Active Directory Windows Server 2016

Windows Server 2016 Active Directoryのインストールと設定手順を紹介

2018年2月22日

windowsserver2016-ad-setting-top3

Windows Server 2016に関する2つの記事でWindows Server 2016の基本セットアップまでを説明しました。

Windows
category-windows2
Windows Server 2016をインストールしてサーバー構築手順を習得する

Windowsのサーバー製品であるWindows Serverも2012の購入が難しくなり(2017年11月販売終了)、メインストームは徐々に次バージョンのWindows Server 2016に移り ...

Windows
win2016-setting-point-top
Windows Server 2016のインストール後にお勧めの設定 12項目

Windows Server 2016に関する、以前の記事でセットアップしたWindows Server 2016環境のインストール後にお勧め12の設定項目を紹介します。 基本的なポイントはWindo ...

本記事ではセットアップが完了した環境を利用して、Windowsサーバー目玉機能の一つであるActive Directoryの構築をしてみたいと思います。

Active DirectoryはWindows上で動作するディレクトリサービスで、クライアントPCやWindowsユーザーなどのリソースを一括で管理する構成はもちろん、マイクロソフトのサーバー製品であるExchange Server Sharepoint Serverをインストールするにも必要になりますので、本記事で導入方法を覚えておくと他のアプリケーション導入時にも応用が利きます。

Active DirectoryはWindowsに登録されたユーザー情報と認証系システムを連携するような場合にも利用される場面が多くなっています。最近では、ネットワーク機器やアプリケーションでも認証をActive Directoryで行うパターンが多く見受けられます。

参考 本記事で紹介しているのは最初のドメインコントローラーを構成する手順ですが、追加のドメインコントローラーを構成する手順は、別の記事で紹介しています。ドメインコントローラーは冗長構成が基本になりますので、本記事と合わせて参考にして下さい。

Windows
windowsserver2016-ad-add-top
Windows Server 2016 Active Directoryにドメインコントローラーを追加する方法

Windows Serverの強力な機能であるActive Directoryに関する以前の記事は参考になりましたでしょうか。 記事ではWindows Server 2016を利用したActive D ...

1. Active Directory ドメインサービスのインストール

まずはActive Directory ドメインサービス 「AD DS」をインストールします。Active Directory ドメインサービスはコマンドからもインストールが出来ますが、一般的にはGUIからの導入が殆どだと思います。本記事ではActive Directory ドメインサービスのインストールはコマンドではなく、GUIから行います。
「AD DS」をセットアップするWindows Server 2016のバージョンは1607、OSビルド14393.3025です。

wss2016-ad-01

1-1. Active Directoryのパラメーター決定

AD DSのセットアップとActive Directoryの構成を実行する前に、運用する環境に合わせた幾つかのパラメーターを決める必要があります。今回の導入では前提条件として以下のような構成とパラメーターを元にセットアップを行います。ここに紹介したパラメーターは決定してからセットアップを開始することをお勧めします。

windowsserver2016-ad-setting-network

Windows Server 2016 での Active Directory 想定する構成

Active Directoryを展開するためのパラメータ

  • ドメインの構成:新規のフォレストとドメイン
  • ルートドメイン名(DNS):ad.rem-system.com ※ポイント1
  • ドメイン名(NetBIOS名):古いOSで利用されるドメインのNetBIOS名です。通常はDNSから名前が自動的に設定されます。今回は明示的にREM-SYSTEMを設定します。
  • フォレストモード:WindowsServer2016 Active Directory全ての機能を利用できます※2
  • ドメインモード:WindowsServer2016とします。※ポイント2
  • Active Directory復元モードのパスワード:Active Directoryの復旧時に利用
  • グローバルカタログ(GC):最初のドメインコントローラーはデフォルトでGCになります

