Azure での SharePoint イントラネット ファームのフェーズ 2:ドメイン コントローラーを構成する
適用対象:2016 2019 Subscription Edition SharePoint in Microsoft 365
Azure インフラストラクチャ サービスにイントラネット専用の SharePoint Server 2016 ファームを展開するために、このフェーズでは、Azure の仮想ネットワーク (VNet) に 2 つのレプリカ ドメイン コント ローラーを構成します。 サイト間 VPN またはオンプレミス ネットワークへの ExpressRoute 接続を経由して認証トラフィックを送信するのではなく、VNet 内で SharePoint ファームのリソースに対するクライアント Web 要求を認証できます。
注:
SharePoint Server 2016 では、ドメイン レプリカとして実行されている仮想マシンに代わる Microsoft Entra Domain Services の使用もサポートされています。 ただし、現時点では、このデプロイメント ガイドでは、仮想マシン ベースのレプリカ ドメイン コントローラーの使用についてのみ説明しています。
このフェーズは、「Azure での SharePoint イントラネット ファームのフェーズ 3:SQL Server インフラストラクチャを構成する」に進む前に完了しておく必要があります。 すべてのフェーズについては、「 Azure での SQL Server Always On 可用性グループを使用した SharePoint Server のデプロイ 」を参照してください。
Azure にドメイン コントローラー仮想マシンを作成する
まず、「表 M」の「仮想マシン名」列に必要事項を入力し、必要に応じて、「最小サイズ」列で仮想マシンのサイズを変更します。
アイテム | 仮想マシン名 | ギャラリー イメージ | 最小サイズ | ストレージの種類 |
---|---|---|---|---|
1. |
(最初のドメイン コントローラー、DC1 の例) |
Windows Server 2016 Datacenter |
Standard_D2 |
StandardLRS |
2. |
番目のドメイン コントローラー、DC2 の例) |
Windows Server 2016 Datacenter |
Standard_D2 |
StandardLRS |
3。 |
(最初の SQL Server コンピューター、SQL1 の例) |
Microsoft SQL Server 2016 Enterprise - Windows Server 2016 |
Standard_DS4 |
PremiumLRS |
4. |
つ目の SQL Server コンピューター、SQL2 の例) |
Microsoft SQL Server 2016 Enterprise - Windows Server 2016 |
Standard_DS4 |
PremiumLRS |
5. |
(クラスターのマジョリティ ノード監視、MN1 の例) |
Windows Server 2016 Datacenter |
Standard_D2 |
StandardLRS |
6. |
(最初の SharePoint アプリケーションと検索サーバー、APP1 の例) |
Microsoft SharePoint Server 2016 試用版 - Windows Server 2012 R2 |
Standard_DS4 |
PremiumLRS |
7. |
番目の SharePoint アプリケーションと検索サーバー、APP2 の例) |
Microsoft SharePoint Server 2016 試用版 - Windows Server 2012 R2 |
Standard_DS4 |
PremiumLRS |
8. |
(最初の SharePoint フロントエンドと分散キャッシュ サーバー、WEB1 の例) |
Microsoft SharePoint Server 2016 試用版 - Windows Server 2012 R2 |
Standard_DS4 |
PremiumLRS |
9. |
番目の SharePoint フロントエンドと分散キャッシュ サーバー、WEB2 の例) |
Microsoft SharePoint Server 2016 試用版 - Windows Server 2012 R2 |
Standard_DS4 |
PremiumLRS |
表 M: Azure の SharePoint Server 2016 イントラネット ファームの仮想マシン
仮想マシンのサイズの一覧については、「Azure の仮想マシンのサイズ」を参照してください。
次に示す Azure PowerShell コマンド ブロックを使用して、2 つのドメイン コントローラー用の仮想マシンを作成します。 変数の値を指定してください (「<」と「>」の文字は削除します)。 なお、この Azure PowerShell コマンド ブロックは、次の値を使用します。
表 M: 仮想マシン用
表 R: リソース グループ用
表 V: 仮想ネットワークの設定用
表 S: サブネット用
表 I: 静的 IP アドレス用
表 A: 可用性セット用
表 R、V、S、I、A は、「Azure での SharePoint イントラネット ファームのフェーズ 1:Azure を構成する」で定義したものです。
注:
次のコマンド セットは、Azure PowerShell の最新版を使用します。 「Azure PowerShell の概要」を参照してください。
すべてに適切な値を指定したら、その結果のブロックを Azure PowerShell プロンプト、またはローカル コンピューターの PowerShell 統合スクリプト環境 (ISE) で実行します。
# Set up variables common to both virtual machines
$locName="<Azure location of the SharePoint farm>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table S - Item 1 - Value column>"
$avName="<Table A - Item 1 - Availability set name column>"
$rgNameTier="<Table R - Item 1 - Resource group name column>"
$rgNameInfra="<Table R - Item 5 - Resource group name column>"
$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName
$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName
# Create the first domain controller
$vmName="<Table M - Item 1 - Virtual machine name column>"
$vmSize="<Table M - Item 1 - Minimum size column>"
$staticIP="<Table I - Item 1 - Value column>"
$diskStorageType="<Table M - Item 1 - Storage type column>"
$diskSize=<size of the extra disk for Windows Server AD data in GB>
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first domain controller."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
# Create the second domain controller
$vmName="<Table M - Item 2 - Virtual machine name column>"
$vmSize="<Table M - Item 2 - Minimum size column>"
$staticIP="<Table I - Item 2 - Value column>"
$diskStorageType="<Table M - Item 2 - Storage type column>"
$diskSize=<size of the extra disk for Windows Server AD data in GB>
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second domain controller."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
注:
これらの仮想マシンはイントラネット アプリケーション用であるため、パブリック IP アドレスまたは DNS ドメイン名ラベルが割り当てられず、インターネットに公開されません。 ただし、これは、Azure portal から接続できないことも意味します。 仮想マシンのプロパティを表示すると、[接続] オプションは使用できません。 リモート デスクトップ接続アクセサリまたは別のリモート デスクトップ ツールを使用して、プライベート IP アドレスまたはイントラネット DNS 名を使用して仮想マシンに接続します。
最初のドメイン コントローラーを構成する
任意のリモート デスクトップ クライアントを使用して、最初のドメイン コント ローラー仮想マシンへのリモート デスクトップ接続を作成します。 イントラネット DNS を使用するか、ローカル管理者アカウントのコンピューター名と資格情報を使用します。
次に、Windows PowerShell コマンド プロンプトから次に示すコマンドを使用して、最初のドメイン コントローラーに追加のデータ ディスクを追加する必要があります。
Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"
次に、最初のドメイン コントローラーから組織ネットワーク上の場所への接続をテストします。テストには、組織ネットワーク上のリソースの名前と IP アドレスを探索する ping コマンドを使用します。
この手順では、DNS 名解決が正しく機能していること (仮想マシンがオンプレミスの DNS サーバーで正しく構成されていること)、およびクロスプレミス仮想ネットワークとの間でパケットを送受信できることを確認します。 この基本的なテストが失敗した場合は、IT 部門に問い合わせて、DNS の名前解決とパケット配信の問題のトラブルシューティングを行ってください。
次に、最初のドメイン コントローラーの Windows PowerShell コマンド プロンプトで、次に示すコマンドを実行します。
$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred
ドメイン管理者アカウントの資格情報の入力を求めるダイアログが表示されます。 コンピューターが再起動されます。
2 番目のドメイン コントローラーを構成する
任意のリモート デスクトップ クライアントを使用して、2 番目のドメイン コント ローラー仮想マシンへのリモート デスクトップ接続を作成します。 イントラネット DNS を使用するか、ローカル管理者アカウントのコンピューター名と資格情報を使用します。
次に、Windows PowerShell コマンド プロンプトから次に示すコマンドを使用して、2 番目のドメイン コントローラーに追加のデータ ディスクを追加する必要があります。
Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"
次に、以下のコマンドを実行します。
$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred
ドメイン管理者アカウントの資格情報の入力を求めるダイアログが表示されます。 コンピューターが再起動されます。
次に、DNS サーバーとして使用する 2 つの新しいドメイン コントローラーの IP アドレスを Azure が仮想マシンに割り当てるように、仮想ネットワークの DNS サーバーを更新する必要があります。
$rgName="<Table R - Item 4 - Resource group name column>"
$adrgName="<Table R - Item 1 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$onpremDNSIP1="<Table D - Item 1 - DNS server IP address column>"
$onpremDNSIP2="<Table D - Item 2 - DNS server IP address column>"
$staticIP1="<Table I - Item 1 - Value column>"
$staticIP2="<Table I - Item 2 - Value column>"
$firstDCName="<Table M - Item 1 - Virtual machine name column>"
$secondDCName="<Table M - Item 2 - Virtual machine name column>"
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$vnet.DhcpOptions.DnsServers.Add($staticIP1)
