Windows Server 2019 で Active Directory ドメイン サービスの構築
職場環境にいろいろございまして、最近のインフラに関する知識も必要になりました。日々勉強です。
そんなこんなで、まずはドメインコントローラーを構築すべく Windows Server 2019 で Active Directory を構築します。
Active Directory は、 Windows で動作するディレクトリサービスでユーザの一元管理やクライアントパソコンのポリシーを管理、認証系システムを連携するような場合にあると便利な機能になります。
ここでは、 Active Directory ドメイン サービスの導入までをまとめていきます。
Active Directory のパラメータ
Active Directory を構築する前にどのような環境を構築するのか設計を行う必要があります。今回は、新規の構築でドメインコントローラーを 1 台構築するとしとして次のようなパラメータを用意しました。
| 項目 | 内容 |
|---|---|
| サーバー OS | Windows Server 2019 Std |
| サーバーの IP アドレス | 192.168.123.9/24 |
| サーバーのホスト名 | AD-SRV |
| ドメインの配置構成 | 新しいフォレストにドメインを追加します。 |
| フォレストの機能レベル | Windows Server 2016 |
| ドメインの機能レベル | Windows Server 2016 |
| ドメイン名 | gha.bnote.net |
| NetBIOS 名 | GHA |
| ディレクトリサービス復元モードのパスワード | 任意のパスワード |
いろいろなケースで命名は悩ましいのですが、 Active Directory のドメイン名は一度決めたら変えたくないのではないでしょうか? rendom コマンドなども用意されているのですが、どのくらい使用されているのでしょうか?
ドメイン名の付け方を少し調べてみたところ、マイクロソフトのサイトに Active Directory: Best Practices for Internal Domain and Network Names という記事があります。この記事には、ベストプラクティスとして「パブリックドメインに、サブドメインを加える形がよいと」記載されています。また、日本国内で古くから利用されてきた? .local と付けた場合、 .local はマルチキャスト DNS (mDNS)で利用されているため Apple 製のデバイスや Windows10 (ビルド 1803 以降)がドメインに追加されていると不具合が発生する事があるよう。
役割と機能の追加
ログインすると自動的に起動してくるサーバーマネージャーから[役割と機能の追加]をクリックします。
[役割と機能の追加ウィザード]が起動し、3 つほど事前確認があるので準備ができているか確認して[次へ]をクリックします。
インストールの種類の選択画面が表示されます。インストールの種類は[役割ベースまたは機能ベースのインストール]にチェックを入れて次へ進めます。
対象サーバーの選択画面が表示されます。[サーバープールからサーバー選択]をチェックし、サーバープールに Active Directory ドメイン サービスを導入するサーバーのホスト名、IP アドレスが選択されていることを確認します。
サーバーの役割の選択画面が表示されます。役割のリストから [Active Directory ドメイン サービス] をチェックします。
チェックをクリックすると Active Directory ドメイン サービスに必要な機能を追加しますか?と尋ねられるので、[機能の追加]をクリックして機能を追加します。
元の画面に戻り、 [Active Directory ドメイン サービス] にチェックが入るので次へ進めます。
機能の選択画面が表示されます。必要となる機能は選択されているので、そのまま次へ進めます。
実運用では必要となる注意事項が表示されます。企業等で環境を構築する場合は、しっかりと設計した方が良いでしょう。
インストールオプションの確認画面が表示されます。ここまでで、選択された機能が表示されるので確認してインストールを行います。
インストール作業が終わるまで少し待ちます。
Active Directory ドメイン サービスのインストールが完了すると、プログレスバーの下に「構成が必要です。(ホスト名)でインストールが正常に完了しました」と表示されます。少しわかりにくいのですが、その下に「このサーバーをドメインコントローラーに昇格する」というリンクっぽい部分をクリックします。
Active Directory ドメインサービスの構成
Active Directory ドメインサービスの追加が完了したので、ここからはドメインサービスの構成ウィザードでドメインコントローラーを構成していきます。
今回は、まっさらな状態で構成していきますので[新しいフォレストを追加する]にチェックを入れ、ルートドメイン名に[gha.bnote.net]と入力して次へ進めます。
ドメインコントローラーオプション画面が表示されます。用意したパラメータの「機能レベル」や「ディレクトリサービス復元モードのパスワード」を設定します。ドメインネームシステム(DNS)サーバーとグローバルカタログのチェックはそのままにして次へ進めます。
DNS オプション画面が表示されます。 DNS サーバーが存在しないので、そのまま次へ進めます。
追加オプション画面が表示されます。少し間をおいてルートドメイン名に指定したサブドメイン名が NetBIOS ドメイン名に表示されます。(ここでは、GHA)
そのまま次へ進めます。
AD DS データベース、ログファイル、SYSVOL のパス指定画面が表示されます。ここでは、そのまま次へ進めます。
※古い資料ですが、Active Directory の障害回復の中にデータベースファイルが大きくなっていくことや、データベースとログファイルを別の物理ディスクに分けて配置することなどが記載されています。2021 年現在のサーバー環境においては、どうなのでしょうか・・・
オプション確認画面が表示されます。ここまでに設定した内容を確認して次へ進めます。
前提条件のチェック画面が表示されます。 警告が表示されますが、「すべての前提条件のチェックに合格しました。[インストール]をクリックしてインストールを開始してください。」というメッセージが表示されていれ問題ないようですので[インストール]ボタンを押して次へ進めます。
※IPv6 を無効にしていると「続行する前に、DNS クライアントの構成を完了してください」と表示されインストールができませんでした。
インストール作業が終わるまで少し待ちます。
「このサーバーはドメインコントローラーとして正常に構成されました」というメッセージが表示され、自動的に再起動します。
表示されているユーザー名がドメイン名\ユーザー名になっていることを確認し、ドメインの管理者である Administrator で、ドメインコントローラーへログインします。
AD DS の構築確認
ログイン後表示されるサーバーマネージャーに「AD DS」と「DNS」が追加されます。「AD DS」をクリックしてサーバーを確認します。
AD DS の画面が表示されます。サーバーに AD-SRV が表示されていることを確認します。
表示されているサーバーを右クリックして表示されたメニューから、[Active Directory ユーザーとコンピューター]を選択します。
Active Directory ユーザーとコンピューター画面が表示されます。左ペインの[Domain Controllers]をクリックして右ペインに構築したホスト名が表示されることを確認します。ドメインコントローラーとして構築できていることが確認できます。
DNS の確認
Active Directory ドメインサービスの構築の中で DNS サーバーの構築も行われます。
ネットワークのプロパティを確認すると「優先 DNS サーバー」に自分自身を示すループバック・アドレス(127.0.0.1) が登録されていることが確認できます。
ここまでで、AD DS の構築ができました。次は、DNS の逆引き設定と DNS のフォワーダーなどの設定がありますが、長くなりましたので別途まとめたいと思います。