こんにちは、ITエンジニアの小村(@system_kom)です。
Windows Serverを構築する主な用途はファイルサーバーやActive Directoryなど主にLAN内の役割だと思います。当ブログでは以下の記事でWindows Server 2019のインストール手順を説明しました。
-
あわせて読みたいWindowsサーバーOS Windows Server 2019 のインストール手順
こんにちは、レムシステムのITエンジニアのKomuraです。 Windowsのサーバー製品であるWindows Serverも、ついにバージョンが2019になりました。 Windows Serverファミリーはファイルサーバーの構築や、Ac ...
今回の記事では、インストールが完了したWindows Server 2019の環境を利用して、Windowsサーバー目玉機能の一つであるActive Directoryのセットアップをしてみたいと思います。
Active Directoryは、Windows上で動作するディレクトリサービスで、Windowsに登録されたユーザー情報と認証系システムを連携するような場合には必須になっています。最近では、ネットワーク機器やアプリケーションでも認証をActive Directoryで行うパターンが多く見受けられます。
社内のPCやWindowsユーザーアカウントなどのリソースを一括で管理する構成はもちろん、マイクロソフトのサーバー背品である「Exchange Server 」や「 Sharepoint Server」をインストールするにも必ず必要になりますので、ここで導入方法を覚えておくと他のアプリケーション導入時にも応用が利きます。
1. Active Directory ドメインサービスのインストール
先ずはActive Directory ドメインサービス (ADDS)をインストールします。Active Directory ドメインサービスはPowerShellを利用してコマンドからもインストールが出来ますが、一般的にはGUIからの導入が殆どだと思います。従って、本記事ではActive Directory ドメインサービスのインストールはコマンドではなく、GUIから行います。
1-1. Active Directoryのパラメーター決定
Active Directoryをインストールする前に、導入する環境に合わせた幾つかのパラメーターを決める必要があります。今回の記事では前提条件として以下のようなパラメーターを元にセットアップを行います。最低限、ここに紹介したパラメーターだけは決定してからセットアップを開始することをお勧めします。各パラメータの詳細については本記事では記載しませんので、興味がある方は検索エンジンなどで調べてみて下さい。
- ドメインの構成:新規にフォレストとドメインを追加する(最初のフォレスト/ドメイン)
- ルートドメイン名(DNS):本記事ではad.rem-system.comとします。※1
- ドメインコントローラー名:win2019を設定します。FQDNはwin2019.ad.rem-system.comとなります。
- ドメイン名(NetBIOS名):古いOSで利用されるドメインのNetBIOS名です。通常はDNS名のサブドメイン部分が自動的に設定されます。本環境ではサブドメイン部分がADという汎用的な名前になりますので、別の名前を明示的に設定します。本環境ではREM-SYSTEMを利用します。
- フォレストモード:WindowsServer2016とします。Active Directoryの全ての機能を利用できます。※2
- ドメインモード:WindowsServer2016とします。※2
- Active Directory復元モードのパスワード:忘れないものを設定します。Active Directoryの復旧時に利用します。
- グローバルカタログ:ドメイン内の最初のドメインコントローラーはデフォルトでGCになります。
※1.Active Directoryで利用するDNS名についてはMicrosoft TechNetにあるwiki
Active Directory: Best Practices for Internal Domain and Network Names
にベストプラクティスが記載されています。
サイトによると、パブリック側のドメイン名にサブドメインを付与する形がベストプラクティスだと紹介されていますので、それに倣って、本ブログで利用しているドメイン(rem-system.com)にサブドメイン(ad)を付与した形(ad.rem-system.com)で指定を行います。
パブリックドメインを取得していない環境では外部で名前引きできないドメイン名を指定する形で読み替えて下さい。
注記:以前はActive DirectoryのDNS名として.localを利用していましたが.localはマルチキャストDNS (mDNS)で利用されておりWindows10(ビルド1803以降)やMac端末がドメインに追加されていると不具合が発生する場合があるようです。
※2.フォレストモードとドメインモードは古いサーバとの下位互換がありません。ドメインコントローラーとしてWindows Server 2016以下を追加する予定がある、または既存環境にWindows Server 2016以下がドメインコントローラーとしてある場合は、機能レベルとしてドメインに存在するWindows Serverで一番バージョンが古いものを選定します。実際の導入については、既存の環境に合わせてのドメインの機能レベル決定が必要です。
OSごとのフォレスト・ドメイン機能レベルについては、マイクロソフトのWindows IT Pro Centerサイト
