Azure Active Directory(以下AAD)にカスタムドメインを追加し、ARM環境の仮想マシンをドメイン参加させる連載の第3回です。
前回記事でAADでドメインサービスを稼働させました。
今回はVNETピアリングを構成してクラシック環境とARM環境を接続し、ARM環境の仮想マシンをドメイン参加させます。

構成(今回の記事で扱う範囲)

既にカスタムドメインの追加と、そのドメインでのドメイン サービスは稼働している状況です。クラシック環境の仮想マシンであればこのままドメイン参加可能ですが、ARM環境の仮想マシンはネットワーク的に分断されている状況です。
VNETピアリングはARM内の同一リージョン内の仮想ネットワーク同士を接続するのにも使いますが、クラシック環境とARM環境を接続し、クラシック環境からのスムーズな移行のためにも構成するものです。
今回はARM環境の仮想マシンのドメイン参加のための橋渡しとしてVNETピアリングを構成します。

VNETピアリングの構成

VNETピアリングの構成は2016/09でプレビュー段階です。手順は今後変わる可能性があります。構成は新ポータルの方で実施します。

  1. ARM環境側の仮想ネットワークを選択し、[ピアリング] > [+追加]と選択します。

  2. ピアリングの追加画面で、[仮想ネットワークのデプロイモデル]を[クラシック]に変えると、クラシック環境の仮想ネットワークを選択できるようになります。あとはピアリングの名前をつけて[OK]を選択するだけです。

  3. 簡単に構成できました。

ARM環境の仮想マシンのドメイン参加

ドメインサービスが稼働しているクラシック環境と、仮想マシンが稼働しているARM環境が接続されました。仮想マシンのドメイン参加を行います。

  1. OSからDNSサーバのIPとして、AADのドメインサービス向けに払い出されたIPを指定してみます。

    直後、リモートデスクトップが切断され、繋げなくなりました…
    どうもこの手順じゃダメそうです。
    しょうがないので仮想マシンを停止して割り当て解除状態になってもらいました。

  2. [仮想マシン] > [ネットワークインターフェース] > [DNSサーバー]と選択すると、NICに割り当てるDNSサーバを設定できます。

  3. この状態で起動してみると、リモートデスクトップできるようになっていて、DNSサーバの設定も狙い通りされていました。

  4. カスタムドメインへの参加をしてみます。

    ドメイン名にカスタムドメインを指定し、[OK]を選択します。

    無事認証窓が出ました!
    ドメイン サービスとの疎通は成功したようです。

    が、この段階でAzureポータルにログインした時の正しいユーザ/パスワードを指定しても認証をパスしません。

AAD DC Administratorsグループの作成

公式ドキュメントによるとAD DC Administratorsに所属する管理ユーザを作らないといけないようでした。。
Azure AD ドメイン サービス (プレビュー) – “AAD DC 管理者” グループの作成

※ドキュメント的には最初に作る感じに書いてありますが、実際問題ここまでユーザが必要になる場面はなかったので、順序関係はなさそうです。

  1. [ACTIVE DIRECTORY] > [カスタムドメイン名] > [グループ] > [グループの追加]と選択します。

  2. グループ名に[AAD DC Administrators]と入力し、グループタイプはデフォルトのまま[セキュリティ]として✔を選択します。

  3. グループが作成されました。

ユーザの作成

AAD DC Administratorsグループができたので、メンバーとなるユーザを作成します。

  1. [ユーザ] > [ユーザーの追加]と選択します。

  2. ユーザ名とドメインを選択して[→]を選択します。

  3. 名前やロールを定義して、[→]を選択します。
    姓・名は必須ではありません。labcns.topにはメールサーバを置いていないので、連絡用電子メールアドレスは自分のメールアドレスを書いてみました。が、別にメールは飛んできませんでした…単なるADユーザの連絡先として登録されるだけのようです。

  4. [一時パスワードの取得]画面が表示されるので、[作成]を選択します。

  5. 一時パスワードが払い出されるので、コピーしてから[✔]を選択します。

グループへのメンバー追加

作成したazureユーザをAAD DC Administratorsグループに追加します。

  1. [グループ] > [AAD DC Administratos]と選択します。

  2. [メンバーの追加]を選択します。

  3. 追加したいユーザを選択して[✔]を選択します。

  4. メンバーが追加されました。

ARM環境の仮想マシンのドメイン参加(再)

AAD DC Administratorsグループのユーザも作成したので、ドメイン参加に再チャレンジします。

  1. 先ほどと同様、ドメイン名を入力します。
  2. 認証窓にazureユーザ(AAD DC Administrators)を指定し、払い出された一時パスワードを入力します。

  3. 今度はドメインに参加できました!

関連記事

Azure Active Directory(AAD)にカスタムドメインを追加
Azure Active Directory(AAD)でドメインサービスを稼働させる
VNETピアリングを構成し、仮想マシンをドメイン参加させる