ActiveDirectory」タグアーカイブ

ProxmoxでユーザをActive Directory認証する

グループとユーザ作成

$password = ConvertTo-SecureString "[email protected]" -AsPlainText -Force
New-ADUser -Name VMAdmin1 -AccountPassword $password -ChangePasswordAtLogon $false -CannotChangePassword $false -PasswordNeverExpires $true -Enabled $true
New-ADGroup -Name VMAdmins -GroupScope Universal -GroupCategory Security
Add-ADGroupMember -Identity VMAdmins -Members VMAdmin1

# ユーザ確認
Get-ADUser -Filter {sAMAccountName -like "VMA*"} -Properties * | select displayName,name,enabled,sAMAccountName,canonicalName | ft
# グループ確認
Get-ADGroup -Filter {sAMAccountName -like "VMA*"} -Properties * | select displayName,name,enabled,sAMAccountName,canonicalName | ft

ProxmoxのDNSを、ADに変更(任意)

ADの認証レルムを追加

DNSを変更していない場合は、IPで指定する。

BINDユーザとパスワードを入力する。今回はDC管理者を設定。「既定の同期オプション」は、すべて「はい」にしておく。

CN=DCAdmin,CN=Users,DC=sabaya,DC=lan

同期テストと確認

通常運用時は、ユーザのみ同期でいいかもしれない。

UsersとVMAdminsグループが同期されていればOK。

ログイン確認

レルムでADドメインを指定して、ログインする。

RDSなしでRDゲートウェイ構築① ~準備編~

RDゲートウェイは、RDSとのセット利用が必須と思っていたが、単体でも使えるとのこと。以下のサイトを参考にして、RDP3389をHTTPS443でカプセル化するための、単機能として使えるかテストする。

ADユーザとグループ作成

$password = ConvertTo-SecureString "[email protected]" -AsPlainText -Force
New-ADUser -Name RDGtestUserA -AccountPassword $password -ChangePasswordAtLogon $false -CannotChangePassword $false -PasswordNeverExpires $true -Enabled $true
New-ADGroup -Name RDGtestGroup -GroupScope Universal -GroupCategory Security
Add-ADGroupMember -Identity RDGtestGroup -Members RDGtestUserA

# ユーザ確認
Get-ADUser -Filter {sAMAccountName -like "RDG*"} -Properties * | select displayName,name,enabled,sAMAccountName,canonicalName | ft
# グループ確認
Get-ADGroup -Filter {sAMAccountName -like "RDG*"} -Properties * | select displayName,name,enabled,sAMAccountName,canonicalName | ft

役割インストール

Install-WindowsFeature RDS-Gateway -IncludeManagementTools
# RDゲートウェイマネージャ起動
tsgateway.msc

証明書インポート

前回のエントリで作成した、自己証明書をインポートする。

AzureAD Connectでディレクトリを即時同期する

ADSyncモジュールを使うことで、30分の同期時間を待たずに即時同期ができる。

コマンド

AAD Connectがインストールされていること。

Import-Module –Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -Verbose
# スケジュール確認
Get-ADSyncScheduler
# 差分同期
Start-ADSyncSyncCycle -PolicyType Delta
# 完全同期
Start-ADSyncSyncCycle -PolicyType Initial

同期の確認

30秒ほどかかった。ディレクトリ量によって同期時間は増えそう。

Connect-AzureAD
Get-AzureADUser -SearchString "Synctest"
# グリッド表示
Get-AzureADUser -SearchString "Synctest" | Out-GridView -PassThru

その他

しばらくして、AAD同期エラーの通知メールを受信した。サービスの再起動をすべきとの内容。

ADSyncサービスの再起動

Restart-Service -Name "Microsoft Azure AD Sync"
Get-Service "Microsoft Azure AD Sync"

同期ステータスの確認

Get-ADSyncAADPasswordSyncConfiguration -SourceConnector sabaya.lan

PowerShellでAD管理用RSATインストール

RSATはクライアントOS専用。Windows Serverでは「役割と機能」からインストールしリモート管理する。今回はWin10マシンを用意した。

現在の状況確認

Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property DisplayName, State

インストール

全てインストールするとそこそこ時間がかかる。

Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability -Online

結果確認

RSATツール起動

普通に起動しただけだと次のようなエラーが出た。Ctrl + Shift + 右クリックから「別のユーザで実行」を選択し、DC管理者で実行することで接続ができた。

PowerShellでクライアントのAD参加

Win10クライアントのPowerShellから、DNS設定とドメイン参加まで行う。Sysprepゴールドイメージでキッティング済みの場合は、DNS設定は不要。

DNS設定

# NIC番号確認
Get-NetIPInterface -AddressFamily IPv4 
# DNS変更
Set-DnsClientServerAddress -InterfaceIndex "NIC番号" -ServerAddresses "IPアドレス" -PassThru 

Active Directory参加

Add-Computer –DomainName "sabaya.lan"

結果確認

Get-WmiObject Win32_NTDomain | Select DnsForestName,DomainControllerName,Status

PowerShellでActive Directoryインストール

PSRemotingで遠隔インストールする。

役割のインストール

Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools 

ドメインフォレストの指定

インストールが終わると再起動される。

Install-AddsForest -DomainName sabaya.lan

設定確認

Get-ADDomain | ft NetBIOSName,DNSRoot,PDCEmulator,DomainMode,UsersContainer