ポイント1


※1. Active Directoryで利用するDNS名についてはMicrosoft TechNetにあるwikiにベストプラクティスが記載されています。

サイトによると、パブリック側のドメイン名にサブドメインを付与する形ベストプラクティスだと紹介されていますので、それに倣って、本ブログで利用しているドメイン rem-system.com にサブドメイン"ad"を付与した形"ad.rem-system.com"で指定を行います。パブリックドメインを取得していない環境では外部で名前引きできないドメイン名を指定する形で読み替えて下さい。

過去にはActive DirectoryのDNS名として.localが利用されていました。この.localマルチキャストDNS (mDNS)で利用されておりWindows10(ビルド1803以降)やMac端末がドメインに追加されていると不具合が発生する場合があるので本記事では利用していません。

ポイント2

フォレストモードドメインモードは古いサーバとの下位互換がありません。ドメインコントローラーとしてWindows Server 2012 R2を追加する予定がある、または既存環境にWindows Server 2012 R2がドメインコントローラーとしてある場合は、機能レベルとしてWindows Server 2012 R2を選定します。実際の導入については、既存の環境に合わせてのドメインの機能レベル決定が必要です。
OSごとのフォレスト・ドメイン機能レベルについては、マイクロソフトのサイトに詳細な記載があります。

興味がある方は参考にして下さい。ここでは詳細は割愛しています。
既存のドメインコントローラーが古いバージョンの時にはフォレスト・ドメイン機能レベルは気を付ける点となりますが、今回は新規のドメイン追加になりますので Windows Server 2016を設定します。

1-2. 役割と機能の追加ウィザードを起動する

サーバーマネージャーを起動して、「役割と機能の追加」をクリックします。

2016ad-1-2-1

「役割と機能の追加ウィザード」が起動します。

2016ad-1-2-2

開始する前に注意点が表示されます。役割を追加するための必要なタスクが表示されますので完了していることを確認して 「次へ]」で先へすすめます。

インストールの種類は「役割ベースまたは機能ベースのインストール」にチェックを入れます。(デフォルト)

2016ad-1-2-3

「サーバープールからサーバー選択」でADDSインストール対象のサーバが選択されていることを確認します。(ここではWIN2016)

2016ad-1-2-4

「次へ」で先へすすめます。

1-3. サーバーの役割の選択

サーバーの役割で「Active Directoryドメインサービス」にチェックを入れます。

2016ad-1-3-1

追加で必要になる機能を追加するか、確認用の画面が表示されます。
「機能の追加」をクリックして、機能を追加します。

2016ad-1-3-2

必要となる機能が選択されると「Active Directoryドメインサービス」にチェックが入ります。「次へ」で先へ進めます。

2016ad-1-3-3

1-4. 機能の選択

サーバーにインストールする機能を選択する画面が表示されます。必要となる機能は項目1-3. で選択されていますので、この画面での機能追加は不要です。

2016ad-1-4

「次へ」で先へ進めます。

1-5. Active Directory ドメインサービスの注意事項

Active Directory ドメインサービスを利用する上での注意事項が表示されます。

2016ad-1-5

本記事では、関連する内容はありませんので、「次へ」で先へ進めます。

1-6. インストールオプションの確認

インストールする機能とオプションのツリーが表示されます。

2016ad-1-6-1

確認後、問題なければ「インストール」をクリックして、インストールを開始します。Active Directory ドメインサービスのインストールが始まります。

2016ad-1-6-2

1-7. Active Directory ドメインサービスのインストール完了

Active Directoryドメインサービスのインストールが完了すると、「構成が必要です。(ホスト名)でインストールが正常に完了しました」と表示されます。Active Directory ドメインサービスのインストール完了後、コンピューターをドメインコントローラーにするための設定が必要になります。
画面中央にある「このサーバーをドメインコントローラーに昇格する」をクリックします。

2016ad-1-7

2. Active Directoryの構成

Active Directory ドメインサービスのインストール後、ドメインサービスの構成ウィザードを使って、コンピューターをドメインコントローラーに構成していきます。この構成が完了すると、Active Directoryのインストールは完了します。

2-1. Active Directoryドメインサービス構成ウィザードの起動

Active Directoryドメインサービス構成ウィザードが起動します。

2016ad-2-1

2-2. 配置構成

ドメインコントローラーの配置を設定します。今回は新しいフォレストを作成しますので、「新しいフォレストを追加する」にチェックを入れ、ルートドメイン名には"ad.rem-system.com"を入力します。

wss2016-ad-2-2

「次へ」をクリックして先へ進めます。

2-3. ドメインコントローラーオプションの設定

ドメインコントローラーとして機能レベルや、ディレクトリサービス復元モードのパスワードを設定します。DNSサーバーを事前に導入していない場合、この設定画面でDNSサーバーのインストールができます。

2016ad-2-3

本記事では、前提条件から以下のように設定を行いました。

  • フォレストの機能レベル、ドメインの機能レベル:Windows Server 2016
  • ドメインネームシステム(DNS)サーバーにチェック
  • グローバルカタログ:デフォルトでチェック
  • ディレクトリサービス復元モードのパスワード:任意のものを設定

設定を行ったら「次へ」で先へ進めます。

2-4. DNSオプションの設定

DNSサービスがインストールされていない場合、設定できる項目はありませんので、「次へ」をクリックして先へ進めます。

2016ad-2-4

2-5. 追加オプションの設定

追加オプションとしてNetBIOS名を指定します。
NetBIOS名はデフォルトでルートドメイン名として入力したドメイン名"ad.rem-system.com"から、自動的に"ad"が選定されます。"ad"は汎用的でActive DirectoryのNetBIOS名には向かないため、本記事では明示的に"REM-SYSTEM"を指定します。

wss2016-ad-2-5

2-6. パスの設定

Active Directoryが利用するデータベースフォルダーや、ログファイル、SYSVOLフォルダーのパスを設定します。データベースフォルダーとログファイルフォルダを別のドライブに設定するとパフォーマンスや冗長性が上がりますが、ここでは同一のドライブに設定しています。(デフォルト)

2016ad-2-6

2-7. オプションの確認

インストールオプションとして選択した項目のサマリーが表示されます。今回の設定サマリーは以下のような内容です。

wss2016-ad-2-7

問題なければ「次へ」で先へ進めます。

2-8. 前提条件のチェック

ドメインコントローラーのインストール前に問題がないかをチェックします。
警告が3つほど表示されますが、「すべての前提条件のチェックに合格しました。インストールをクリックしてインストールを開始してください」というメッセージが表示されていれば先へ進めて問題ありません。

2016ad-2-8

「インストール」をクリックすると、AD DSのインストールが開始されます。
進行状況が表示されます。

2016ad-2-8-2

2-9. ドメインコントローラーの構成完了とサーバーの再起動

構成が完了すると「このサーバーはドメインコントローラーとして正常に構成されました」というメッセージと再起動を促す画面が表示されます。

2016ad-2-9-1

「閉じる」を押して、サーバーの再起動を行います。

2016ad-2-9-2

再起動が完了すれば、構成は正常に終わっています。
起動までにやや時間がかかるようですが、気にせずコーヒーでも飲んで待つことをお勧めします。

3. ドメインへのログオンと動作確認

再起動後に正常にドメインコントローラーへ、ドメインユーザーでログオンできるかを確認します。

3-1. ドメイン管理者でのログオン

再起動後、ログオン画面が表示されます。
表示されるユーザー名が「ドメイン名\ユーザー名」になっていることを確認してください。パスワードを入力し、ドメインコントローラーへログオンします。

wss2016-ad-3-1

正常にログオンできれば、デスクトップ画面が表示されます。

2016ad-3-1-2

3-2. システムのプロパティ確認

「Windowsメニュー」>「システム」を選択して、コンピュータ-の設定情報を確認します。

  • フルコンピューター名:ホスト名 + ドメイン名 "WIN2016.ad.rem-system.com"
  • ドメイン:設定したルートドメイン名 "ad.rem-system.com"

