Windows Server 2016でActive Directoryにドメインコントローラーを追加する。故障や障害に強い構成を作成

2018/07/05 Windows, サーバー構築

win2016-add-dc-top
Windows Serverの強力な機能であるActive Directoryに関する、以前の記事
>「Windows Server 2016 で Active Directoryを習得する。導入と設定手順を紹介」
は参考になりましたでしょうか。記事ではWindows Server 2016を利用したActive Directoryの構築までを紹介しました。
その記事内でも少し書きましたが、Active Directoryで構成されたWindowsドメインの場合、ドメイン内にドメインコントローラーを2台以上、配置することが推奨されています。ドメインコントローラーは、Active Directoryの全情報を管理していますので、1台だと故障や障害に弱い構成になってしまう(単一障害点となる)のが、その理由となります。

スポンサーリンク

今回は、Windows Server 2016で構成されたWindowsドメインに2台目のドメインコントローラーを追加する手順を紹介します。まだドメインの構築が終わっていない場合は
>「Windows Server 2016 で Active Directoryを習得する。導入と設定手順を紹介」
>「Windows Server 2016でActive Directoryを導入した後に設定する、DNSのお勧め項目」
2つの記事を参考にして頂き、先へ読み進める前にWindowsドメイン環境をご用意頂くことをお勧めします。

1.ドメインコントローラーを追加する環境

本記事で利用するWindowsドメイン環境は、以前の記事
>「Windows Server 2016 で Active Directoryを習得する。導入と設定手順を紹介」
で作成した環境と同じものを利用する前提です。
おさらいの意味も含めて、もう一度、記事内で作成したWindowsドメイン環境のパラメーターを記載します。

  • 既存ドメインコントローラー名:WIN2016
  • OSビルド:14393.2125(2018年3月時点での最新ビルド)
  • ドメインコントローラーのIPアドレス:192.168.241.25/24
  • ドメイン名(NETBIOS):2016dom
  • ドメイン名(FQDN):2016dom.local
  • フォレスト、ドメイン機能レベル:WindowsServer2016
  • グローバルカタログとして構成
  • FSMO

新規に追加するドメインコントローラーのOSはWindows Server 2016になります。本環境では、以下のように初期設定を行っています。

  • コンピュータ名:WIN2016-02
  • OSビルド:14393.2125(2018年3月時点での最新ビルド)
  • IPアドレス:192.168.241.26/24

OSの基本的な設定は、本サイトの記事
>「Windows Server 2016のインストール後にお勧めの設定11項目」
の通りに設定をおこなっている前提です。
もしWindows Server 2016の基本的な設定が完了していない場合、記事が参考になるかと思います。ここでは、記事の通りに基本的なWindows Server 2016のセットアップが終了している前提で、手順をすすめていきます。

2.事前準備

Windows Server 2016の基本設定が全て完了している必要はありませんが、最低限、ホスト名とIPアドレスの設定は必要となりますので、事前に設定を行って下さい。
また、メンバーサーバーとしてドメインへの追加手順時に、ドメインの管理者権限(Domain AdminsかAccount Operatorのグループ権限)が必要です。こちらはアカウント名と、パスワードを事前にご用意下さい。本環境では以下のアカウントを管理者として利用しています。

  • アカウント名:2016dom\administrator
  • パスワード:任意のパスワード

新規にドメインコントローラーとして追加するコンピューターは、既存Windowsドメインにメンバーとして追加しておきます。既存ドメインのメンバーとして追加する手順は以下の通りです。

2-1.DNSサーバーの設定

Windowsドメインに参加する場合、DNSサーバーとして、既存のドメインコントローラーを指定します。
[インターネットプロトコル バージョン4のプロパティ]から[次のDNSサーバーのアドレスを使う]
[優先DNSサーバー]に既存ドメインコントローラーのIPアドレス(ここでは192.168.241.25)を設定します。
win2016-ad-add-2-1
設定が終わったら、[OK]をクリックして保存します。

