チュートリアル:Azure Active Directory Domain Services のマネージド ドメインに Windows Server 仮想マシンを参加させるTutorial: Join a Windows Server virtual machine to an Azure Active Directory Domain Services managed domain

Azure Active Directory Domain Services (Azure AD DS) では、Windows Server Active Directory と完全に互換性のあるマネージド ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、Kerberos 認証、NTLM 認証など) が提供されます。Azure Active Directory Domain Services (Azure AD DS) provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that is fully compatible with Windows Server Active Directory. Azure AD DS マネージド ドメインを使用すると、ドメイン参加の機能と管理を Azure の仮想マシン (VM) に提供することができます。With an Azure AD DS managed domain, you can provide domain join features and management to virtual machines (VMs) in Azure. このチュートリアルでは、Windows Server VM を作成した後、それをマネージド ドメインに参加させる方法を示します。This tutorial shows you how to create a Windows Server VM then join it to a managed domain.

このチュートリアルでは、以下の内容を学習します。In this tutorial, you learn how to:

  • Windows Server VM を作成するCreate a Windows Server VM
  • Windows Server VM を Azure 仮想ネットワークに接続するConnect the Windows Server VM to an Azure virtual network
  • VM をマネージド ドメインに参加させるJoin the VM to the managed domain

Azure サブスクリプションをお持ちでない場合は、始める前にアカウントを作成してください。If you don't have an Azure subscription, create an account before you begin.

前提条件Prerequisites

このチュートリアルを完了するには、以下のリソースが必要です。To complete this tutorial, you need the following resources:

ドメインに参加させる VM が既にある場合は、VM をマネージド ドメインに参加させる方法についてのセクションに進んでください。If you already have a VM that you want to domain-join, skip to the section to join the VM to the managed domain.

Azure portal にサインインするSign in to the Azure portal

このチュートリアルでは、Azure portal を使用して、マネージド ドメインに参加させる Windows Server VM を作成します。In this tutorial, you create a Windows Server VM to join to your managed domain using the Azure portal. 最初に、Azure portal にサインインします。To get started, first sign in to the Azure portal.

Windows Server 仮想マシンを作成するCreate a Windows Server virtual machine

コンピューターをマネージド ドメインに参加させる方法を確認するため、Windows Server VM を作成しましょう。To see how to join a computer to a managed domain, let's create a Windows Server VM. この VM は、マネージド ドメインへの接続を提供する Azure 仮想ネットワークに接続されます。This VM is connected to an Azure virtual network that provides connectivity to the managed domain. マネージド ドメインに参加するプロセスは、通常のオンプレミスの Active Directory Domain Services ドメインに参加する場合と同じです。The process to join a managed domain is the same as joining a regular on-premises Active Directory Domain Services domain.

ドメインに参加させる VM が既にある場合は、VM をマネージド ドメインに参加させる方法についてのセクションに進んでください。If you already have a VM that you want to domain-join, skip to the section to join the VM to the managed domain.

  1. Azure portal メニューまたは [ホーム] ページで、 [リソースの作成] を選択します。From the Azure portal menu or from the Home page, select Create a resource.

  2. [作業の開始][Windows Server 2016 Datacenter] を選択します。From Get started, choose Windows Server 2016 Datacenter.

    Azure portal で Windows Server 2016 Datacenter VM を選択して作成する

  3. [基本] ウィンドウで、仮想マシンのコア設定を構成します。In the Basics window, configure the core settings for the virtual machine. [可用性オプション][イメージ][サイズ] は、既定のままにしておきます。Leave the defaults for Availability options, Image, and Size.

