Azure CLI を使用して新しい Active Directory フォレストをインストールするInstall a new Active Directory forest using Azure CLI

AD DS は、多くのオンプレミスのインスタンスで実行されるのと同じ方法で、Azure 仮想マシン (VM) で実行できます。AD DS can run on an Azure virtual machine (VM) in the same way it runs in many on-premises instances. この記事では、Azure portal と Azure CLI を使用して、Azure 可用性セットに新しい AD DS フォレストを2つの新しいドメインコントローラーにデプロイする手順について説明します。This article walks you through deploying a new AD DS Forest, on two new domain controllers, in an Azure availability set using the Azure portal and Azure CLI. 多くのお客様は、ラボを作成するとき、または Azure でドメインコントローラーをデプロイする準備をする際に役立つこのガイダンスを見つけています。Many customers find this guidance helpful when creating a lab or preparing to deploy domain controllers in Azure.

コンポーネントComponents

  • すべてを配置するリソースグループ。A resource group to put everything in.
  • Vm への RDP アクセスを許可する Azure Virtual Network、サブネット、ネットワークセキュリティグループ、およびルール。An Azure Virtual Network, subnet, network security group, and rule to allow RDP access to VMs.
  • に2つの Active Directory Domain Services (AD DS) ドメインコントローラーを配置するように設定された Azure 仮想マシンの 可用性セットAn Azure virtual machine availability set to put two Active Directory Domain Services (AD DS) domain controllers in.
  • AD DS と DNS を実行する2つの Azure 仮想マシン。Two Azure virtual machines to run AD DS and DNS.

カバーされていない項目Items that are not covered

テスト環境を構築するBuild the test environment

環境の作成には、 Azure portalAzure CLI を使用します。We use the Azure portal and Azure CLI for creating the environment.

Azure CLI は、コマンドラインやスクリプトで Azure リソースを作成および管理するために使用します。The Azure CLI is used to create and manage Azure resources from the command line or in scripts. このチュートリアルでは、Azure CLI を使用して、Windows Server 2019 を実行する仮想マシンを展開する方法について詳しく説明します。This tutorial details using the Azure CLI to deploy virtual machines running Windows Server 2019. デプロイが完了したら、サーバーに接続して AD DS をインストールします。Once deployment is complete, we connect to the servers and install AD DS.

Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。If you don't have an Azure subscription, create a free account before you begin.

Azure CLI の使用Using Azure CLI

次のスクリプトは、Azure で新しい Active Directory フォレストのドメインコントローラーを構築するために、2つの Windows Server 2019 Vm の構築プロセスを自動化します。The following script automates the process of building two Windows Server 2019 VMs, for the purpose of building domain controllers for a new Active Directory Forest in Azure. 管理者は、必要に応じて以下の変数を変更し、1回の操作で完了することができます。An administrator can modify the variables below to suit their needs, then complete, as one operation. このスクリプトは、必要なリソースグループ、ネットワークセキュリティグループ、リモートデスクトップ、仮想ネットワークとサブネット、および可用性グループを作成します。The script creates the necessary resource group, network security group with a traffic rule for Remote Desktop, virtual network and subnet, and availability group. 各 Vm は、20 GB のデータディスクを使用して構築され、AD DS をインストールするためにキャッシュが無効になります。The VMs are each then built with a 20 GB data disk with caching disabled for AD DS to be installed to.

次のスクリプトは、Azure portal から直接実行できます。The script below can be run directly from the Azure portal. CLI をローカルにインストールして使用する場合、このクイック スタートを実施するには、Azure CLI バージョン 2.0.4 以降を実行している必要があります。If you choose to install and use the CLI locally, this quickstart requires that you are running the Azure CLI version 2.0.4 or later. バージョンを確認するには、az --version を実行します。Run az --version to find the version. インストールまたはアップグレードする必要がある場合は、「Azure CLI 2.0 のインストール」を参照してください。If you need to install or upgrade, see Install Azure CLI 2.0.

