今やお客様はAD環境でシステムを運用するのは当たり前となっています。自社ソフトウェアを検証するにもなるべくお客様環境を想定して構築しておこうと思っています。そこで、今回は検証環境セグメント内の端末を管理または証明書の配布などを行うために、Windows Server 2019にActive Directory (AD)をインストールしてみます。
Active Directoryドメインサービスのインストール
1. サーバマネージャを起動します。
2. メニューバーから[Manage] → [Add Roles and Features]を選択します。
3. 役割と昨日の追加ウィザードが起動します。注意事項を確認の上、「skip this page by default」をクリックし、次回以降は説明ページが表示されないようにします。Nextボタンをクリックします。
4. インストールの種類の選択画面が表示されます。「Role-based or feature-based installation」を選択(デフォルト)し、Nextボタンをクリックします。
5. 対象サーバの選択画面が表示されます。ADをインストールする対象のサーバを選択します。デフォルトではウィザードを起動したサーバの情報が表示されます。Nextボタンをクリックします。
6. サーバの役割の選択画面が表示されます。「Active Directory Domain Services」にチェックを入れます。
7. チェックをすると、ADに関連するサービスまたは機能の追加が必要とのメッセージが表示されます。「Add Features」をクリックします。
8. 「Active Directory Domain Services」にチェックが入っていることを確認し、Nextボタンをクリックします。
9. サーバにインストールする機能の選択画面が表示されます。前ページですでに必要な機能をインストールするように選択しているため、そのままNextボタンをクリックします。
10. Active Directoryドメインサービスの注意事項が表示されます。注意事項を確認し、Nextボタンをクリックします。
11. インストールするサービスや機能の確認画面が表示されます。確認後、Installボタンをクリックします。
12. Active Directoryドメインサービスのインストールが開始されます。
13. インストール完了後、このサーバをドメインコントローラに昇格させるための設定が必要となります。メッセージ内にある「Promote this server to a domain controller」をクリックします。
Active Directoryの構成
1. ADのインストール手順13のリンクをクリックするか、閉じてしまった場合は、サーバマネージャからActive Directoryドメインサービスの構成ウィザードを起動します。メニューバーのビックリマークが付いた黄色のアイコンをクリックし、「Promote this server to a domain controller」をクリックします。
2. Active Directoryドメインサービス構成ウィザードが起動します。今回は新しいドメイン(フォレスト)を作成しますので、「Add a new forest」を選択し、ルートドメイン名(例:ad.xxx.local)を入力します。Nextボタンをクリックします。
3. フォレストやドメインの機能レベル、およびディレクトリサービス復元モードのパスワードを設定します。またDNSサーバも同時にインストールします。
※機能レベルは新しいものほど高度な機能が利用できます。ディレクトリサービス復元モードはADが破損した場合に修復するためのOS起動モードです。ドメインコントローラはローカルアカウントを持たないため、破損した場合はADを停止し、このパスワードを使ってローカルアカウントにログインします。
4. DNSオプション画面が表示されます。DNSがインストールされていない場合は、何も設定ができないため、Nextボタンをクリックして次に進みます。
5. 追加オプション画面が表示されます。NetBIOS名を指定します。ルートドメイン名を元に自動で入力されます。ad.xxx.localをルートドメインとした場合、「AD」が自動で入力されます。入力後、Nextボタンをクリックします。
※NetBIOS名はWindowsログイン時に使用します。例えば、AD\user1としてユーザIDを指定してログインします。そのため、ADという汎用的な名前を利用するのはあまりお勧めしません。adの次の文字であるxxxを指定するなど適宜変更してください。
6. パスの設定画面が表示されます。ADが利用するデータベース、ログファイル、SYSVOLフォルダのパスとして別のディスクのパスを指定すると、パフォーマンスや冗長性を向上させることができます。ここでは検証目的のため、デフォルトの設定とします。Nextボタンをクリックします。
7. オプションの確認画面が表示されます。構成ウィザードで指定した設定内容を確認し、問題がなければNextボタンをクリックします。
8. 構成前の前提条件のチェックが行われます。2つ警告が出ましたが、上部に緑色のチェックアイコンとともに「All prerequisite checks passed successfully. Click 'Install' to begin installation.」というメッセージが表示されていれば問題ありません。Installボタンをクリックします。
9. 進捗状況が表示されます。構成が完了するまで待ちます。
10. 構成が完了すると、「This server was successfully configured as a domain controller.」というメッセージが表示され、自動で再起動されます。
11. 再起動が完了したら、構成は完了です。
ドメインへのログイン確認
1. 再起動後、ログイン画面が表示されます。
2. Ctrl + Alt + Deleteキーを押下し、ログイン画面を表示します。表示されているログインユーザ名が「ドメイン名\Administrator」となっていることを確認し、パスワードを入力します。
3. デスクトップ画面が表示されることを確認します。ADとDNSがインストールされたため、サーバマネージャの左ペインにAD DSとDNSの項目が追加されています。
4. AD DSおよびDNSをクリックし、正常に稼働していることを確認します。
DNSの設定
今回、ADの構成時にDNSサーバのインストールも行いました。つまりADとDNSサーバが同じサーバにインストールされている状態です。よって、ネットワークアダプタのDNSサーバの設定値が自分自身(127.0.0.1)に変更されます。
DNSフォーワーダ機能を用いて、社内のDNSサーバ(ネットワーク的に近いDNSサーバ)にDNSクエリを転送し、クエリのパフォーマンスを改善するのがよいです。
私の場合は、ネットワークアダプタに固定でプライマリとセカンダリDNSサーバのIPアドレスを登録していたため、自動でDNSフォーワーダに登録されていました。以下は手動でフォーワーダ登録をする手順です。
1. DNS Managerを起動します。サーバマネージャの左ペインからDNSを選択します。DNSサーバを選択し、右クリック→ [DNS Manager] をクリックします。
2. DNS Managerの左ペインでDNSサーバを右クリック→ [Properties] をクリックします。
3. Forwardersタブをクリックし、Editボタンをクリックします。
4. DNSサーバのIPアドレスまたはホスト名を入力し、転送先のDNSサーバを追加します。追加すると自動でDNSサーバへの接続チェックが行われます。Validated列がOKであればDNSサーバへの転送が可能ということです。OKボタンをクリックします。
5. IPアドレスおよびServer FQDNが追加されていることを確認し、ApplyおよびOKボタンをクリックします。
最後にインターネットにアクセスできることを確認して終了です。
おわりに
最近では簡単な構成でADサーバを構築・設定するのが簡単ですね。実際にはADサーバは構築ではなく、管理・運用が難しいので、ADのナレッジをためるには運用をしていくべきかと思います。冗長構成環境で、サービスが止まらないように少しずつWindowsパッチを当てていくとか、Active Directory証明書サービス(ADCS)を利用するなど、複雑な構成での運用ですね。ADCSについては別の記事で構築・設定の説明をしたいと思います。