Windows Server 2012 R2 Active Directoryにドメインコントローラーを追加する

以前の記事でWindows Server 2012 R2を環境でのActive Directory構築手順を紹介しました。

その記事内でも少し記載しましたが、Active DirectoryによるWindowsドメインの場合、ドメイン内にドメインコントローラーを2台以上、配置することが推奨されています。ドメインコントローラーは、Active Directoryの全情報を管理していますので、1台だと故障や障害に弱い構成になってしまう（単一障害点となる）のが、その理由となります。
今回は、Windows 2012ドメインに2台目のドメインコントローラーを追加する手順を紹介します。まだドメインの構築が終わっていない場合は、紹介した記事を参照してドメインを構築してください。

1. ドメインコントローラーを追加する環境

環境は

で作成したActive Directoryと同様になります。
おさらいの意味も含めて、もう一度、記載します。

新規に追加するドメインコントローラーはWindows Server 2012 R2 Standardになります。
本環境では、以下のようにセットアップしています。

上記の環境を前提に、追加ドメインコントローラーのセットアップ手順を記載していきます。

2. 事前準備

新規に追加するドメインコントローラーは、既存のドメインにメンバーとして追加しておきます。既存ドメインのメンバーとして追加する手順は以下の通りです。

で2012 R2の基本的なセットアップ手順を紹介しています。2012 R2のセットアップが完了していない場合、参考にして下さい。ここでは、基本的なセットアップ手順が終了している前提で、進めます。

2012 R2の基本セットアップ、全て完了している必要はありませんが、最低限、ホスト名とIPアドレスの設定は必要となります。
また、メンバーサーバーの追加時に、ドメインの管理者権限（Domain AdminsかAccount Operatorのグループ権限）が必要です。こちらはアカウント名と、パスワードを事前にご用意下さい。

2-1. DNSサーバーの設定

ドメインに参加する場合、DNSサーバーとして、既存のドメインコントローラーを指定します。
[インターネットプロトコル バージョン4のプロパティ]から[次のDNSサーバーのアドレスを使う]
[優先DNSサーバー]に既存のドメインコントローラーのIPアドレス(ここでは192.168.241.7)を設定します。

設定が終わったら、[OK]をクリックして保存します。

2-2. ドメインへの参加

[コントロールパネル][システム]から、[システムの詳細設定]をクリックして
[システムのプロパティ]を表示します。
[コンピューター名]タグ、[変更]をクリックします。[コンピュータ名/ドメイン名の変更]画面が表示されます。

所属するグループで、ドメインを選択、[ドメイン名]（ここではtestdom.local)を入力します。
ドメイン名はNetBIOS名、FQDN、どちらでも大丈夫です。
入力すると、管理者のアカウントを入力するダイアログが表示されます。
事前に用意した情報を入力し、[testdom.localドメインへようこそ]と表示がされれば、OSを再起動してメンバーサーバーとしての追加作業は完了です。
ドメイン参加後にはシステムプロパティとして、以下のように表示されます。

2-3. ドメインアカウントでのログオン

再起動後、ログオンのアカウントは、ドメインの管理者を指定します。
ドメインコントローラーのセットアップはドメインの管理者で実施する必要がありますので、必ず管理者権限を持つアカウントでログインを行って下さい。
本環境では、以下のアカウントでログインを行います。

無事、ログイン出来れば、事前準備は完了です。

3. AD DSのセットアップ

項目2の事前準備手順で、メンバーサーバーとしての設定まで完了していますので、ここからActive Directoryの追加ドメインコントローラーとしてのセットアップを進めます。
Windows 2003まではdcpromoというコマンドで、ドメインコントローラーのセットアップを行いましたが、2008からActive Directoryはサービスとして動作するようになり、セットアップ前にActive Directory ドメインサービス (以下、AD DS)という役割を追加する必要があります。

3-1. AD DS役割追加ウィザードの起動

2012ではサーバーマネージャーの役割からAD DSのインストールを行います。
[ダッシュボード]から [役割と機能の追加] をクリックします。

[役割と機能の追加ウィザード] が開きます。

3-2. 開始する前に

[続行する前に、次のタスクが完了していることを確認してください。]の内容を確認します。

問題なければ、[次へ]で先へ進めます。

3-3. インストールの種類

インストールの種類を選択します。

[役割ベースまたは機能ベースのインストール]を選択して、[次へ]で先へ進めます。

3-4. サーバーの選択

AD DSをセットアップするサーバーを選択します。
サーバープールを作成している場合、複数のホストが表示されますが、通常、自分自身となります。

RDS02.testdom.localを選択して、[次へ]で先へ進めます。

3-5. サーバーの役割

サーバーの役割を選択します。
今回は追加のドメインコントローラーをセットアップしますので、[Active Directory ドメイン サービス]を選択します。

その他、Active Directoryと名前が付いた役割がいくつかありますが、通常のActive Directory運用には利用しませんので、選択は不要です。

選択を行うと、AD DSに必要な機能をインストールするかの確認画面が表示されます
通常デフォルトのまま、[機能の追加]をクリックします。

機能の追加を行うと、[Active Directory ドメイン サービス]にチェックが入ります。
この状態で、[次へ]で先へ進めます。

3-6. 機能の追加

機能を選択する画面が表示されます。
AD DSに必要な機能は、"項目 3-1-4. サーバーの役割"で選択されていますので、ここでは機能を追加する必要はありません。