変数名Variable Name 目的Purpose
AdminUsernameAdminUsername ローカル管理者として各 VM で構成されるユーザー名。Username to be configured on each VM as the local administrator.
AdminPasswordAdminPassword 各 VM でローカル管理者のパスワードとして構成されるクリアテキストのパスワード。Cleartext password to be configured on each VM as the local administrator password.
ResourceGroupNameResourceGroupName リソースグループに使用する名前。Name to be used for resource group. 既存の名前を複製することはできません。Should not duplicate an existing name.
場所Location デプロイ先となる Azure の場所の名前。Azure location name that you would like to deploy to. を使用して、現在のサブスクリプションでサポートされているリージョンを一覧表示 az account list-locations します。List supported regions for the current subscription using az account list-locations.
VNetNameVNetName Azure 仮想ネットワークに割り当てる名前は、既存の名前と重複させることはできません。Name to assign the Azure virtual network Should not duplicate an existing name.
VNetAddressVNetAddress Azure ネットワークに使用する IP スコープ。IP scope to use for Azure networking. 既存の範囲を複製することはできません。Should not duplicate an existing range.
SubnetNameSubnetName IP サブネットを割り当てる名前。Name to assign the IP subnet. 既存の名前を複製することはできません。Should not duplicate an existing name.
サブネットアドレスSubnetAddress ドメインコントローラーのサブネットアドレス。Subnet address for the domain controllers. は、VNet 内のサブネットである必要があります。Should be a subnet inside of the VNet.
AvailabilitySetAvailabilitySet ドメインコントローラー Vm が参加する可用性セットの名前。Name of the availability set the domain controller VMs will join.
VMSizeVMSize デプロイの場所で使用できる標準の Azure VM サイズ。Standard Azure VM Size available in the location for deployment.
DataDiskSizeDataDiskSize AD DS によってインストールされるデータディスクのサイズ (GB)。Size in GB for the data disk where AD DS installs.
DomainController1DomainController1 最初のドメインコントローラーの名前。Name of first domain controller.
DC1IPDC1IP 最初のドメインコントローラーの IP アドレス。IP address for first domain controller.
DomainController2DomainController2 2番目のドメインコントローラーの名前。Name of second domain controller.
DC2IPDC2IP 2番目のドメインコントローラーの IP アドレス。IP address for second domain controller.
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS と Active DirectoryDNS and Active Directory

このプロセスの一部として作成された Azure 仮想マシンが、既存のオンプレミス Active Directory インフラストラクチャの拡張機能になる場合は、仮想ネットワークの DNS 設定を、デプロイ前にオンプレミスの DNS サーバーを含むように変更する必要があります。If the Azure virtual machines created as part of this process will be an extension of an existing on-premises Active Directory infrastructure, the DNS settings on the virtual network must be changed to include your on-premises DNS servers before deployment. この手順は、Azure で新しく作成されたドメインコントローラーがオンプレミスのリソースを解決し、レプリケーションを実行できるようにするために重要です。This step is important to allow the newly created Domain Controllers in Azure to resolve on-premises resources and allow for replication to occur. DNS、Azure、および設定の構成方法の詳細については、「 独自の dns サーバーを使用する名前解決」セクションを参照してください。More information about DNS, Azure, and how to configure settings can be found in the section Name resolution that uses your own DNS server.

Azure で新しいドメインコントローラーを昇格した後は、仮想ネットワークのプライマリおよびセカンダリ DNS サーバーに設定する必要があります。オンプレミスの DNS サーバーは、3番目以降に降格されます。After promoting the new domain controllers in Azure, they will need to be set to the primary and secondary DNS Servers for the virtual network, and any on-premises DNS Servers would be demoted to tertiary and beyond. DNS サーバーの変更の詳細については、「 仮想ネットワークの作成、変更、削除」を参照してください。More information on changing DNS Servers can be found in the article Create, change, or delete a virtual network.

オンプレミスネットワークを Azure に拡張する方法については、「 サイト間 VPN 接続を作成する」を参照してください。Information about extending an on-premises network to Azure can be found in the article Creating a site-to-site VPN connection.

Vm を構成してインストール Active Directory Domain ServicesConfigure the VMs and install Active Directory Domain Services

スクリプトが完了したら、 Azure portalを参照し、[ 仮想マシン] をクリックします。After the script completes, browse to the Azure portal, then Virtual machines.

最初のドメインコントローラーを構成するConfigure the first Domain Controller

スクリプトで指定した資格情報を使用して AZDC01 に接続します。Connect to AZDC01 using the credentials you provided in the script.

