Windows Server 2016 で、ADドメインを構築する
Windows Server管理者の憂鬱第3回では、ADドメインを構築する手順をまとめます。
Windows Server 2019編も公開しております。
[aside type=”normal”]
既にWindows Server 2016はインストール済みとしています。
[/aside]
役割と機能の追加
まずは、サーバーマネージャーを開き、「役割と機能の追加」をクリックします。
「開始する前に」というウィンドウが表示されますので、「次へ」をクリックします。この画面自体は、そこまで重要な画面でも無いですので、「既定でこのページを表示しない」にチェックを入れてから、「次へ」をクリックすると良いと思われます。
「インストールの種類の選択」ウィンドウが表示されます。Windows Server 2016では、物理サーバー、仮想サーバー、オフラインの仮想ハードディスク(VHD)にインストールすることが出来ます。
今回は、物理サーバーに対してインストールを行いますので、「役割ベースまたは機能ベースのインストール」を選択して、「次へ」をクリックします。
「対象サーバーの選択」ウィンドウが表示されますので、「サーバープールからサーバーを選択」を選択し、サーバープール欄から、ドメインコントローラーとして、使いたいサーバーを選択して、「次へ」をクリックします。
サーバーの選択が完了すると、「サーバーの役割の選択」ウィンドウが表示されるので、「Active Directory ドメインサービス」にチェックを入れて、「次へ」をクリックします。
なお、Active Directory ドメインサービスは、リモートサーバー管理ツール(RSAT)が必要になりますので、自動で機能が追加されます。
次に、「機能の選択」ウィンドウが表示されます。今回は、ひとまず何も選択せずに、「次へ」をクリックします。
役割は、サーバーにインストールして、適切に構成することによって、複数のユーザーやネットワーク内部のその他のコンピューターに対して特定の機能を実行できるようにする、一連のソフトウェアのことを指します。
機能は、役割の直接的な一部ではないものの、どの役割がインストールされているのかに関係なく、1つまたは複数の役割の機能を支援または強化したり、サーバの機能を強化したりすることのできるソフトウェアのことを指します。
次に進むと、Active Directory ドメインサービスの説明画面が表示されます。Windows Server 2016からは、Azureに対応したサーバーOSを謳い文句として、リリースしています。
そのため、Azure Active Directoryを構成するメニューが表示されます。しかし、今回はオンプレサーバーとして構築しますので、そのまま「次へ」をクリックします。
「インストールオプションの確認」ウィンドウが表示されますので、インストールされる役割と機能を確認し、問題無ければ「インストール」をクリックします。
なお、このウィンドウには「必要に応じて対象サーバーを自動的に再起動する」オプションが用意されていますが、サーバ構築するにあたって、少々乱暴なオプションですので、お作法としてチェックを外しています。
すると、「インストールの進行状況」ウィンドウが表示されます。こちらでインストールの進行状況を確認することが出来ます。
これで、Active Directoryドメインサービスのインストールが完了しました。
Active Directory ドメインサービスの構成
もちろんのことながら、Active Directoryドメインサービスは、インストールしただけでは、機能しません。
インストールが完了すると、プログレスバーの下のメッセージが、「構成が必要です。<サーバ名>でインストールが正常に完了しました。」と表示されますので、「閉じる」をクリックします。
ですので、サーバーマネージャーの、右上のフラッグアイコンをクリックし、「このサーバーをドメインコントローラーに昇格する」をクリックします。
すると、「Active Directoryドメインサービス構成ウィザード」ウィンドウが表示されます。
今回は、新規でドメイン環境を構築するので、「新しいフォレストを追加する」にチェックを入れて、「ルートドメイン名に」任意のルートドメイン名を入力します。
なお、このルートドメインでは、「.local」を利用することが想定されていますので、「<任意の文字>.local」を入力して、「次へ」をクリックします。
さて、今回ルートドメイン名を「.local」として利用しますが、Office 365を利用する場合には、少し注意が必要です。
Office 365では、独自ドメインを利用することが出来ますが、その場合Office 365で利用する独自ドメインと、ローカルADユーザーのUPNサフィックスとして利用する必要があります。
このUPNサフィックスと、Office 365で設定した独自ドメインに齟齬があると、Office 365で独自ドメインを設定しても、「onmicrosoft.com」が利用される仕様になっています。
しかし、後から既存ADのドメイン名を変更するのはリスキーですし、かといって「.local」ではなく、独自ドメインを利用することも避けたいところ。
その場合は、「Active Directory ドメインと信頼関係」を利用して、「代わりのUPNサフィックス」に、独自ドメインを設定することで、既存ADのドメイン名を変更することなく、Office 365側で独自ドメインが利用できるようになります。
さて、補足説明が長くなってしまいましたが、次へをクリックすると、「ドメインコントローラーオプション」が表示されます。
今回は、Windows Server 2016を使って、新規AD環境を構築するので、「フォレストの機能レベル」と、「ドメインの機能レベル」はどちらも「Windows Server 2016」を指定します。
ドメインコントローラーの機能としては、「ドメインネームシステム(DNS)サーバー」、「グローバルカタログ(GC)」、「読み取り専用ドメインコントローラー(RODC)」が用意されています。
基本的には、「ドメインネームシステム(DNS)サーバー」、「グローバルカタログ(GC)」にチェックを入れるようにしてください。
ディレクトリサービス復元モード(DSRM)のパスワードには、ADをリストアする際に利用する、DSRMで利用するパスワードになりますので、必ず設定するようにしてください。
全ての設定が完了したら、「次へ」をクリックします。
すると、「DNSオプション」ウィンドウが表示されます。こちらは、サブドメインを利用する際に、有効化するオプションです。
今回は単一ドメインで、構築を行いますので、このオプションにはチェックを入れず、「次へ」をクリックします。
警告画面が表示されますが、DNS委任を作成しないので、そのまま「OK」をクリックします。
すると、「追加オプション」ウィンドウが表示され、ドメインに割り当てられている、NetBIOS名を変更できるようになっていますが、こちらは変更せずに、「次へ」をクリックします。
次に、「パス」ウィンドウが表示されます。ここでは、Active Directory ドメインサービスで利用する、データベース、ログファイル、SYSVOLのフォルダパスを設定できるのですが、基本的にはデフォルトのままとして、「次へ」をクリックします。
「オプションの確認」ウィンドウが表示されますので、設定内容が正しいか確認し、「次へ」をクリックします。
すると、「前提条件のチェック」ウィンドウが表示されますので、エラーが発生していないか確認し、「インストール」をクリックします。
すると、「インストール」ウィンドウが表示されますので、インストールが完了するまで待ちます。
インストールが完了すると、「サインアウトしようとしています」という警告ウィンドウが表示されるので、「閉じる」をクリックします。その後、自動的に再起動がかかります。
初回起動時に、ドメインのAdministratorパスワードを設定する画面などが表示されるので、設定を行います。
すべての設定が完了して、再起動が完了すると、「サーバーマネージャー」に「AD DS」と「DNS」が追加されます。
これで、ドメインコントローラー、ADドメイン環境の構築は完了です。
セカンダリドメインコントローラの追加
一応、これでADドメイン環境の構築は完了しているのですが、冗長性を持たせるために、セカンダリドメインコントローラを追加して、冗長性を確保するのが基本です。
セカンダリドメインコントローラーとして、設定したいサーバの、「サーバーマネージャー」を開き、「役割と機能の追加」を選び、「Active Directoryドメインサービス」の追加を行います。
前回は、「新しいフォレストを追加する」を選んでいましたが、今回はセカンダリドメインコントローラを、既存のドメインに追加するので、「既存のドメインにドメインコントローラーを追加する」を選択し、「ドメイン」にはドメインコントローラを追加したいドメインを入力します。
その跡、資格情報を設定する必要がありますので、「変更」をクリックします。
すると、Windowsの認証情報入力ウィンドウが表示されますので、「ドメイン」の「Administrator」を指定します。
資格情報の設定が完了すると、先ほどまで「<資格情報が指定されていません>」と表示されていた部位に、先ほど入力した資格情報がセットされていることが確認できます。確認できたら、「次へ」をクリックします。
すると、「ドメインコントローラーオプション」ウィンドウが表示されるので、「ドメインネームシステム(DNS)サーバー」、「グローバルカタログ(GC)」にチェックを入れ、サイト名は「Default-First-Site-Name」を選択します。
そして、ディレクトリサービス復元モード(DSRM)パスワードの入力を行い、「次へ」をクリックします。
「DNSオプション」ウィンドウが表示されますので、「DNS委任の更新」にチェックを入れずに、「次へ」をクリックします。
「追加オプション」ウィンドウでは、レプリケート元を、「任意のドメインコントローラー」に指定して、「次へ」をクリックします。
「パス」ウィンドウでは、データベース、ログファイル、SYSVOLフォルダを指定出来るのですが、プライマリドメインコントローラの時と同じく、デフォルトのまま「次へ」をクリックします。
「オプションの確認」ウィンドウでは、今まで指定したオプションに問題無いか確認し、「次へ」をクリックします。
最後に、「前提条件のチェック」ウィンドウが表示されますので、エラーが発生していないか確認し、「インストール」ボタンをクリックします。
インストールが完了されたら、プライマリドメインコントローラの時と同じく、「サインアウトしようとしています」と警告ウィンドウが表示されますので、「閉じる」をクリックし、サーバーの再起動を行います。
以上で、セカンダリドメインコントローラの追加は完了です。
これで、最低限のADドメイン環境の構築が完了しました。
まとめ
前回の連載回から少し時間が空いてしまいました・・・
今回の記事で、Windows Server 2016を利用した、ADドメイン環境の構築が完了しました。
次回以降からは、運用側の設定や、SCCMを使った端末の管理などの記事を執筆していく予定です。