2-2.ドメインへの参加

DNSサーバーの設定が完了したら、ドメインへの参加を行います。
[サーバーマネージャー]-[このローカルサーバーの構成]をクリックすると、プロパティが表示されます。ワークグループ[WORKGROUP]のリンクをクリックして[システムのプロパティ]を表示します。
win2016-ad-add-2-2-1
[コンピューター名]タグを開き、[変更]をクリックします。[コンピュータ名/ドメイン名の変更]画面が表示されます。
win2016-ad-add-2-2-2
所属するグループで、ドメインを選択、[ドメイン名](ここでは2016dom.local)を入力します。
win2016-ad-add-2-2-3
※ドメイン名はNetBIOS名、FQDN、どちらでも大丈夫です。

入力すると、管理者のアカウントを入力するダイアログが表示されます。
win2016-ad-add-2-2-4
事前に用意したドメイン管理者の情報を入力して[OK]をクリックします。[2016dom.localドメインへようこそ]と表示がされれば、ドメインへの参加は問題なく完了しています。
win2016-ad-add-2-2-5
OSを再起動してメンバーサーバーとしての追加作業は完了です。
win2016-ad-add-2-2-6

2-3.ドメインアカウントでのログオン

再起動後、ログオンのアカウントは、ドメインの管理者を指定します。
ドメインコントローラーのセットアップはドメインの管理者で実施する必要がありますので、必ず管理者権限を持つアカウントでログインを行って下さい。(項目2.事前準備で記載したアカウント名を利用します)正常にサーバーへログオンできるとデスクトップ画面が表示されます。ドメイン参加後にはシステムプロパティとして、以下のように表示されます。
win2016-ad-add-2-2-7
ここまでで事前準備は完了です。

3.AD DSのセットアップ

項目2.の事前準備手順で、コンピューターはドメインのメンバーサーバーとしての設定まで完了していますので、ここからActive Directoryの追加ドメインコントローラーとしてAD DSのセットアップを進めます。

3-1.役割と機能の追加ウィザードを起動する

Windows Server 2016では2012と同じくサーバーマネージャーの役割からAD DSのインストールを行います。サーバーマネージャーの[ダッシュボード]から [役割と機能の追加] をクリックします。[役割と機能の追加ウィザード] が開きます。
win2016-ad-add-3-1

3-2.インストールウィザードを開始する前の確認事項

[続行する前に、次のタスクが完了していることを確認してください。]の内容を確認します。
開始する前に注意点が表示されます。役割を追加するための必要なタスクが表示されますので、完了していることを確認して [次へ] で先へすすめます。
win2016-ad-add-3-2

3-3.インストールの種類

インストールの種類を選択します。[役割ベースまたは機能ベースのインストール]にチェックを入れます。(デフォルト)[次へ]で先へ進めます。
win2016-ad-add-3-3

3-4.サーバーの選択

AD DSをセットアップするサーバーを選択します。サーバープールを作成している場合、複数のホストが表示されますが、通常、自分自身となります。win2016-02.2016dom.localが選択されていることを確認して、[次へ]で先へ進めます。
win2016-ad-add-3-4

3-5.サーバーの役割

サーバーの役割を選択します。今回は追加のドメインコントローラーをセットアップしますので、既存のドメインコントローラーと同じく[Active Directory ドメイン サービス]を選択します。その他、Active Directoryと名前が付いた役割がいくつかありますが、通常のActive Directory運用には利用しませんので、選択は不要です。
win2016-ad-add-3-5-1
選択を行うと、AD DSに必要な機能をインストールするかの確認画面が表示されます通常デフォルトのまま、[機能の追加]をクリックします。
win2016-ad-add-3-5-2

機能の追加を行うと、[Active Directory ドメイン サービス]にチェックが入ります。この状態で、[次へ]で先へ進めます。
win2016-ad-add-3-5-3

3-6.機能の追加

機能を選択する画面が表示されます。
AD DSに必要な機能は、”項目 3-1-4.サーバーの役割”で選択されていますので、ここでは機能を追加する必要はありません。
win2016-ad-add-3-6
[次へ]で先へ進みます。

3-7.AD DSの注意事項と確認

Active Directory ドメイン サービスをセットアップする上での注意事項が表示されます。
本記事では、関連する内容はありませんので、[次へ]で先へ進めます。
win2016-ad-add-3-7-1

