Windows Server 2016 で Active Directoryを習得する。導入と設定手順を紹介

windowsserver2016-ad-setting-top2
Windows Server 2016に関する2つの記事

でWindows Server 2016の基本セットアップまでの手順を説明しました。 本記事ではセットアップが完了した環境を利用して、Windowsサーバー目玉機能の一つであるActive Directoryの構築 をしてみたいと思います。

スポンサーリンク

Active Directoryは、Windows上で動作するディレクトリサービスで、Windowsに登録されたユーザー情報と認証系システムを連携するような場合には必須になっています。 最近では、ネットワーク機器やアプリケーションでも認証をActive Directoryで行うパターンが多く見受けられます。  クライアントPCやWindowsユーザーなどのリソースを一括で管理する構成はもちろん、マイクロソフトのサーバー製品であるExchange Server Sharepoint Serverをインストールするにも必要になりますので、本記事で導入方法を覚えておくと他のアプリケーション導入時にも応用が利きます。
本記事は最初のドメインコントローラーを構成する手順ですが、追加のドメインコントローラーを構成する手順は、別の記事

で細かく紹介しています。 ドメインコントローラーは冗長構成が基本になります ので、併せて参考にして下さい。

1.Active Directory ドメインサービスのインストール

まずはActive Directory ドメインサービス “AD DS”をインストールします。Active Directory ドメインサービスはコマンドからもインストールが出来ますが、一般的にはGUIからの導入が殆どだと思います。従って、本記事ではActive Directory ドメインサービスのインストールはコマンドではなく、GUIから行います。
AD DSをセットアップするWindows Server 2016のバージョンは1607、OSビルド14393.3025です。
wss2016-ad-01

1-1.Active Directoryのパラメーター決定

AD DSのセットアップとActive Directoryの構成を実行する前に、運用する環境に合わせた幾つかのパラメーターを決める必要があります。今回の導入では前提条件として以下のようなパラメーターを元にセットアップを行います。 最低限、ここに紹介したパラメーターだけは決定してからセットアップを開始することをお勧めします。 

構成図
windowsserver2016-ad-setting-network

  • ドメインの構成:新規にフォレストとドメインを追加する(最初のドメイン)
  • ルートドメイン名(DNS):ここではad.rem-system.comとします。※1
  • ドメイン名(NetBIOS名):古いOSで利用されるドメインのNetBIOS名です。通常はDNSから名前が自動的に設定されます。今回は明示的にREM-SYSTEMを設定します。
  • フォレストモード:WindowsServer2016とします。Active Directoryの全ての機能を利用できます。※2
  • ドメインモード:WindowsServer2016とします。※2
  • Active Directory復元モードのパスワード:忘れないものを設定します。Active Directoryの復旧時に利用します。
  • グローバルカタログ(GC):ドメイン内の最初のドメインコントローラーはデフォルトでGCになります。

※1. Active Directoryで利用するDNS名についてはMicrosoft TechNetにあるwiki
Active Directory: Best Practices for Internal Domain and Network Names
にベストプラクティスが記載されています。
サイトによると、 パブリック側のドメイン名にサブドメインを付与する形がベストプラクティスだと紹介されています ので、それに倣って、本ブログで利用しているドメイン rem-system.com にサブドメイン“ad”を付与した形“ad.rem-system.com”で指定を行います。
パブリックドメインを取得していない環境では外部で名前引きできないドメイン名を指定する形で読み替えて下さい。
 注記:以前はActive DirectoryのDNS名として.localを利用していましたが.localはマルチキャストDNS (mDNS)で利用されておりWindows10(ビルド1803以降)やMac端末がドメインに追加されていると不具合が発生する場合があるようです。 

※2. フォレストモードとドメインモードは古いサーバとの下位互換がありません。ドメインコントローラーとしてWindows Server 2012 R2を追加する予定がある、または既存環境にWindows Server 2012 R2がドメインコントローラーとしてある場合は、機能レベルとしてWindows Server 2012 R2を選定します。 実際の導入については、既存の環境に合わせてのドメインの機能レベル決定が必要です。  OSごとのフォレスト・ドメイン機能レベルについては、マイクロソフトのサイト「フォレストとドメインの機能レベル」に詳細な記載があります。興味がある方は参考にして下さい。ここでは詳細は割愛しています。
既存のドメインコントローラーが古いバージョンの時にはフォレスト・ドメイン機能レベルは気を付ける点となりますが、今回は新規のドメイン追加になりますので Windows Server 2016を設定します。

1-2.役割と機能の追加ウィザードを起動する

サーバーマネージャーを起動して、[役割と機能の追加]をクリックします。
2016ad-1-2-1
「役割と機能の追加ウィザード」が起動します。
2016ad-1-2-2
開始する前に注意点が表示されます。役割を追加するための必要なタスクが表示されますので完了していることを確認して [次へ] で先へすすめます。

インストールの種類は[役割ベースまたは機能ベースのインストール]にチェックを入れます。(デフォルト)
2016ad-1-2-3

「サーバープールからサーバー選択」でADDSインストール対象のサーバが選択されていることを確認します。(ここではWIN2016)
2016ad-1-2-4
[次へ] で先へすすめます。

1-3.サーバーの役割の選択

サーバーの役割で、[Active Directoryドメインサービス]にチェックを入れます。
2016ad-1-3-1
追加で必要になる機能を追加するか、確認用の画面が表示されます。
「機能の追加」をクリックして、機能を追加します。
2016ad-1-3-2

必要となる機能が選択されると、[Active Directoryドメインサービス]にチェックが入ります。[次へ]で先へ進めます。
2016ad-1-3-3

1-4.機能の選択

サーバーにインストールする機能を選択する画面が表示されます。必要となる機能は項目1-3.で選択されていますので、この画面での機能追加は不要です。
2016ad-1-4
「次へ」で先へ進めます。

1-5.Active Directory ドメインサービスの注意事項

Active Directory ドメインサービスを利用する上での注意事項が表示されます。
2016ad-1-5
本記事では、関連する内容はありませんので、[次へ]で先へ進めます。

1-6.インストールオプションの確認

インストールする機能とオプションのツリーが表示されます。
2016ad-1-6-1
確認後、問題なければ[インストール]をクリックして、インストールを始めます。Active Directory ドメインサービスのインストールが開始されます。
2016ad-1-6-2

スポンサーリンク

1-7.Active Directory ドメインサービスのインストール完了

Active Directoryドメインサービスのインストールが完了すると、[構成が必要です。(ホスト名)でインストールが正常に完了しました]と表示されます。Active Directory ドメインサービスのインストール完了後、コンピューターをドメインコントローラーにするための設定が必要になります。
画面中央にある[このサーバーをドメインコントローラーに昇格する]をクリックします。
2016ad-1-7

2.Active Directoryの構成

Active Directory ドメインサービスのインストール後、ドメインサービスの構成ウィザードを使って、コンピューターをドメインコントローラーに構成していきます。この構成が完了すると、Active Directoryのインストールは完了します。

2-1.Active Directoryドメインサービス構成ウィザードの起動

Active Directoryドメインサービス構成ウィザードが起動します。
2016ad-2-1

2-2.配置構成

ドメインコントローラーの配置を設定します。今回は新しいフォレストを作成しますので、[新しいフォレストを追加する]にチェックを入れ、ルートドメイン名には[ad.rem-system.com]を入力します。
wss2016-ad-2-2
「次へ」をクリックして先へ進めます。

2-3.ドメインコントローラーオプションの設定

ドメインコントローラーとして機能レベルや、ディレクトリサービス復元モードのパスワードを設定します。DNSサーバーを事前に導入していない場合、この設定画面でDNSサーバーのインストールができます。
2016ad-2-3
本記事では、前提条件から以下のように設定を行いました。

  • フォレストの機能レベル、ドメインの機能レベル:Windows Server 2016
  • ドメインネームシステム(DNS)サーバーにチェック
  • グローバルカタログ:デフォルトでチェック
  • ディレクトリサービス復元モードのパスワード:任意のものを設定

設定を行ったら[次へ]で先へ進めます。

2-4.DNSオプションの設定

DNSサービスがインストールされていない場合、設定できる項目はありませんので、[次へ]をクリックして先へ進めます。
2016ad-2-4

2-5.追加オプションの設定

追加オプションとしてNetBIOS名を指定します。
NetBIOS名はデフォルトでルートドメイン名として入力したドメイン名”ad.rem-system.com”から、自動的に”ad”が選定されます。”ad”は汎用的でActive DirectoryのNetBIOS名には向かないため、本記事では明示的に”REM-SYSTEM”を指定します。
wss2016-ad-2-5

