目次
Windows Server 2019でADサーバーを構築する
Windows Server 2008R2の更改時期に差し掛かり、新規でADサーバーを新しいOSで構築しなければいけない事が増えてきたかと思います。
今回はまず触りとして、Windows Server 2019を利用して、新規フォレスト環境のADサーバを構築する手順を一から解説していきます。
準標準装備となったWindows Admin Center
今までWindows Serverを管理する際は、サーバーマネージャーを利用していましたが、サーバーマネージャー自体レガシーである、動作が重たいことから、マイクロソフトはサーバーマネージャーに代わる、WEBベースの管理ツール「Windows Admin Center」を2018年4月に正式リリースしました。
Windows Server 2016がリリースされた頃はまだリリースされていなかったため、サーバーマネージャーを立ち上げても何も表示されませんでしたが、Windows Server 2019からは上図のように、サーバーマネージャーを立ち上げると、Windows Admin Centerを「インストール」するよう促すメッセージが表示されます。
そうなんです、あくまで追加インストールが必要で、プリインストールされているわけではありません。また、後述する理由から僕はWindows Server 2019にWindows Admin Centerが「準標準装備」された、と記載しています。
Windows Admin Centerのインストール
Windows Admin Centerをダウンロードするために下記サイトへアクセスし、
上図赤枠内の「こちらで入手します。」をクリックして安定版をダウンロードします。
インストーラを起動すると上図の様なウィンドウが表示されるので、「使用許諾契約書に同意します」にチェックを入れ、「次へ」をクリックします。
すると、Microsoft Updateを利用して、更新プログラムを確認するかどうか選択するウィンドウが表示されます。
本手順では特に問題無いため、推奨設定である「更新プログラムを確認するときにMicrosoft Updateを使用する」にチェックを入れ「次へ」をクリックします。
ゲートウェイのエンドポイントの構成について説明が表示されますが、Windows Admin Centerについては別記事で紹介するため、一旦ここでは「次へ」をクリックして先に進めます。
上図についてもそのまま「次へ」をクリックします。
Windows Admin CenterはWEBベースの管理ツールですので、利用するポートの選択と、利用する証明書を選択するウィンドウが表示されます。
今回はADサーバーに導入するため、そのまま「インストール」をクリックします。
上記ウィンドウが表示されたら成功です。
今後、Internet Explorer 11以外でhttps://<ホスト名>/にアクセスし、Windows Admin Centerを利用することになります。
ADサーバー機能のインストール
Windows Admin Centerに初めてアクセスすると、上図の通りツアーが表示されるので、「ツアーをスキップする」をクリックします。
すると上図の通り、サーバ一覧に今回構築したサーバが追加されているはずですので、ホスト名(例ではakatsuki-mk2)をクリックします。
すると上図の通り、選択したサーバのダッシュボードが表示されます。
左ペインのメニューを一番下までスクロールすると、上図赤枠内の通り「役割と機能」があるのでクリックします。
すると上図の通り「役割と機能」ページが表示されるので、「Active Directoryドメインサービス」を選択し、「インストール」をクリックします。
すると上図の通り確認ウィンドウが表示されるので、「はい」をクリックします。
通知アイコンをクリックし、上図の通りサービスのインストールが正常に完了していればOKです。
ADサーバの構築
さぁ!Windows Admin CenterでAD構築だ!と行きたいところなのですが、残念ながらAD構築には令和になってもサーバーマネージャーを使わなければなりません・・・
サーバーマネージャーを立ち上げ、タスクの旗アイコンをクリックし、上図赤枠内の「このサーバーをドメインコントローラーに昇格する」をクリックします。
すると、上図のようなウィンドウが表示されます。
今回は新規フォレストを追加するので、「新しいフォレストを追加する」を選択し、ルートドメイン名に「hogehoge.com」の様にルートドメイン名を入力し、「次へ」をクリックします。
その際に指定するドメインですが、自身が所有しているドメインを利用するようにしてください。
続いて、フォレストの機能レベル、ドメインの機能レベル、ドメインコントローラーの機能、ディレクトリサービス復元モードのパスワードを選択するウィンドウが表示されます。
フォレストの機能レベル、ドメインの機能レベルについては、Windows Server 2019にて新AD環境を構築していますが、既存のドメインコントローラにWindows Server 2019を追加する場合は、追加先のフォレストの機能レベル、ドメインの機能レベルがWindows Server 2008R2以上である必要があります。
[table id=101 /]
ドメインコントローラの機能については、マスタサーバとして追加するため、「ドメインネームシステム(DNS)サーバー」と「グローバルカタログ」にチェックが入っていることを確認します。
そして、ディレクトリサービス復元モードのパスワードですが、こちらはADサーバで何か問題が起きたときに利用する「ディレクトリサービス復元モード」で利用するパスワードとなりますので、任意の値を入力し忘れないよう管理を行います。
全ての入力、選択が完了したら「次へ」をクリックします。
DNSオプションを指定するウィンドウが表示されますが、そのまま「次へ」をクリックします。
NetBIOS名を入力するウィンドウが表示されますが、通常はそのままで「次へ」をクリックします。
続いてデータベース、ログ、SYSVOLのパスを選択するウィンドウが表示されますが、基本的にはデフォルト値を利用するため、そのまま「次へ」をクリックします。
最後に確認ウィンドウが表示されるので、設定値が問題無いことを確認してから「次へ」をクリックします。
すると、AD構築前の前提条件チェックが走ります。
上図の通り、「すべての前提条件チェックに合格しました。[インストール]をクリックしてインストールを開始してください。」と表示されていれば問題ありません。
[インストール]をクリックします。
インストールが完了すると、上図の様なメッセージが表示され、サーバが自動的に再起動されます。
再起動が完了したらADサーバの構築完了です。
ドメイン参加後のローカル管理者権限
元々はドメインのAdministratorには自動的にサーバのローカル管理者権限が付与されるのですが、Windows Admin Centerをインストールしている環境では、上図の様に「管理者」ではなく「Windows Admin Center CredSSP Admins」という権限が付与されています。
ローカルの管理者権限が付与されていないので、NICの設定を変更しようと思っても、上図の通り権限が不足しているため開けない旨のエラーが表示されます。
そこで登場するのが本記事冒頭で出てきた「Windows Admin Center」。
Windows Admin Centerを使うと上図の様にNICの設定画面を表示できますし、
上図の通りIPアドレスの変更が可能です。
Windows Admin Centerを導入した場合は、基本的にはWindows Admin Centerで設定変更等を行うイメージとなります。