[次へ]で先へ進みます。

3-7. AD DSの注意事項と確認

Active Directory ドメイン サービスをセットアップする上での注意事項が表示されます。
特に注意する点はありません、

[次へ]をクリックして、先へ進めます。

インストールオプションが表示されます。
特に追加でオプションを設定する必要はありませんので、役割や機能を確認の上、問題なければ
[インストール]をクリックします。

AD DSのインストールが開始されます。
大凡、10分程度で完了するようです。

3-8. AD DSインストールの完了

AD DSのインストールが完了すると、[構成が必要です。"ホスト名"でインストールが正常に完了しました。]というメッセージが表示されます。

AD DSのサービスインストールはこれで完了です。
引き続き、Active Directoryの構成を行います。

4. ドメインコントローラーの構成

AD DSのセットアップが終わった後、ドメインコントローラーとして利用するための構成を行います。
AD DSのインストールウィザード画面から、
[このサーバーをドメインコントローラーに昇格する] をクリックします。

[Active Directoryドメインサービスの構成ウィザード]が起動します。

4-1. 配置構成

ドメインコントローラーの配置構成と聞くと難しそうですが、今セットアップしているドメインコントローラーは新規のドメインコントローラーか、追加のドメインコントローラーかを指定する画面になります。

このドメインコントローラーは追加のドメインコントローラーになりますので、
[既存のドメインにドメインコントローラーを追加する]を選択します。
操作ドメインについて、本環境はドメインは一つしかありませんので、testdom.localが
自動的に選択されています。
資格情報は、ドメインの管理者でログインしていますので、変更は不要です。
上記を指定して、[次へ]をクリックします。

4-2. ドメインコントローラー　オプション

ドメインコントローラーの機能とサイト情報を指定します。
通常、

にチェックが入っていると思います。
両方とも必須の機能ですので、チェックはそのままにしておきます。
読み取り専用ドメインコントローラーはチェックを入れないようにして下さい。

サイト名は、複数サイトを利用することが無い場合、デフォルトで選択されているもので問題ありません。
複数のサイトを利用した、遠隔地レプリケーションを利用する場合は、追加のドメインコントローラーを配置するサイトを選択します。
ディレクトリサービス復元モードは、ドメインコントローラーが起動しないなどの障害時に利用します。
管理者とは別のパスワードを指定することが推奨されていますので、任意のものを設定してください。
情報を全て指定後、[次へ]をクリックします。

4-3. DNSオプション

DNSサーバーのオプションを指定する画面になりますが、DNSサーバーはまだ、セットアップが完了していませんので、警告が出力されます。

現時点では、なにも設定せず[次へ]で先へ進めます。

警告が表示されますが、[OK]をクリックして、先へ進めます。

4-4. 追加オプション

特に指定する必要はありません。
レプリケート元について、任意のドメインコントローラーになっていることを確認します。

[次へ]で先へ進めます。

4-5. パス

AD DSが利用するファイルを保存するパスを指定します。
データベース、ログファイル、SYSVOLを指定します。
データベースとログファイルは別のディスクに配置することでパフォーマンスが向上しますが
物理的に分割されている必要がありますので、ここでは、全てデフォルトのパスを指定しています。

ユーザー数やドメインの規模に応じて、適宜、変更して下さい。

4-6. オプションの確認

ドメインコントローラーの構成が表示されます。

問題ないことを確認して、[次へ]で先へ進めます。問題があれば、戻って修正を行います。

4-7. 前提条件の確認

ウィザードのパラメータから、前提条件のチェックが開始されます。
DNSについては、セットアップ中にインストールが行われますので、ここでは警告となります。
問題なくチェックが完了したら、[インストール]をクリックして、インストールを開始します。

インストールが完了すると、サーバーは自動的に再起動されます。

再起動が完了すると、ドメインコントローラーの構成は完了です。
ここまでで、追加ドメインコントローラーのセットアップが完了します。

5. 追加されたドメインコントローラーの確認

正常に既存ドメインにドメインコントローラーが追加されたことを確認します。
追加した側のドメインコントローラー（ここではRDS02)から、[Active Directory ユーザーとコンピューター]を起動します。
左のツリーから、[Domain Controllers]を選択し、追加したドメインコントローラーが表示されることを確認してください。

また、DCの種類として、GC(グローバルカタログ）となっていることを確認します。

同じくRDS02からDNSマネージャーを起動します。

前方参照ゾーンと、逆引き参照ゾーンが、既存のDNSサーバーと同じになっていることを確認します。

また、イベントビューワーから、エラーが出力されていなことを確認します。
これで、確認は完了です。
なお、追加されたDNSサーバーのIPアドレスは、自動的にネットワーク設定に追加されます。

6. 既存ドメインコントローラーのネットワーク設定

既存ドメインコントローラーのネットワーク設定、DNSサーバーの設定に、新しいドメインコントローラーのIPアドレスを追加します。
代替DNSサーバーのIPアドレスに、新規のドメインコントローラーのIP (ここでは192.168.241.9）を指定して保存します。

これで既存のドメインコントローラーのネットワーク設定は完了です。

7. まとめ

Active Directoryは組織のリソース管理に役立つソリューションで、マイナンバーやセキュリティの面から、導入する場面が多くなっていくことが予想されます。ただ、集中管理が可能な反面、障害時の影響も大きくなりますので、最低限、2台はドメインコントローラーを配置することになるパターンが殆どです。

今後、ドメインコントローラーを導入することを検討している場合は、2台目のドメインコントローラーセットアップ手順を覚えておいて損はありません。サーバーが複数、必要になるので、コストが心配という場合には、ユーザー数やオブジェクト数にもよりますが、VMWareやHyper-Vを利用した仮想マシンで構築すると、サーバーリソースを有効に利用できるかと思います。