インストールオプションが表示されます。
特に追加でオプションを設定する必要はありませんので、役割や機能を確認の上、問題なければ[インストール]をクリックします。
win2016-ad-add-3-7-2

スポンサーリンク

AD DSのインストールが開始されます。
win2016-ad-add-3-7-3

3-8.AD DSインストールの完了

AD DSのインストールが完了すると、[構成が必要です。”ホスト名”でインストールが正常に完了しました。]というメッセージが表示されます。
win2016-ad-add-3-8
AD DSのサービスインストールはこれで完了です。引き続き、Active Directoryの構成を行います。

4.ドメインコントローラーの構成

AD DSのセットアップが終わった後、ドメインコントローラーとして利用するための構成を行います。
AD DSのインストールウィザード画面から、[このサーバーをドメインコントローラーに昇格する] をクリックします。
win2016-ad-add-4
[Active Directoryドメインサービスの構成ウィザード]が起動します。

4-1.配置構成

ドメインコントローラーの配置構成と聞くと難しそうですが、今セットアップしているドメインコントローラーは新規のドメインコントローラーか、追加のドメインコントローラーかを指定する画面になります。
このドメインコントローラーは追加のドメインコントローラーになりますので、[既存のドメインにドメインコントローラーを追加する]を選択します。操作ドメインについて、本環境はドメインは一つしかありませんので、2016dom.localが自動的に選択されています。資格情報は、ドメインの管理者でログインしていますので、変更は不要です。
win2016-ad-add-4-1
上記を指定して、[次へ]をクリックします。

4-2.ドメインコントローラー オプション

ドメインコントローラーの機能とサイト情報を指定します。
通常、

  • [ドメインネームシステム(DNS)サーバー]
  • [グローバルカタログ(GC)]

にチェックが入っています。両方とも必須の機能ですので、チェックはそのままにしておきます。
※読み取り専用ドメインコントローラーはチェックを入れないようにして下さい。
win2016-ad-add-4-2
サイト名は、複数サイトを利用することが無い場合、デフォルトで選択されているもので問題ありません。(デフォルトでは Default-First-Site-Name)複数のサイトを利用した、遠隔地レプリケーションを利用する場合は、追加のドメインコントローラーを配置するサイトを選択します。
ディレクトリサービス復元モードは、ドメインコントローラーが起動しないなどの障害時に利用します。
管理者とは別のパスワードを指定することが推奨されていますので、任意のものを設定してください。
情報を全て指定後、[次へ]をクリックします。

4-3.DNSオプション

DNSサーバーのオプションを指定する画面になりますが、DNSサーバーはまだセットアップが完了していませんので、警告が出力されます。
win2016-ad-add-4-3
現時点では、なにも設定せず[次へ]で先へ進めます。

4-4.追加オプション

ディレクトリデータの転送方法について、オプションを設定することができます。
[メディアからのインストール(IFM)オプションを指定してください。]については、遠隔地にドメインコントローラーをセットアップした場合のデータレプリケーションを事前に作成したメディアから行うというオプションとなります。
今回の環境は、ディレクトリデータもデフォルト状態で、ドメインコントローラーの配置場所も同じネットワークになりますので、指定する必要はありません。
レプリケート元について、任意のドメインコントローラーになっていることを確認します。
win2016-ad-add-4-4
[次へ]で先へ進めます。

4-5.パス

AD DSが利用するファイルを保存するパスを指定します。
データベース、ログファイル、SYSVOLを指定します。データベースとログファイルは別のディスクに配置することでパフォーマンスが向上しますが物理的に分割されている必要がありますので、ここでは、全てデフォルトのパスを指定しています。
win2016-ad-add-4-5
ユーザー数やドメインの規模に応じて、適宜、変更して下さい。

4-6.オプションの確認

ドメインコントローラーの構成が表示されます。
win2016-ad-add-4-6
問題ないことを確認して、[次へ]で先へ進めます。問題があれば、戻って修正を行います。