が確認できます。

wss2016-ad-3-2

また、「Windowsメニュー」>「Windows管理ツール」からActive Directoryの管理ツールが表示されることが確認できます。

2016ad-3-2-2

3-3. ネットワークのDNS

ドメインコントローラーは自身がDNSサーバーを兼ねていますので、導入後にはDNSサーバーの設定値が自分自身 (127.0.0.1)に変更されます。

2016ad-3-3

インターネットへ直接、接続することができれば名前引きができますが、できる限りDNSのフォワーダー機能を設定して外部へのDNSクエリを転送するようにする構成をお勧めします。

4. まとめ

ここまでで、Active DirectoryがWindows Server 2016サーバーへインストールされました。この後、DNSの逆引き設定とDNSのフォワーダーを設定します。設定方法については記事は以下の記事を参考にして下さい。

Windows
win2016-ad-dns-setting-top
Windows Server 2016 Active Directoryのインストール後に設定するDNS 2項目

前回の記事でWindows Server 2016へのActive Directoryのインストールと構成が完了しました。 この状態でActive Directoryとしては問題なく動作するのですが、 ...

Active Directoryがインストールされたコンピューターはドメインコントローラーと呼ばれます。ドメインコントローラーが停止すると、ドメイン全体に影響が発生しますので、追加のドメインコントローラーを構成、冗長化を行います。この手順については以下の記事で紹介しています。

Windows
windowsserver2016-ad-add-top
Windows Server 2016 Active Directoryにドメインコントローラーを追加する方法

Windows Serverの強力な機能であるActive Directoryに関する以前の記事は参考になりましたでしょうか。 記事ではWindows Server 2016を利用したActive D ...

また、最近だとマイクロソフトのクラウドサービスである Azureを利用してActive Directoryを導入するパターンも増えています。そのような構成の場合は記事

で紹介しているようにクラウドサービスと、自社をVPNで接続することで、自社内にサーバーを配置しない構成をとることも可能です。クラウドサービスとオンプレを組み合わせたハイブリッド構成で障害や災害に強い構成になります。AzureでのActive Directoryを導入をご検討の方は、参考にして頂ければ幸いです。Windows Serverの強力な運用管理機能であるActive Directoryを使わない手はないと思いますので、是非、導入を行ってみて下さい。

Windowsシステムの構築サービス

windows-cta

レムシステムではWindowsを利用したシステム構築サービスをご用意しています。

「Active Directory」「ファイルサービス」、社内向けのデータベースサーバーやアプリケーション基盤としてWindowsシステムの導入を考えているユーザーに信頼性の高い、最適な価格のシステムを導入します。

レムシステムはマイクロソフトのパートナーです。安心してWindowsシステムについてご相談ください。

Windowsシステム構築を詳しく見る

レムシステムでは、ブログで紹介した設定ができない場合や、利用中のサーバー・ネットワークについての相談を受け付けています。利用中のシステムやセットアップでお困りの点がございましたら、お気軽にご相談ください。

メールでのお問い合わせ

メールフォームからシステムの
知りたいことや問題点をお問い合わせ

メールで問い合わせる

電話でのお問い合わせ

電話でお気軽にお問い合わせください
(受付時間:平日10:00〜18:00)

053-525-7357

  • この記事を書いた人
  • 最新記事
レムシステム

小村定

SIerでIT系インフラの設計と構築を経験したのちに独立、「レムシステム株式会社」を設立する。インフラ系エンジニア歴20年の経験を活かしてITに関わる課題解決や効率化に取り組む日々を送っている。

Copyright© レムシステム エンジニアブログ , 2019 All Rights Reserved.