    パラメーターParameter 推奨値Suggested value
    Resource groupResource group リソース グループを選択または作成します (myResourceGroup など)Select or create a resource group, such as myResourceGroup
    仮想マシン名Virtual machine name VM の名前を入力します (myVM など)Enter a name for the VM, such as myVM
    リージョンRegion VM を作成するリージョンを選択します ("米国東部" など)Choose the region to create your VM in, such as East US
    ユーザー名Username VM 上に作成するローカル管理者アカウントのユーザー名を入力します (azureuser など)Enter a username for the local administrator account to create on the VM, such as azureuser
    PasswordPassword VM 上に作成するローカル管理者の安全なパスワードを入力し、確認します。Enter, and then confirm, a secure password for the local administrator to create on the VM. ドメイン ユーザー アカウントの資格情報は指定しないでください。Don't specify a domain user account's credentials.
  4. 既定では、Azure に作成された VM にインターネットから RDP を使用してアクセスすることができます。By default, VMs created in Azure are accessible from the Internet using RDP. RDP が有効になっていると、自動サインイン攻撃が発生する可能性があります。これにより、サインインの試行が複数回連続して失敗するため、adminadministrator などの一般的な名前を持つアカウントが無効になる場合があります。When RDP is enabled, automated sign-in attacks are likely to occur, which may disable accounts with common names such as admin or administrator due to multiple failed successive sign-in attempts.

    RDP は、必要な場合にのみ有効にし、承認された IP 範囲のセットに限定する必要があります。RDP should only be enabled when required, and limited to a set of authorized IP ranges. この構成により、VM のセキュリティが向上し、攻撃される可能性がある領域が減少します。This configuration helps improve the security of the VM and reduces the area for potential attack. または、Azure Bastion ホストを作成、使用して、TLS を介した Azure portal 経由のアクセスのみを許可することもできます。Or, create and use an Azure Bastion host that allows access only through the Azure portal over TLS. このチュートリアルの次の手順では、Azure Bastion ホストを使用して安全に VM に接続します。In the next step of this tutorial, you use an Azure Bastion host to securely connect to the VM.

    [パブリック受信ポート][なし] を選択します。Under Public inbound ports, select None.

  5. 完了したら、 [次へ: ディスク] を選択します。When done, select Next: Disks.

  6. [OS ディスクの種類] のドロップダウン メニューから [Standard SSD] を選択し、 [次へ: ネットワーク] を選択します。From the drop-down menu for OS disk type, choose Standard SSD, then select Next: Networking.

  7. マネージド ドメインがデプロイされているサブネットと通信できる Azure 仮想ネットワーク サブネットに、VM を接続する必要があります。Your VM must connect to an Azure virtual network subnet that can communicate with the subnet your managed domain is deployed into. マネージド ドメインを専用のサブネットにデプロイすることをお勧めします。We recommend that a managed domain is deployed into its own dedicated subnet. マネージド ドメインと同じサブネットに VM をデプロイしないでください。Don't deploy your VM in the same subnet as your managed domain.

    VM をデプロイして適切な仮想ネットワーク サブネットに接続するには、主に次の 2 つの方法があります。There are two main ways to deploy your VM and connect to an appropriate virtual network subnet:

    • マネージド ドメインがデプロイされているのと同じ仮想ネットワークで、サブネットを作成するか、既存のサブネットを選択します。Create a, or select an existing, subnet in the same the virtual network as your managed domain is deployed.
    • Azure 仮想ネットワーク ピアリングを使用して接続されている Azure 仮想ネットワーク内のサブネットを選択します。Select a subnet in an Azure virtual network that is connected to it using Azure virtual network peering.

    マネージド ドメインのサブネットに接続されていない仮想ネットワーク サブネットを選択した場合、その VM をマネージド ドメインに参加させることはできません。If you select a virtual network subnet that isn't connected to the subnet for your managed domain, you can't join the VM to the managed domain. このチュートリアルでは、Azure 仮想ネットワークに新しいサブネットを作成します。For this tutorial, let's create a new subnet in the Azure virtual network.

    [ネットワーク] ペインで、マネージド ドメインがデプロイされている仮想ネットワークを選択します (例: aaads-vnet)。In the Networking pane, select the virtual network in which your managed domain is deployed, such as aaads-vnet

  8. この例では、マネージド ドメインの接続先として既存の aaads-subnet が表示されます。In this example, the existing aaads-subnet is shown that the managed domain is connected to. このサブネットには VM を接続しないでください。Don't connect your VM to this subnet. VM 用のサブネットを作成するには、 [サブネット構成の管理] を選択します。To create a subnet for the VM, select Manage subnet configuration.