>「フォレストとドメインの機能レベル」
に詳細な記載があります。興味がある方は参考にして下さい。ここでは詳細は割愛しています。
既存のドメインコントローラーが追加するドメインコントローラーより古いバージョンの時にはフォレスト・ドメイン機能レベルは気を付ける点となりますが、今回は新規のドメイン追加になりますので Windows Server 2016を設定します。(Windows Serverのバージョンは2019ですが機能レベルは2016が最新のレベルになります。)
1-2. 役割と機能の追加ウィザードを起動する
本章からActive Directoryの具体的なセットアップ手順を紹介していきます。Windows Serverへログインすると、サーバーマネージャーが自動的に起動します。サーバーマネージャーから[役割と機能の追加]をクリックします。
[役割と機能の追加ウィザード]が起動します。
ウィザードを開始する前に注意点が表示されます。役割を追加するための必要なタスクが表示されますので完了していることを確認して [次へ] で先へすすめます。
インストールの種類の選択画面が表示されます。インストールの種類は[役割ベースまたは機能ベースのインストール]にチェックを入れます。(デフォルトでチェックが入っています。)
対象サーバーの選択画面が表示されます。[サーバープールからサーバー選択]でAD DSインストール対象のサーバが選択されていることを確認します。(ここではWIN2019)
[次へ] で先へすすめます。
1-3. サーバーの役割の選択
サーバーの役割選択画面が表示されます。サーバーの役割一覧から[Active Directoryドメインサービス]にチェックを入れます。
チェックを入れると追加で必要になる機能を追加するか、確認用の画面が表示されます。
[機能の追加]をクリックして、機能を追加します。
必要となる機能が選択されると、[Active Directoryドメインサービス]にチェックが入ります。[次へ]で先へ進めます。
1-4. 機能の選択
サーバーにインストールする機能を選択する画面が表示されます。必要となる機能は項目1-3. で選択されていますので、この画面での機能追加は不要です。
[次へ]で先へ進めます。
1-5. Active Directory ドメインサービスの注意事項
Active Directory ドメインサービスを利用する上での注意事項が表示されます。
本記事では、関連する内容はありませんので、[次へ]で先へ進めます。
1-6. インストールオプションの確認
インストールする機能とオプションのツリーが表示されます。
確認後、問題なければ[インストール]をクリックして、インストールを始めます。Active Directory ドメインサービスのインストールが開始されます。
1-7. Active Directory ドメインサービスのインストール完了
Active Directoryドメインサービスのインストールが完了すると、[構成が必要です。(ホスト名)でインストールが正常に完了しました]と表示されます。Active Directory ドメインサービスのインストール完了後、コンピューターをドメインコントローラーにするための設定が必要になります。
画面中央にある[このサーバーをドメインコントローラーに昇格する]をクリックします。
2. Active Directoryの構成
Active Directory ドメインサービスのインストール後、ドメインサービスの構成ウィザードを使って、コンピューターをドメインコントローラーに構成していきます。この構成が完了すると、Active Directoryのインストールは完了します。
2-1. Active Directoryドメインサービス構成ウィザードの起動
Active Directoryドメインサービス構成ウィザードが起動します。
2-2. 配置構成
ドメインコントローラーの配置を設定します。今回は新しいフォレストを作成しますので、[新しいフォレストを追加する]にチェックを入れ、ルートドメイン名には[ad.rem-system.com]を入力します。
[次へ]をクリックして先へ進めます。
2-3. ドメインコントローラーオプションの設定
ドメインコントローラーとして機能レベルや、ディレクトリサービス復元モードのパスワードを設定します。DNSサーバーを事前に導入していない場合、この設定画面でDNSサーバーのインストールができます。
本記事では、前提条件から以下のように設定を行いました。
- フォレストの機能レベル、ドメインの機能レベル:Windows Server 2016(デフォルト)
- ドメインネームシステム(DNS)サーバーにチェック(デフォルト)
- グローバルカタログ:デフォルトでチェック(デフォルト)
- ディレクトリサービス復元モードのパスワード:複雑なものを設定
設定を行ったら[次へ]で先へ進めます。
2-4. DNSオプションの設定
DNSサービスがインストールされていない場合、設定できる項目はありませんので、[次へ]をクリックして先へ進めます。
2-5. 追加オプションの設定
追加オプションとしてNetBIOS名を指定できます。
通常、ルートドメイン名として入力したドメイン名(ad.rem-system.com)からサブドメインが自動的にNetBIOSドメイン名として指定されます。本環境のサブドメイン名である"ad"はやや汎用的な名前の為、別のNetBIOS名であるREM-SYSTEMを指定します。
2-6. パスの設定
Active Directoryが利用するデータベースフォルダーや、ログファイル、SYSVOLフォルダーのパスを設定します。データベースフォルダーとログファイルフォルダを別のドライブに設定するとパフォーマンスや冗長性が上がりますが、ここでは同一のドライブに設定しています。(デフォルト)