2-6.パスの設定

Active Directoryが利用するデータベースフォルダーや、ログファイル、SYSVOLフォルダーのパスを設定します。データベースフォルダーとログファイルフォルダを別のドライブに設定するとパフォーマンスや冗長性が上がりますが、ここでは同一のドライブに設定しています。(デフォルト)
2016ad-2-6

2-7.オプションの確認

インストールオプションとして選択した項目のサマリーが表示されます。今回の設定サマリーは以下のような内容です。
wss2016-ad-2-7
問題なければ、[次へ]で先へ進めます。

2-8.前提条件のチェック

ドメインコントローラーのインストール前に問題がないかをチェックします。
警告が3つほど表示されますが、[すべての前提条件のチェックに合格しました。インストールをクリックしてインストールを開始してください]というメッセージが表示されていれば先へ進めて問題ありません。
2016ad-2-8
「インストール」をクリックすると、AD DSのインストールが開始されます。
進行状況が表示されます。
2016ad-2-8-2

2-9.ドメインコントローラーの構成完了とサーバーの再起動

構成が完了すると[このサーバーはドメインコントローラーとして正常に構成されました]というメッセージと再起動を促す画面が表示されます。
2016ad-2-9-1
「閉じる」を押して、サーバーの再起動を行います。
2016ad-2-9-2
再起動が完了すれば、構成は正常に終わっています。
起動までにやや時間がかかるようですが、気にせずコーヒーでも飲んで待つことをお勧めします。

3.ドメインへのログオンと動作確認

再起動後に正常にドメインコントローラーへ、ドメインユーザーでログオンできるかを確認します。

3-1.ドメイン管理者でのログオン

再起動後、ログオン画面が表示されます。
表示されるユーザー名が“ドメイン名\ユーザー名”になっていることを確認してください。パスワードを入力し、ドメインコントローラーへログオンします。
wss2016-ad-3-1
正常にログオンできれば、デスクトップ画面が表示されます。
2016ad-3-1-2

3-2.システムのプロパティ確認

「Windowsメニュー」「システム」を選択して、コンピュータ-の設定情報を確認します。

  • フルコンピューター名:ホスト名 + ドメイン名 “WIN2016.ad.rem-system.com”
  • ドメイン:設定したルートドメイン名 “ad.rem-system.com”

が確認できます。
wss2016-ad-3-2
また、[Windowsメニュー]-[Windows管理ツール]からActive Directoryの管理ツールが表示されることが確認できます。
2016ad-3-2-2

3-3.ネットワークのDNS

ドメインコントローラーは自身がDNSを兼ねていますので、導入後には、DNSサーバーの設定値が自分自身 (127.0.0.1)に変更されます。
2016ad-3-3
インターネットへ直接、接続することができれば名前引きができますが、できる限りDNSのフォワーダー機能を設定して外部へのDNSクエリを転送するようにする構成をお勧めします。

4.まとめ

ここまでで、Active DirectoryがWindows Server 2016サーバーへインストールされました。この後、DNSの逆引き設定とDNSのフォワーダーを設定します。設定方法については記事

を参照下さい。
Active Directoryがインストールされたコンピューターはドメインコントローラーと呼ばれます。ドメインコントローラーが停止すると、ドメイン全体に影響が発生しますので、追加のドメインコントローラーを構成、冗長化を行います。この手順については記事

で紹介しています。
また、最近だとマイクロソフトのクラウドサービスである Azureを利用してActive Directoryを導入するパターンも増えています。そのような構成の場合は記事

で紹介しているようにクラウドサービスと、自社をVPNで接続することで、自社内にサーバーを配置しない構成をとることも可能です。クラウドサービスとオンプレを組み合わせたハイブリッド構成で障害や災害に強い構成になります。AzureでのActive Directoryを導入をご検討の方は、参考にして頂ければ幸いです。Windows Serverの強力な運用管理機能であるActive Directoryを使わない手はないと思いますので、是非、導入を行ってみて下さい。

関連する記事


Comment

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク