azure上にADサーバーを構築するというケースがあります。

今回は、Azurez上に新規でADサーバーを構築する際にやっておきたい設定をまとめます。


対象者

この情報は、次の方々を対象としています:

  • 企業のIT管理者の方
  • SIerでサーバー移行を担当している方
  • Azure VMを作成できる方

環境

  • Azureのサブスクリプション
  • Windows Server 2022 Azure Edition

1. Azure でWindows VM を作成した際に最低限やっておきたい初期設定

VMを作成したら、以下の記事に記載されている手順に従って初期設定を完了させます。

2.NTPサーバーの変更

Azure のWindows VMは通常、ホストサーバーから時刻を同期しています。

Kerberos認証を使用する場合、ドメインコントローラーとクライアント間で時刻のずれが生じると認証に失敗する可能性があります。

このような問題を防ぐためには、外部の時刻同期サーバーを参照するように設定を変更する必要があります。


現在の設定の確認

以下のコマンドを実行し、現在参照しているNTPサーバーを確認します。

現在の設定の確認

以下のコマンドを実行し、現在参照しているNTPサーバーを確認します。

w32tm /query /status /verbose

ソースで「VM IC Time Synchronization Provider」と表示されます。

これはホストサーバーをNTPサーバーとして参照しているということになります。

C:\Users\test-admin>w32tm /query /status
閏インジケーター: 0 (警告なし)
階層: 4 (二次参照 - (S)NTP で同期)
精度: -23 (ティックごとに 119.209ns)
ルート遅延: 0.0000788s
ルート分散: 0.0100002s
参照 ID: 0x564D5450 (ソース IP: 86.77.84.80)
最終正常同期時刻: 2023/11/16 16:31:25
ソース: VM IC Time Synchronization Provider ★
ポーリング間隔: 6 (64s)

仮想マシン統合サービスによるNTP同期を無効化

仮想マシン統合サービスによるNTP同期を無効にします。

以下のコマンドを実行し、レジストリの値を確認します。

以下のコマンドを実行し、レジストリの値を確認します。

reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

「Enabled」が0で無効、1で有効ですので現在は有効です。

C:\Users\test-admin>reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
DllName REGEXPANDSZ %SystemRoot%\System32\vmictimeprovider.dll
Enabled REG_DWORD 0x1 ★
InputProvider REG_DWORD 0x1
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider\Parameters

以下のコマンド実行し、仮想マシン統合サービスによるNTP同期を無効にします。

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0

上書きメッセージが表示されるのでYesを入力してEnterを押します。

C:\Users\test-admin>reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0
値 Enabled は存在します。上書きしますか? (Yes/No) yes
この操作を正しく終了しました。

再度確認をします。

reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

「Enabled」が0になっているので無効化できました。

C:\Users\test-admin>reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
DllName REGEXPANDSZ %SystemRoot%\System32\vmictimeprovider.dll
Enabled REG_DWORD 0x0 ★
InputProvider REG_DWORD 0x1
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider\Parameters

NTPサービスを再起動して設定を反映します。

net stop w32time

net start w32time

以下のように実行結果が表示されます。

C:\Users\test-admin>net stop w32time
Windows Time サービスを停止中です.
Windows Time サービスは正常に停止されました。
C:\Users\test-admin>
C:\Users\test-admin>net start w32time
Windows Time サービスを開始します.
Windows Time サービスは正常に開始されました。

NTPサーバーの変更

外部のNTPサーバーを参照するように設定変更を行います。

以下のコマンドを実行して、「ntp.nict.jp」を参照するように変更します。

w32tm /config /update /manualpeerlist:”ntp.nict.jp,0x8/syncfromflags:manual /reliable:yes

確認の為以下のコマンドを実行します。

w32tm /query /status

ソースが「ntp.nict.jp,0x8」に変わっていることが確認できます。

C:\Users\test-admin>w32tm /query /status
閏インジケーター: 0 (警告なし)
階層: 2 (二次参照 - (S)NTP で同期)
精度: -23 (ティックごとに 119.209ns)
ルート遅延: 0.0022026s
ルート分散: 3.7613705s
参照 ID: 0x85F3EEA3 (ソース IP: 133.243.238.163)
最終正常同期時刻: 2023/11/16 16:48:50
ソース: ntp.nict.jp,0x8
ポーリング間隔: 6 (64s)

3.Active Directory を構築する

サーバーにActive Directoryの機能を追加します。

この手順はオンプレミス等でADサーバーを構築する際と変わりありません。

Active Directory の機能を有効化する

Image in a image block

1. 対象のVMに接続します。
2. サーバーマネージャーを開きます。
3. 「役割と機能の追加」を選択します。

Image in a image block

1. 「開始する前に」の画面が開きます。
2. 「次へ」を選択します。

Image in a image block

1. 「インストールの種類の選択」の画面が開きます。
2. 「役割ベースまたは機能ベースのインストール」を選択します。
3. 「次へ」を選択します。

Image in a image block

1. 「対象サーバーの選択」の画面が開きます。
2. 今接続が選択されていることを確認します。
3. 「次へ」を選択します。

Image in a image block

1. 「サーバーの役割の追加」の画面が開きます。
2. 「Active Directory ドメイン サービス」を選択します。
3. 「Active Directory ドメイン サービスに必要な機能を追加しますか?」の画面が開きます。
4. 「管理ツールを含める(存在する場合)」にチェックをいれます。
5. 「機能の追加」を選択します。

Image in a image block

1. 「Active Directory ドメイン サービス」にチェックが入っていることを確認します。
2. 「次へ」を選択します。

Image in a image block

1. 「機能の選択」の画面が開きます。
2. ここは今回使いませんので、デフォルトのまま「次へ」を選択します。

Image in a image block

1. 「Active Directory ドメイン サービス」の画面が開きます。
2. 「次へ」を選択します。

Image in a image block

1. 「インストール オプションの確認」の画面が開きます。
2. 「インストール」を選択します。
3. 機能のインストールが終わるまで待ちます。

ドメインコントローラーへ昇格

Image in a image block

1. 機能のインストールが完了したことが確認できます。
2. 「このサーバーをドメイン コントローラーに昇格する」を選択します。

Image in a image block

1. 「配置構成」の画面が開きます。
2. 今回は新規のADサーバー構築となるので「新しいフォレストを追加する」を選択します。
3. 「ルートドメイン」を入力します。
4. 「次へ」を選択します。

Image in a image block

1. 「ドメイン コントローラー オプション」の画面が開きます。
2. 「ディレクトリ サービス復元モード」のパスワードを入力します。
3. パスワードは忘れないように別の場所保管します。
4. 「次へ」を選択します。

Image in a image block

1. 「DNS オプション」の画面が開きます。
2. 「次へ」を選択します。

Image in a image block

1. 「追加オプション」の画面が開きます。
2. 「NetBIOS ドメイン名」が自動で割り振られます。
3. 問題なければ、「次へ」を選択します。

Image in a image block

1. 「パス」の画面が開きます。
2. 「データベース」「ログ」「SYSVOL」のフォルダを作成するパスを選択できます。
3. このVMはOSディスクのホストキャッシュを「なし」に変更しているのでパスはデフォルトのままにします。
4. ※ログファイルのフォルダサイズが大きくなる場合やOSディスクのホストキャッシュを無効にしない場合、追加ディスクを割り当て、そちらにパスを指定します。
5. 「次へ」を選択します。

Image in a image block

1. 「オプションの確認」の画面が開きます。
2. 意図した設定値になっているか確認します。
3. 「次へ」を選択します。

Image in a image block

1. 「前提条件のチェック」の画面が開きます。
2. 前提条件のチェックで合格していることを確認します。
3. 「インストール」を選択します。

Image in a image block

1. インストールが始まるので完了まで待ちます。
2. 完了すると自動で再起動します。

OUとグループとユーザーを作成する

最後にOUとグループとユーザーを作成します。

Image in a image block

1. 再起動が終了したらVMに接続します。
2. 「サーバーマネージャー」を開きます。
3. 右上の「ツール」を選択します。
4. 「Active Directory ユーザーとコンピューター」を選択します。

Image in a image block

1. 対象のドメインで右クリックします。
2. 「新規作成」を選択します。
3. 「組織単位(OU)」を選択します。

Image in a image block

1. 名前で任意の値を入力します。
2. 「OK」を選択します。

Image in a image block

1. 作成したOUを開きます。
2. 上部で人のアイコンを選択します。
3. 各項目入力します。
4. 「次へ」を選択します。

Image in a image block

1. パスワードを入力します。
2. 「パスワードを無制限にする」を選択します。
3. 「次へ」を選択します。

Image in a image block

1. 「完了」を選択します。

Image in a image block

1. 同様の手順でユーザーを3名作成します。

Image in a image block

1. 作成したOUを開きます。
2. 複数人写ったアイコンを選択します。

Image in a image block

1. グループ名を入力します。
2. 他の値はデフォルトでOKです。
3. 「OK」を選択します。

Image in a image block

1. 作成したグループをダブルクリックします。
2. 「メンバーのタブ」を選択します。
3. 「追加」を選択します。

Image in a image block

1. 「選択するオブジェクト名を入力してください」で作成したユーザーの一部を入力します。
2. 「名前の確認」を選択します。

Image in a image block

1. グループに追加するユーザーを選択します。
2. 「OK」を選択します。

Image in a image block

1. 「選択するオブジェクト名を入力してください」に先程選択したユーザーが追加されていることを確認します。
2. 「OK」を選択します。

Image in a image block

1. メンバーが追加されていることが確認できます。
2. 「OK」を選択して画面を閉じます。

4.仮想ネットワークのDNSサーバー変更

仮想ネットワークで使用するDNSサーバーをAzureの既定のものから、ADサーバーに変更します。

この設定を行うことで仮想ネットワーク内の他のVMはドメイン参加を行うことが可能となります。

ADサーバーのIPアドレス確認

DNSサーバーにADサーバーのプライベートIPアドレスを指定するので確認します。

Image in a image block

1. Azure Portalで操作します。
2. ADサーバーのVMを開きます。
3. 左のメニューで「概要」を開きます。
4. 「プライベートIPアドレス」の値を控えます。

Image in a image block

1. ADサーバーがある仮想ネットワークを開きます。
2. 左のメニューから「DNSサーバー」を選択します。
3. DNSサーバーで「カスタム」を選択します。
4. IPアドレスで先程控えた「ADサーバーのプライベートIPアドレス」と「168.63.129.16」を入力します。
5. IP アドレス 168.63.129.16 とは | Microsoft Learn
6. 「保存」を選択します。

まとめ、所感

Azure上にADサーバーを構築する際にやっておきたい設定をまとめました。

今回は新規構築ですので比較的簡単ですが、既存からの移行の場合はFSMOの移行などの操作が追加で発生します。

参考

Active DirectoryのNTP設定について | LIGLOG INFRA JOURNAL (lig-log.com)

Azure での Windows VM の時刻同期 - Azure Virtual Machines | Microsoft Learn

【Azure】Windows仮想マシンのNTP参照について | ぴぐろぐ (pig-log.com)

IP アドレス 168.63.129.16 とは | Microsoft Learn