2-7. オプションの確認
インストールオプションとして選択した項目のサマリーが表示されます。今回の設定サマリーは以下のような内容です。
問題なければ、[次へ]で先へ進めます。
2-8. 前提条件のチェック
ドメインコントローラーのインストール前に問題がないかをチェックします。
警告が3つほど表示されますが、[すべての前提条件のチェックに合格しました。インストールをクリックしてインストールを開始してください]というメッセージが表示されていれば先へ進めて問題ありません。
[インストール]をクリックすると、インストールが開始されます。
進行状況が表示されます。
2-9. ドメインコントローラーの構成完了とサーバーの再起動
構成が完了すると[このサーバーはドメインコントローラーとして正常に構成されました]というメッセージと再起動を促す画面が表示されます。
[閉じる]を押して、再起動を行います。
再起動が完了すれば、構成は終わりです。
再起動が完了するまでにやや時間がかかるようですが、気にせずコーヒーでも飲んで待つことをお勧めします。
3. ドメインへのログオンと動作確認
ドメインコントローラーの再起動後にREM-SYSTEMドメインへ、ドメインユーザーでログオンできるかを確認します。
ログオンに利用するドメインユーザーにはドメインの管理者であるAdministratorユーザーを指定します。
3-1. ドメイン管理者でのログオン
再起動後に、ctrl + alt + delete キーを押すことで、システムへのログオン画面が表示されます。
表示されているユーザー名がドメイン名\ユーザー名になっていることを確認してください。パスワードを入力し、ドメインコントローラーへログオンします。
ドメインコントローラーにログオンできれば、デスクトップ画面が表示されます。
3-2. サーバーマネージャーの確認
ドメインコントローラーにログオンすると自動的にサーバー管理ツールであるサーバーマネージャーが起動します。ドメインコントローラーとして機能していると、左ペインに以前は無かった[AD DS]項目が表示されます。クリックしてドメインコントローラーWIN2019が表示されることを確認します。
また表示されたドメインコントローラー名を右クリックしてActive Directoryの管理ツール一式が表示されることを確認します。
表示された管理ツールから[Active Directory ユーザーとコンピューター]を選択、起動して下さい。
左ペインから[Domain Controllers]をクリックして左ペインにWIN2019が表示されることを確認します。正常にドメインコントローラーとして表示されることが確認できます。
3-3. ネットワークのDNS
ドメインコントローラーは自身がDNSを兼ねていますので、導入後には、DNSサーバーの設定値が自分自身 (127.0.0.1)に変更されます。
インターネットへ直接、接続することができれば名前引きができますが、ルートDNSサーバーへ問合せを行うため、レイテンシが高くなってしまいます。できる限りDNSのフォワーダー機能を設定して外部へのDNSクエリをネットワーク的に近いDNSサーバーへ転送するようにする構成をお勧めします。(よくあるパターンではルーターがDNSキャッシュサーバー機能を実装しているので、ルーターをDNSフォワーダー先に指定する。)
4. まとめ
ここまででActive DirectoryがWindows Server 2019サーバーへインストールされました。この後、DNSの逆引き設定とDNSのフォワーダーを設定します。設定方法についてはWindows Server 2016用の記事を参照ください。
-
あわせて読みたいWindows Server 2016 Active Directoryのインストール後に設定するDNS 2項目
前回の記事でWindows Server 2016へのActive Directoryのインストールと構成が完了しました。 この状態でActive Directoryとしては問題なく動作するのですが、運用を容易にするためDNSサーバー関連で ...
Active Directoryがインストールされたコンピューターはドメインコントローラーと呼ばれます。ドメインコントローラーが停止すると、ドメイン全体に影響が発生しますので、追加のドメインコントローラーを構成、冗長化を行います。追加の手順については別の記事で紹介していきます。
また、最近だとマイクロソフトのクラウドサービスである Azureを利用してActive Directoryを導入するパターンも増えています。そのような構成の場合は記事
-
あわせて読みたいマイクロソフトのクラウドAzure VPNのサイト間接続をポータルから設定する
MicrosoftのクラウドサービスAzureには、オンプレミスの環境(物理的な拠点)とVPN接続(サイト対サイト)するための機能があります。VPNを利用することでクラウド環境をローカルネットワークと接続し、クラウドをローカルと同じように利 ...
で紹介しているようにクラウドサービスと、自社をVPNで接続することで、自社内にサーバーを配置しない構成をとることも可能です。クラウドサービスとオンプレを組み合わせたハイブリッド構成で障害や災害に強い構成になります。AzureでのActive Directoryを導入をご検討の方は、参考にして頂ければ幸いです。
Windows Serverの強力な運用管理機能であるActive Directoryを使わない手はないと思いますので、是非、導入を行ってみて下さい。
