以前、Team Foundation ServerのKindle本を書いたとき、Azure AD Domain Servicesのドメインに参加したWindows Serverを使っていました。当時はEntra(Azure AD)テナントの都合でMicrosoft 365ドメインと同じドメインで使えなかったのですが、サブスクリプションのテナントをM365テナントと同じテナントに付け替えたので、使えるようになりました。ということで、重い腰を上げてVMの移行をしたら割とはまりました。
Azure Entra Domain Servicesを別ドメインへ移行
できません。もともとドメインがことなるし、実験用だったので全く問題ないのですが、Entra Domain Services(旧AADDS)ではドメイン変更するときは一から作り直しです。昔、ARMになる前のClassic deployからARMへ切り替えたとき一度削除して再デプロイしたらユーザー情報が丸ごと残っていて助かったのですが、今回はドメインも違うしそもそもオンプレADと同期するので消えても問題ないことにします。
サブスクリプションの変更はできるそうですが、やらないに越したことはないので、本当に使うときは計画的に。評価用で…と思っても、Entraテナントに対してEntra Domain Servicesは一つしか作れないので、要注意です。
ドメイン参加していたVMを移行する
Azureの仕様上、異なるVirtual Networkに関連付けられているNICを同時にマウントできないようです。そして、Azure VMは必ず一つ以上のNICがアタッチされていないといけません。どうするか…ということで、Managed Diskを残して、VM削除(NICは消えてもいい)。
残ったManaged Diskから再度VMを作る、ということになります。新VMでは新しいVNETにアタッチされたNICを使います。
VMを新しく作ったら、ちゃんとAzure Entra Domain Serviceへpingが通るかどうか確認しましょう。
ping Entraドメイン名
応答が返ればOKです。
新ドメインへ参加
ここでめちゃくちゃはまりました。Windows ServerをEntra Domain Servicesに参加するとき、オンプレミスのIDとパスワードを指定しても「アカウントがロックされています」というエラーで入れません。
いくつかオンプレミス(でEntraと同期している)のアカウントを指定してもだめ。トラブルシューティングによると5分以内に2回試行して失敗するとロックだそうなので、30分待ちます。
しかしそれでもだめ。
アカウントリセットが必要なのではないかと教えてもらったけど、以前からオンプレミスにあるアカウントだしなぁ…ということで、よくよくドキュメント見直してみたら、オンプレミスからEntraへはAzure Entra Connectを使ってハッシュ同期していて、それで済んでいると思っていたら別途ハッシュ同期やらないといけなかったみたいですね。
このドキュメントにあるPowerShellスクリプトを実行すればちゃんとAzure VMでもAzure Entra Domain Servicesへの参加ができました。最初スクリプトがエラーになって、なんだ?と思ったら
$azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
ここを書き直すのに、hoge.onmicrosoft.com - AADの- AADをつけ忘れていたからでした。よく読もう。ちなみにこの辺のAzure Entra Connectのオンプレミス同期はAZ-500の試験範囲です(ちょっと前に受けたばかり)。Entra Domain Servicesは確か演習でもやらなかったけど。