  • データディスクの初期化とフォーマットを F:Initialize and format the data disk as F:
    • [スタート] メニューを開き、[コンピューターの管理] を参照します。Open the Start menu and browse to Computer Management
    • 記憶域 > ディスクの管理 を参照するBrowse to Storage > Disk Management
    • MBR としてディスクを初期化するInitialize the disk as MBR
    • 新しいシンプルボリュームを作成してドライブ文字を割り当てる F: 必要に応じてボリュームラベルを指定できます。Create a New Simple Volume and Assign the drive letter F: you can provide a Volume label if you wish
  • サーバーマネージャーを使用して Active Directory Domain Services をインストールするInstall Active Directory Domain Services using Server Manager
  • 新しいフォレストの最初のドメインコントローラーを昇格させるPromote the domain controller as the first in a new forest
    • [ドメインコントローラーオプション] ページで、[ドメインネームシステム (DNS) サーバーおよびグローバルカタログ (GC)] チェックボックスをオンのままにします。Leave Domain Name System (DNS) server and Global Catalog (GC) checked on the Domain Controller Options page
    • 組織の要件に基づいてディレクトリサービス復元モードのパスワードを指定するSpecify a Directory Services Restore Mode password based on your organizational requirements
    • C: のパスを、場所の入力を求められたときに作成した F: ドライブを指すように変更します。Change the paths from C: to point to the F: drive we created when prompted for their location
    • ウィザードで選択した内容を確認し、[次へ] をクリックします。Review the selections made in the wizard and choose Next

注意

前提条件の確認では、物理ネットワークアダプターに静的 IP アドレスが割り当てられていないことが警告されます。これは、Azure 仮想ネットワークで静的 IP が割り当てられているため、無視してかまいません。The Prerequisites Check will warn you that the physical network adapter does not have static IP address(es) assigned, you can safely ignore this as static IPs are assigned in the Azure virtual network.

  • インストール の選択Choose Install

ウィザードがインストールプロセスを完了すると、VM が再起動されます。When the wizard completes the install process, the VM reboots.

VM の再起動が完了したら、前に使用した資格情報を使用してもう一度ログインしますが、今回は作成したドメインのメンバーとして再度ログインします。When the VM has completed rebooting, log back in with the credentials used before, but this time as a member of the domain you created.

注意

ドメインコントローラーへの昇格後の最初のログオンは、通常よりも時間がかかる場合があります。The first logon after promotion to a domain controller may take longer than normal and this is OK. 紅茶、コーヒー、水、その他の飲み物を選ぶことができます。Grab a cup of tea, coffee, water, or other beverage of choice.

Azure 仮想ネットワークは ipv6 をサポートするようになりまし たが、ipv6 経由で IPv4 を優先するように vm を設定する場合、このタスクを実行する方法については、サポート技術情報の記事「 Windows での高度なユーザー向けの IPv6 の構成に関するガイダンス」を参照してください。Azure virtual networks do now support IPv6 , but in case you want to set your VMs to prefer IPv4 over IPv6, information on how to complete this task can be found in the KB article Guidance for configuring IPv6 in Windows for advanced users.

DNS を構成するConfigure DNS

Azure の最初のサーバーを昇格した後、仮想ネットワークのプライマリおよびセカンダリ DNS サーバーにサーバーを設定する必要があります。オンプレミスの DNS サーバーは、3番目以降に降格されます。After promoting the first server in Azure, the servers will need to be set to the primary and secondary DNS Servers for the virtual network, and any on-premises DNS Servers would be demoted to tertiary and beyond. DNS サーバーの変更の詳細については、「 仮想ネットワークの作成、変更、削除」を参照してください。More information on changing DNS Servers can be found in the article Create, change, or delete a virtual network.

2番目のドメインコントローラーを構成するConfigure the second Domain Controller

スクリプトで指定した資格情報を使用して AZDC02 に接続します。Connect to AZDC02 using the credentials you provided in the script.