$vnet.DhcpOptions.DnsServers.Add($staticIP2)
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP1)
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP2)
Set-AzVirtualNetwork -VirtualNetwork $vnet
Restart-AzVM -ResourceGroupName $adrgName -Name $firstDCName
Restart-AzVM -ResourceGroupName $adrgName -Name $secondDCName
2 つのドメイン コントローラーを再起動して、これらが DNS サーバーとしてオンプレミスの DNS サーバーで構成されないようにします。 これらはいずれも DNS サーバーなので、ドメイン コントローラーに昇格されたときに、自動的に DNS フォワーダーとして、オンプレミスの DNS サーバーで構成されていました。
次に、Active Directory のレプリケーション サイトを作成して、Azure 仮想ネットワークのサーバーがローカル ドメイン コントローラーを使用するようにする必要があります。 ドメイン管理者アカウントを使用してプライマリ ドメイン コント ローラーにログオンし、管理者レベルの Windows PowerShell プロンプトから次に示すコマンドを実行します。
$vnet="<Table V - Item 1 - Value column>"
$vnetSpace="<Table V - Item 5 - Value column>"
New-ADReplicationSite -Name $vnet
New-ADReplicationSubnet -Name $vnetSpace -Site $vnet
SharePoint ファームのアカウントとアクセス許可を構成する
SharePoint ファームでは、次のユーザー アカウントが必要です。
sp_farm: SharePoint ファームを管理するためのユーザー アカウント。
sp_farm_db: SQL Server インスタンスに対する sysadmin 権限があるユーザー アカウント。
sp_install: 役割と機能のインストールに必要なドメイン管理者の権限があるユーザー アカウント。
sqlservice: SQL Server インスタンスを実行できるユーザー アカウント。
ドメイン コントローラーがメンバーであるドメインのドメイン管理者アカウントを持つ任意のコンピューターにログオンし、管理者レベルの Windows PowerShell コマンド プロンプトを開き、これらのコマンド を一度に 1 つずつ 実行します。
New-ADUser -SamAccountName sp_farm -AccountPassword (read-host "Set user password" -assecurestring) -name "sp_farm" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
New-ADUser -SamAccountName sp_farm_db -AccountPassword (read-host "Set user password" -assecurestring) -name "sp_farm_db" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
New-ADUser -SamAccountName sp_install -AccountPassword (read-host "Set user password" -assecurestring) -name "sp_install" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
New-ADUser -SamAccountName sqlservice -AccountPassword (read-host "Set user password" -assecurestring) -name "sqlservice" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
コマンドごとに、パスワードの入力を求められます。 これらのアカウント名とパスワードを記録して、セキュリティで保護された場所に保管します。
次に、新しいユーザー アカウントにアカウントのプロパティを追加するために、次に示す手順を実行します。
[スタート] ボタンをクリックし、「 Active Directory Users」と入力して、 [Active Directory ユーザーとコンピューター] をクリックします。
ツリー ウィンドウでドメインを開き、 [ユーザー] をクリックします。
コンテンツ ウィンドウで、 [sp_install] を右クリックして、 [グループに追加] をクリックします。
[グループの選択] ダイアログで、「 domain admins」と入力して、 [OK] を 2 回クリックします。
このダイアログで、 [表示]、 [高度な機能] の順にクリックします。 このオプションを使用すると、Active Directory オブジェクトのプロパティ ウィンドウで非表示のコンテナと非表示のタブがすべて表示されます。
ドメイン名を右クリックしをクリックして、 [プロパティ] をクリックします。
[プロパティ] ダイアログで、 [セキュリティ] タブ、 [詳細] ボタンの順にクリックします。
[セキュリティの詳細設定] ウィンドウで、 [追加] をクリックします。
[アクセス許可エントリ] ウィンドウで、 [プリンシパルの選択] をクリックします。
テキスト ボックスに「 \sp_install」と入力して、 [OK] をクリックします。
[コンピューター オブジェクトの作成] に [許可] を選択して、 [OK] を 3 回クリックします。
次に、このフェーズが正常に完了した結果の構成を示します。コンピューター名にはプレース ホルダーを使用しています。
フェーズ 2: 高可用性 SharePoint Server 2016 ファームのドメイン コントローラー
次の手順
「Azure での SharePoint イントラネット ファームのフェーズ 3:SQL Server インフラストラクチャを構成する」を使用して、このワークロードの構成を続行します。
関連項目
その他のリソース
Azure で SharePoint Server と SQL Server の Always On 可用性グループを展開する
Microsoft Azure での SharePoint Server