ラージビッグバナー(970x90)

Azure

【Azure Files】AD参加(AD認証の有効化)が失敗するときの確認ポイント

更新日:

ビッグバナー(piglog)728px

Azure Files をAD認証を有効化して利用することで、従来のWindows Serverで運用してきたファイルサーバと同じようにファイル(NTFS)のアクセス権管理をクラウドでも同じように行うことができます。

今回は、Azure Files のAD認証を有効化する際の処理が失敗する場合の確認ポイントをまとめておきます。

AD認証を有効化する手順は以下にまとめています。

【Azure Files】ファイル共有をAD認証を有効化してアクセス権管理

Azure Files をファイルサーバ(ファイル共有)として利用する場合、アクセス権管理のためにAD(ADDS)認証、またはAzureADDS認証を利用することになると思います。 いずれかの認証を有 ...

続きを見る

確認ポイント

.NET Framework4.7.2 が必要のエラー

Join-AzStorageAccountForAuth.ps1 実行時に、.NET 4.7.2以上が必要のようです

こちら>> からダウンロードしてインストールします。

インストール後、再起動が必要になります。

確認コマンドは以下です。

 

NuGetプロバイダーインストール時にインターネット接続できないエラー

NuGet プロバイダーのダウンロード、インストールが 2020 年 4 月以降で TLS 1.0/1.1 はサポートされず、TLS 1.2 のみをサポートするようになったとのこと。※NuGetとは、パッケージ管理のリポジトリのようなもの
Windows Server 2019とWindows10はデフォルトでTLS1.2が有効のため、問題なしです。

対処

まず、TLSのバージョンを確認します。

ちなみに↑のコマンド結果が「SystemDefault」と出力された場合は、TLS1.2 が有効になっています。

やりかたは大きく2つあります。

  1. Windows PowerShell のセッション内でのみ、 TLS 1.2 に設定する

    ※ スクリプト実行時に、結局PowerShellGet 1.6.0以降が必要と言われてアップデートすることになるので、やっぱり以下でやったほうがよい
  2. PowerShellGet モジュールを v2.2.4 以上にアップグレード

    ※バージョンは2.2.4以上であればOKだが、最新はここから>> 要確認

TLSバージョン確認

 

ストレージアカウント名の文字数オーバー

以下のエラーがでた場合は、ストレージアカウントの文字数が15文字以上となっていることでエラーとなっています。

 

そもそも、ADに参加させるためにやっているので、コンピュータアカウントと同じように ADのオブジェクト( SamAccountName )として15文字以下が必須。なのは、知ってはいたものの考慮せずにここまで来てしまうと、ここでこのエラーですかい orz となります。

ここまできてストレージアカウントの作成からやり直しは結構なえます。

よくよく見返してみると、スクリプトにはコメントがありました。そんなとこまでいちいち読まねぇよっ

できれば前提条件として、明記してほしい。。。

 

リソースグループを取得できない

Connect-AzAccount で接続するアカウントのロールはちゃんと確認しておきましょうという話です。

もちろんグローバル管理者のロールを割り当てていればOKです。

AD参加させるスクリプトを実行する前に、Powershell で Connect-AzAccount したうえで、ストレージアカウントが所属するリソースグループ情報を取得できるか実際にやってみるのが確実です。

とりあえず処理が通れば良い!という場合は、ポータルにログインする際のアカウントを使用すればOKです。

 

AzureADDS 認証が有効になっている

和訳)
Set-AzStorageAccount:ストレージアカウントはすでにAzureActiveDirectoryDomainServicesForFileを有効にしています。
ActiveDirectoryDomainServicesForFileを有効にする前に、「-EnableAzureActiveDirectoryDomainServicesForFile $ false」を指定してこのコマンドレットを実行し、無効にしてください。

AzureADDS認証 か ADDS認証のいずれかしか有効にはできません。

この環境では、AADDS認証のテストをしたあとに、同じストレージアカウントを使用して、ADDS認証を有効化しようとしてしまったという状況です。もし有効にしている場合は無効にしておきましょう。

 

まとめ

いかがでしたでしょうか。

我ながら割とハマったな、、という印象です。。。MSの公開情報をちゃんと読んでいれば事前に回避できることもあったな、というのと、カンの良い人であれば、事前に気づけることも多いかもしれません。

ま、ここにわたしのやらかした内容を残しておくことで、困っている人の助けになれば幸いでございます。

では!

↓↓↓ Azureの入門資格取るなら ↓↓↓

pig-log_ディスプレイ横長

リンクユニット(レスポンシブ)

-Azure
-, ,

Copyright© ぴぐろぐ , 2024 All Rights Reserved.