  • データディスクの初期化とフォーマットを F:Initialize and format the data disk as F:
    • [スタート] メニューを開き、[コンピューターの管理] を参照します。Open the Start menu and browse to Computer Management
    • 記憶域 > ディスクの管理 を参照するBrowse to Storage > Disk Management
    • MBR としてディスクを初期化するInitialize the disk as MBR
    • 新しいシンプルボリュームを作成し、ドライブ文字 F: を割り当てます (必要に応じてボリュームラベルを指定できます)。Create a New Simple Volume and Assign the drive letter F: (you can provide a Volume label if you wish)
  • サーバーマネージャーを使用して Active Directory Domain Services をインストールするInstall Active Directory Domain Services using Server Manager
  • ドメインコントローラーの昇格Promote the domain controller
    • 既存のドメインにドメインコントローラーを追加する-CONTOSO.comAdd a domain controller to an existing domain - CONTOSO.com
    • 操作を実行するための資格情報を指定しますSupply credentials to perform the operation
    • C: のパスを、場所の入力を求められたときに作成した F: ドライブを指すように変更します。Change the paths from C: to point to the F: drive we created when prompted for their location
    • [ドメインコントローラーオプション] ページで、[ドメインネームシステム (DNS) サーバー] および [グローバルカタログ (GC)] がオンになっていることを確認します。Ensure Domain Name System (DNS) server and Global Catalog (GC) are checked on the Domain Controller Options page
    • 組織の要件に基づいてディレクトリサービス復元モードのパスワードを指定するSpecify a Directory Services Restore Mode password based on your organizational requirements
    • ウィザードで選択した内容を確認し、[次へ] をクリックします。Review the selections made in the wizard and choose Next

注意

前提条件の確認では、物理ネットワークアダプターに静的 IP アドレスが割り当てられていないことが警告されます。The Prerequisites Check will warn you that the physical network adapter does not have static IP address(es) assigned. Azure 仮想ネットワークに静的 Ip が割り当てられているため、これは無視しても問題ありません。You can safely ignore this, as static IPs are assigned in the Azure virtual network.

  • インストール の選択Choose Install

ウィザードがインストールプロセスを完了すると、VM が再起動されます。When the wizard completes the install process, the VM reboots.

VM の再起動が完了したら、前に使用した資格情報で、今度は CONTOSO.com ドメインのメンバーとして再度ログインします。When the VM has completed rebooting, log back in with the credentials used before, but this time as a member of the CONTOSO.com domain

Azure 仮想ネットワークは ipv6 をサポートするようになりましたが、ipv6 経由で IPv4 を優先するように vm を設定する場合、このタスクを実行する方法については、サポート技術情報の記事「 Windows での高度なユーザー向けの IPv6 の構成に関するガイダンス」を参照してください。Azure virtual networks do now support IPv6, but in case you want to set your VMs to prefer IPv4 over IPv6, information on how to complete this task can be found in the KB article Guidance for configuring IPv6 in Windows for advanced users.

まとめWrap up

この時点で、環境にはドメインコントローラーのペアがあり、Azure 仮想ネットワークが構成され、追加のサーバーが環境に追加される可能性があります。At this point, the environment has a pair of domain controllers, and we have configured the Azure virtual network so that additional servers may be added to the environment. サイトとサービスの構成、監査、バックアップ、組み込みの管理者アカウントのセキュリティ保護などの Active Directory Domain Services のインストール後のタスクは、この時点で完了する必要があります。Post-install tasks for Active Directory Domain Services, like configuring sites and services, auditing, backup, and securing the built-in administrator account, should be completed at this point.

環境を削除していますRemoving the environment

環境を削除するには、テストが完了したら、上で作成したリソースグループを削除できます。To remove the environment, when you have completed testing, the resource group we created above can be deleted. このステップでは、そのリソースグループの一部であるすべてのコンポーネントが削除されます。This step removes all of the components that are part of that resource group.

Azure portal を使用して削除するRemove using the Azure portal

Azure portal から、[ リソースグループ ] に移動し、作成したリソースグループ (この例では ADonAzureVMs) を選択し、[ リソースグループの削除] を選択します。From the Azure portal, browse to Resource groups and choose the resource group we created (in this example ADonAzureVMs), then select Delete resource group. このプロセスでは、リソースグループ内に含まれるすべてのリソースを削除する前に確認メッセージが表示されます。The process asks for confirmation before deleting all the resources contained inside of the resource group.

Azure CLI を使用して削除するRemove using the Azure CLI

Azure CLI 次のコマンドを実行します。From Azure CLI run the following command:

az group delete --name ADonAzureVMs

次のステップNext steps