    Azure portal でサブネット構成の管理を選択する

  9. 仮想ネットワーク ウィンドウの左側のメニューで、 [アドレス空間] を選択します。In the left-hand menu of the virtual network window, select Address space. この仮想ネットワークは、既定のサブネットで使用される単一のアドレス空間 10.0.2.0/24 で作成されています。The virtual network is created with a single address space of 10.0.2.0/24, which is used by the default subnet. その他のサブネット ("ワークロード" や Azure Bastion 用など) も既に存在している場合があります。Other subnets, such as for workloads or Azure Bastion may also already exist.

    この仮想ネットワークにさらに IP アドレス範囲を追加します。Add an additional IP address range to the virtual network. このアドレス範囲のサイズと実際に使用する IP アドレス範囲は、既にデプロイされている他のネットワーク リソースによって異なります。The size of this address range and the actual IP address range to use depends on other network resources already deployed. この IP アドレス範囲は、Azure またはオンプレミスの環境における既存のアドレス範囲と重複することはできません。The IP address range shouldn't overlap with any existing address ranges in your Azure or on-premises environment. サブネットにデプロイする予定の VM の数に対して十分な大きさの IP アドレス範囲を設定するようにしてください。Make sure that you size the IP address range large enough for the number of VMs you expect to deploy into the subnet.

    次の例では、追加の IP アドレス範囲 10.0.5.0/24 が追加されています。In the following example, an additional IP address range of 10.0.5.0/24 is added. 準備ができたら、 [保存] を選択します。When ready, select Save.

    Azure portal で追加の仮想ネットワーク IP アドレス範囲を追加する

  10. 次に、仮想ネットワーク ウィンドウの左側のメニューで、 [サブネット] を選択し、 [+ サブネット] を選択してサブネットを追加します。Next, in the left-hand menu of the virtual network window, select Subnets, then choose + Subnet to add a subnet.

  11. [+ サブネット] を選択し、サブネットの名前を入力します (例: management)。Select + Subnet, then enter a name for the subnet, such as management. [アドレス範囲 (CIDR ブロック)] を指定します (例: 10.0.5.0/24)。Provide an Address range (CIDR block), such as 10.0.5.0/24. この IP アドレス範囲が、他の既存の Azure またはオンプレミスのアドレス範囲と重複していないことを確認します。Make sure that this IP address range doesn't overlap with any other existing Azure or on-premises address ranges. 他のオプションは既定値のままにして、 [OK] を選択します。Leave the other options as their default values, then select OK.

    Azure portal でサブネットの構成を作成する

  12. サブネットの作成には数秒かかります。It takes a few seconds to create the subnet. 作成されたら、 [X] を選択してサブネット ウィンドウを閉じます。Once it's created, select the X to close the subnet window.

  13. [ネットワーク] ウィンドウに戻って VM を作成し、ドロップダウン メニューから作成したサブネットを選択します (例: management)。Back in the Networking pane to create a VM, choose the subnet you created from the drop-down menu, such as management. ここでも、適切なサブネットを選択します。マネージド ドメインと同じサブネットには VM をデプロイしないでください。Again, make sure you choose the correct subnet and don't deploy your VM in the same subnet as your managed domain.

  14. [パブリック IP] には、ドロップダウン メニューから [なし] を選択します。For Public IP, select None from the drop-down menu. このチュートリアルでは、Azure Bastion を使用して "management" に接続するため、VM にパブリック IP アドレスを割り当てる必要はありません。As you use Azure Bastion in this tutorial to connect to the management, you don't need a public IP address assigned to the VM.

  15. 他のオプションは既定値のままにして、 [管理] を選択します。Leave the other options as their default values, then select Management.

  16. [ブート診断][オフ] に設定します。Set Boot diagnostics to Off. 他のオプションは既定値のままにして、 [確認と作成] を選択します。Leave the other options as their default values, then select Review + create.

  17. VM の設定を確認して、 [作成] を選択します。Review the VM settings, then select Create.

VM の作成には数分かかります。It takes a few minutes to create the VM. Azure portal に、デプロイの状態が表示されます。The Azure portal shows the status of the deployment. VM の準備ができたら、 [リソースに移動] を選択します。Once the VM is ready, select Go to resource.

正常に作成されたら Azure portal で VM リソースにアクセスする

Windows Server VM に接続するConnect to the Windows Server VM

VM に対して安全に接続するために、Azure Bastion ホストを使用します。To securely connect to your VMs, use an Azure Bastion host. Azure Bastion では、仮想ネットワークにマネージド ホストがデプロイされ、VM への Web ベースの RDP 接続または SSH 接続は、そのマネージド ホストによって提供されます。With Azure Bastion, a managed host is deployed into your virtual network and provides web-based RDP or SSH connections to VMs. VM にパブリック IP アドレスは不要であり、外部のリモート トラフィック向けにネットワーク セキュリティ グループの規則を開放する必要もありません。No public IP addresses are required for the VMs, and you don't need to open network security group rules for external remote traffic. VM には、Web ブラウザーから Azure portal を使用して接続します。You connect to VMs using the Azure portal from your web browser. 必要に応じて Azure Bastion ホストを作成してください。If needed, create an Azure Bastion host.

要塞ホストを使用して VM に接続するには、次の手順を実行します。To use a Bastion host to connect to your VM, complete the following steps:

  1. VM の [概要] ペインで [接続] を選択し、 [Bastion] を選択します。In the Overview pane for your VM, select Connect, then Bastion.

    Azure portal から Bastion を使用して Windows 仮想マシンに接続する

  2. 前のセクションで指定した VM の資格情報を入力し、 [接続] を選択します。Enter the credentials for your VM that you specified in the previous section, then select Connect.

    Azure portal から Bastion ホストを使用して接続する

必要に応じて、ポップアップの表示を Web ブラウザーに許可して、Bastion 接続を表示します。If needed, allow your web browser to open pop-ups for the Bastion connection to be displayed. VM への接続には数秒かかります。It takes a few seconds to make the connection to your VM.

VM をマネージド ドメインに参加させるJoin the VM to the managed domain

VM を作成し、Azure Bastion を使用して Web ベースの RDP 接続を確立したので、Windows Server 仮想マシンをマネージド ドメインに参加させましょう。With the VM created and a web-based RDP connection established using Azure Bastion, now let's join the Windows Server virtual machine to the managed domain. このプロセスは、通常のオンプレミスの Active Directory Domain Services ドメインに接続しているコンピューターと同じです。This process is the same as a computer connecting to a regular on-premises Active Directory Domain Services domain.

  1. VM にサインインしたときにサーバー マネージャーが既定で開かない場合は、 [スタート] メニューを選択し、 [サーバー マネージャー] を選択します。If Server Manager doesn't open by default when you sign in to the VM, select the Start menu, then choose Server Manager.

  2. [サーバー マネージャー] ウィンドウの左側のウィンドウで、 [ローカル サーバー] を選択します。In the left pane of the Server Manager window, select Local Server. 右側のウィンドウの [プロパティ] で、 [ワークグループ] を選択します。Under Properties on the right pane, choose Workgroup.

    VM でサーバー マネージャーを開き、ワークグループのプロパティを編集する

  3. [システム プロパティ] ウィンドウで [変更] を選択し、マネージド ドメインに参加させます。In the System Properties window, select Change to join the managed domain.

    ワークグループまたはドメイン プロパティの変更を選択する

  4. [ドメイン] ボックスでマネージド ドメインの名前を指定し (例: aaddscontoso.com)、 [OK] を選択します。In the Domain box, specify the name of your managed domain, such as aaddscontoso.com, then select OK.

    参加するマネージド ドメインを指定する

  5. ドメインの資格情報を入力してドメインに参加します。Enter domain credentials to join the domain. マネージド ドメインの一部であるユーザーの資格情報を指定します。Provide credentials for a user that's a part of the managed domain. アカウントはマネージド ドメインまたは Azure AD テナントの一部である必要があります。Azure AD テナントに関連付けられている外部ディレクトリのアカウントが、ドメイン参加プロセス中に正しく認証を行うことはできません。The account must be part of the managed domain or Azure AD tenant - accounts from external directories associated with your Azure AD tenant can't correctly authenticate during the domain-join process.

    アカウントの資格情報は、次のいずれかの方法で指定できます。Account credentials can be specified in one of the following ways:

    • UPN 形式 (推奨) - Azure AD で構成したように、ユーザー アカウントのユーザー プリンシパル名 (UPN) サフィックスを入力します。UPN format (recommended) - Enter the user principal name (UPN) suffix for the user account, as configured in Azure AD. たとえば、ユーザー contosoadmin の UPN サフィックスは contosoadmin@aaddscontoso.onmicrosoft.com になります。For example, the UPN suffix of the user contosoadmin would be contosoadmin@aaddscontoso.onmicrosoft.com. SAMAccountName 形式ではなく UPN 形式を使用するとドメインに確実にサインインできる一般的なユースケースが 2 つあります。There are a couple of common use-cases where the UPN format can be used reliably to sign in to the domain rather than the SAMAccountName format:
      • ユーザーの UPN プレフィックスが長い場合 (例: deehasareallylongname)、SAMAccountName が自動生成される場合があります。If a user's UPN prefix is long, such as deehasareallylongname, the SAMAccountName may be autogenerated.
      • Azure AD テナントで複数のユーザーが同じ UPN プレフィックスを使用していると (例: dee)、SAMAccountName 形式が自動生成される場合があります。If multiple users have the same UPN prefix in your Azure AD tenant, such as dee, their SAMAccountName format might be autogenerated.
    • SAMAccountName 形式 - SAMAccountName 形式でアカウント名を入力します。SAMAccountName format - Enter the account name in the SAMAccountName format. たとえば、ユーザー contosoadminSAMAccountNameAADDSCONTOSO\contosoadmin になります。For example, the SAMAccountName of user contosoadmin would be AADDSCONTOSO\contosoadmin.
  6. マネージド ドメインへの参加には数秒かかります。It takes a few seconds to join to the managed domain. 完了すると、ドメインへの参加を歓迎する次のようなメッセージが表示されます。When complete, the following message welcomes you to the domain:

    ドメインへようこそ

    [OK] を選択して続行します。Select OK to continue.

  7. マネージド ドメインに参加させるプロセスを完了するには、VM を再起動します。To complete the process to join to the managed domain, restart the VM.

ヒント

PowerShell の Add-Computer コマンドレットを使用して、VM をドメインに参加させることができます。You can domain-join a VM using PowerShell with the Add-Computer cmdlet. 次の例では、AADDSCONTOSO ドメインに参加した後、VM を再起動しています。The following example joins the AADDSCONTOSO domain and then restarts the VM. メッセージが表示されたら、マネージド ドメインの一部であるユーザーの資格情報を入力します。When prompted, enter the credentials for a user that's a part of the managed domain:

Add-Computer -DomainName AADDSCONTOSO -Restart

VM に接続したり手動で接続を構成したりすることなく VM をドメインに参加させるには、Set-AzVmAdDomainExtension Azure PowerShell コマンドレットを使用できます。To domain-join a VM without connecting to it and manually configuring the connection, you can use the Set-AzVmAdDomainExtension Azure PowerShell cmdlet.

Windows Server VM が再起動すると、マネージド ドメインで適用されているすべてのポリシーが VM にプッシュされます。Once the Windows Server VM has restarted, any policies applied in the managed domain are pushed to the VM. また、適切なドメイン資格情報を使用して Windows Server VM にサインインすることもできます。You can also now sign in to the Windows Server VM using appropriate domain credentials.

リソースをクリーンアップするClean up resources

次のチュートリアルでは、この Windows Server VM を使用して、マネージド ドメインを管理できる管理ツールをインストールします。In the next tutorial, you use this Windows Server VM to install the management tools that let you administer the managed domain. このチュートリアル シリーズを続けない場合は、次のクリーンアップ手順を確認して、VM を削除します。If you don't want to continue in this tutorial series, review the following clean up steps to delete the VM. そうでない場合は、次のチュートリアルを続けますOtherwise, continue to the next tutorial.

マネージド ドメインへの VM の参加を解除するUnjoin the VM from the managed domain

マネージド ドメインから VM を削除するには、もう一度、VM をドメインに参加させるための手順を実行します。To remove the VM from the managed domain, follow through the steps again to join the VM to a domain. このとき、マネージド ドメインに参加させる代わりに、ワークグループ (既定の "ワークグループ" など) に参加させることを選択します。Instead of joining the managed domain, choose to join a workgroup, such as the default WORKGROUP. VM が再起動すると、コンピューター オブジェクトがマネージド ドメインから削除されます。After the VM has rebooted, the computer object is removed from the managed domain.

ドメインへの参加を解除せずに VM を削除すると、孤立したコンピューター オブジェクトが Azure AD DS に残されます。If you delete the VM without unjoining from the domain, an orphaned computer object is left in Azure AD DS.

VM の削除Delete the VM

この Windows Server VM をもう使わない場合は、次の手順に従って VM を削除します。If you're not going use this Windows Server VM, delete the VM using the following steps:

  1. 左側のメニューから、 [リソース グループ] を選択しますFrom the left-hand menu, select Resource groups
  2. お使いのリソース グループを選択します (例: myResourceGroup)。Choose your resource group, such as myResourceGroup.
  3. お使いの VM を選択し (例: myVM)、 [削除] を選択します。Choose your VM, such as myVM, then select Delete. [はい] を選択して、リソースの削除を確定します。Select Yes to confirm the resource deletion. VM の削除には数分かかります。It takes a few minutes to delete the VM.
  4. VM が削除されたら、myVM- プレフィックスが付いている OS ディスク、ネットワーク インターフェイス カード、その他のすべてのリソースを選択して削除します。When the VM is deleted, select the OS disk, network interface card, and any other resources with the myVM- prefix and delete them.

ドメイン参加の問題のトラブルシューティングTroubleshoot domain-join issues

通常のオンプレミス コンピューターを Active Directory Domain Services ドメインに参加させる場合と同じ方法で、Windows Server VM もマネージド ドメインに正常に参加させることができるはずです。The Windows Server VM should successfully join to the managed domain, the same way as a regular on-premises computer would join an Active Directory Domain Services domain. Windows Server VM をマネージド ドメインに参加させることができない場合は、接続または資格情報に関連する問題があることを示しています。If the Windows Server VM can't join the managed domain, that indicates there's a connectivity or credentials-related issue. マネージド ドメインに正常に参加させるには、次のトラブルシューティングのセクションを確認してください。Review the following troubleshooting sections to successfully join the managed domain.

接続に関する問題Connectivity issues

ドメインに参加するための資格情報を要求するプロンプトが表示されない場合は、接続に問題があります。If you don't receive a prompt that asks for credentials to join the domain, there's a connectivity problem. 仮想ネットワーク上のマネージド ドメインに VM が到達できません。The VM can't reach the managed domain on the virtual network.

以下の各トラブルシューティング手順を実行した後、Windows Server VM をマネージド ドメインに再度参加させてください。After trying each of these troubleshooting steps, try to join the Windows Server VM to the managed domain again.

  • Azure AD DS が有効になっているのと同じ仮想ネットワークに VM が接続されていること、または VM にピアリングされたネットワーク接続があることを確認します。Verify the VM is connected to the same virtual network that Azure AD DS is enabled in, or has a peered network connection.
  • マネージド ドメインの DNS ドメイン名に対して ping を実行します (例: ping aaddscontoso.com)。Try to ping the DNS domain name of the managed domain, such as ping aaddscontoso.com.
    • ping 要求が失敗する場合は、マネージド ドメインの IP アドレスに対して ping を実行します (例: ping 10.0.0.4)。If the ping request fails, try to ping the IP addresses for the managed domain, such as ping 10.0.0.4. 環境の IP アドレスは、Azure リソースの一覧からマネージド ドメインを選択すると、 [プロパティ] ページに表示されます。The IP address for your environment is displayed on the Properties page when you select the managed domain from your list of Azure resources.
    • ドメインではなく IP アドレスを ping できた場合、DNS が正しく構成されていない可能性があります。If you can ping the IP address but not the domain, DNS may be incorrectly configured. マネージド ドメインの IP アドレスが仮想ネットワークの DNS サーバーとして構成されていることを確認します。Confirm that the IP addresses of the managed domain are configured as DNS servers for the virtual network.
  • ipconfig /flushdns コマンドを使用して、仮想マシンの DNS リゾルバー キャッシュをフラッシュしてみます。Try to flush the DNS resolver cache on the virtual machine using the ipconfig /flushdns command.

ドメインに参加するための資格情報を要求するプロンプトが表示されても、資格情報を入力した後でエラーが発生する場合は、VM はマネージド ドメインに接続できます。If you receive a prompt that asks for credentials to join the domain, but then an error after you enter those credentials, the VM is able to connect to the managed domain. 指定した資格情報では、VM をマネージド ドメインに参加させることはできません。The credentials you provided don't then let the VM join the managed domain.

以下の各トラブルシューティング手順を実行した後、Windows Server VM をマネージド ドメインに再度参加させてください。After trying each of these troubleshooting steps, try to join the Windows Server VM to the managed domain again.

  • 指定するユーザー アカウントがマネージド ドメインに属していることを確認します。Make sure that the user account you specify belongs to the managed domain.
  • アカウントがマネージド ドメインまたは Azure AD テナントの一部であることを確認してください。Confirm that the account is part of the managed domain or Azure AD tenant. Azure AD テナントに関連付けられている外部ディレクトリのアカウントが、ドメイン参加プロセス中に正しく認証を行うことはできません。Accounts from external directories associated with your Azure AD tenant can't correctly authenticate during the domain-join process.
  • UPN 形式を使用して資格情報を指定します (例: contosoadmin@aaddscontoso.onmicrosoft.com)。Try using the UPN format to specify credentials, such as contosoadmin@aaddscontoso.onmicrosoft.com. たくさんのユーザーがテナントで同じ UPN プレフィックスを使用している場合、または UPN プレフィックスが最大文字数を超えている場合は、アカウントの SAMAccountName が自動生成される可能性があります。If there are many users with the same UPN prefix in your tenant or if your UPN prefix is overly long, the SAMAccountName for your account may be autogenerated. そのような場合、アカウントの SAMAccountName 形式が、想定されている形式やオンプレミス ドメインで使用されている形式と異なる可能性があります。In these cases, the SAMAccountName format for your account may be different from what you expect or use in your on-premises domain.
  • マネージド ドメインとのパスワード同期を有効にしていることを確認します。Check that you have enabled password synchronization to your managed domain. この構成手順を行わないと、サインインの試行を正しく認証するために必要なパスワード ハッシュがマネージド ドメインに存在しなくなります。Without this configuration step, the required password hashes won't be present in the managed domain to correctly authenticate your sign-in attempt.
  • パスワード同期が完了するまで待ちます。Wait for password synchronization to be completed. ユーザー アカウントのパスワードが変更されると、Azure AD からの自動バックグラウンド同期によって、Azure AD DS 内のパスワードが更新されます。When a user account's password is changed, an automatic background synchronization from Azure AD updates the password in Azure AD DS. ドメインへの参加にパスワードを使用できるようになるまでに、しばらく時間がかかります。It takes some time for the password to be available for domain-join use.

次のステップNext steps

このチュートリアルでは、以下の内容を学習しました。In this tutorial, you learned how to:

  • Windows Server VM を作成するCreate a Windows Server VM
  • Windows Server VM を Azure 仮想ネットワークに接続するConnect to the Windows Server VM to an Azure virtual network
  • VM をマネージド ドメインに参加させるJoin the VM to the managed domain

マネージド ドメインを管理するには、Active Directory 管理センター (ADAC) を使用して管理 VM を構成します。To administer your managed domain, configure a management VM using the Active Directory Administrative Center (ADAC).