4-7.前提条件の確認

ウィザードのパラメータから、前提条件のチェックが開始されます。
警告が3つほど表示されますが、[すべての前提条件のチェックに合格しました。インストールをクリックしてインストールを開始してください]というメッセージが表示されていれば先へ進めて問題ありません。問題なくチェックが完了したら、[インストール]をクリックして、インストールを開始します。
win2016-ad-add-4-7-1

構成が完了すると[このサーバーはドメインコントローラーとして正常に構成されました]というメッセージと再起動を促す画面が表示されます。
win2016-ad-add-4-7-2
再起動が完了すると、ドメインコントローラーの構成は完了です。ここまでで、追加ドメインコントローラーのセットアップが完了します。

5.追加されたドメインコントローラーの確認

正常に既存ドメインにドメインコントローラーが追加されたことを確認します。確認方法は幾つかありますが、ここではサーバーマネージャーと[Active Directory ユーザーとコンピューター]を利用した手順を紹介します。

5-1.サーバーマネージャーからの確認

追加した側のドメインコントローラー(ここではWIN2016-02)から、[サーバーマネージャー]-[AD DS]をクリックして、サーバー名に追加したドメインコントローラーのコンピューター名(ここではWIN2016-02)が表示されることを確認します。
win2016-ad-add-5-1

5-2.Active Directory ユーザーとコンピューターからの確認

コンピューター名を右クリックして表示されたサブメニューから[Active Directory ユーザーとコンピューター]を起動します。左のツリーから、[Domain Controllers]を選択します。
win2016-ad-add-5-2
追加したドメインコントローラーが表示されることを確認してください。
win2016-ad-add-5-2-2
また、DCの種類として、GC(グローバルカタログ)となっていることを確認します。

5-3.dcdiagの実行

項目5-2.と同じように、コンピューター名を右クリックして表示されたサブメニューから[Dcdiag.exe]を起動します。
win2016-ad-add-5-3-1
コマンドプロンプトが開きますので、

と入力することで、ドメインコントローラーのテストを実行できます。
win2016-ad-add-5-3-2
なお、このテストではイベントのエラーも確認項目に入りますので、エラーがある場合は警告が表示されます。問題があるものではないものも含まれていますので、重大なエラーでなければ気にしないでも良いかと思います。

5-4.DNSの確認

追加した側のドメインコントローラー(ここではWIN2016-02)から、[サーバーマネージャー]-[DNS]をクリックします。表示されたコンピューター名を右クリックして、表示されたサブメニューから[DNSマネージャー]を選択します。
win2016-ad-add-5-4-1
前方参照ゾーンと、逆引き参照ゾーンが、既存のDNSサーバーと同じになっていることを確認します。
win2016-ad-add-5-4-2
これで、確認は完了です。
なお、追加されたDNSサーバーのIPアドレスは、自動的にネットワーク設定に追加されます。
win2016-ad-add-5-4-3

6.既存ドメインコントローラーのネットワーク設定

既存ドメインコントローラーのネットワーク設定、DNSサーバーの設定に、新しいドメインコントローラーのIPアドレスを追加します。代替DNSサーバーのIPアドレスに、新規のドメインコントローラーのIP (ここでは192.168.241.26)を指定して保存します。
win2016-ad-add-6
これで既存のドメインコントローラーのネットワーク設定は完了です。

7.まとめ

Active Directoryの基本は2台で構成することになります。ここでは2台目のドメインコントローラーを追加する手順について説明しました。
最初のドメインコントローラーがしっかりと構成されていれば、ドメインコントローラーを追加することはそれ程難しくありませんので、トライしてみることをオススメします。現在、ドメインコントローラーが1台しかない環境では、障害が発生した場合、業務に与える影響も大きくなりますので、本記事を参考に、是非、2台目のドメインコントローラーの構築を行って頂ければ幸いです。
なお追加したドメインコントローラーを削除したい場合の手順を記事
>「Windows Server 2016で構成したactive directoryからドメインコントローラーを削除する手順」
で紹介しています。こちらも併せてお読み頂ければ幸いです。

関連する記事


Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

Comment

  1. 通りすがり より:

    .localドメインはmDNSとコンフリクトするのでもう使わない方がいいですよ。

    • レムシステム より:

      コメントありがとうございます。確かにマルチキャストDNSとの相性が悪いようですね。

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク