Active Directory環境をセットアップします
今回は、Windows Serverが提供していて、その中でももっとも利用されているであろうActive Directory環境のインストール/セットアップ手順を解説します。
今回は導入までとなり、実際に利用する機能のご紹介などは別記事にしたいと思います。
Active Directoryとは(かんたんに)
Active Directoryとは、Windows Serverが提供しているディレクトリサービスの名称です。
ディレクトリサービスとは、ネットワーク上のいろいろなリソース(ユーザアカウントやその認証情報、コンピュータやプリンタなど)を一元管理する機能のことです。
Windows ServerではActive Directoryとして提供されていますが、LinuxではOpenLDAPが有名ですね。
Active Directoryドメインサービスをインストール
Active Directoryのコア機能となる Active Directoryドメインサービス(略称ADDS)をインストールします。
サーバマネージャーを起動して、右上の [管理] – [役割と機能の追加] をクリックします。
役割と機能の追加ウィザードが起動します。
はじめは確認画面なので無視して 次へ で問題ありません。
今後この画面を表示したくない場合は画面下の 既定でこのページを表示しない にチェックをいれておきましょう。
インストールの種類の選択 画面では 役割ベースまたは機能ベースのインストール を選択して 次へ で進めます。
リモートデスクトップサービスのインストール は仮想デスクトップ(VDI)関連の機能に特化したインストールウィザードとなります。
対象サーバの選択 で今回ADDSをインストールするサーバが選択されていることを確認します。
実は事前に準備しておけば、このダイアログで複数のサーバの中から機能を追加する対象を選択したりもできます。
サーバの役割の選択。ここが重要です。
役割一覧から Active Directory ドメイン サービス にチェックを入れてください。
チェックを入れると追加が必要なコンポーネント一覧が表示されますので、 機能の追加 ボタンをクリックしてウィザードを進めます。
機能の選択では特に気をつけることはありません。
次へで進めます。
ADDSの説明画面と注意事項が表示されます。
注意事項を一通り読んだら次へで進めます。
インストールオプションの確認は特に気をつけることはありません。
インストール ボタンをクリックします。
しばらく待つとインストールが完了します。
閉じる をクリックしましょう。
ADDSのインストールはここまでで完了です。
ドメインコントローラーへ昇格
しかし、ADDSをインストールしただけでは不十分で、ドメインコントローラーへの昇格 という作業が必要になります。
ドメインコントローラーはドメインの中の親玉のイメージです。
「ドメコン」なんて略されたりもします(ADサーバと呼んだり現場によってさまざまですね)。
サーバーマネージャー上に表示されるエクスクラメーションマークをクリックしてみると このサーバをドメインコントローラーに昇格する という部分が選択できますのでクリックします。
Active Directoryドメインサービス構成ウィザードがはじまります。
今回まったくの新規でドメイン環境を構築するので、新しいフォレストを追加する を選択します。
ルートドメイン名はお好きな名前でいいのですが、いちおうMicrosoftの推奨は外部公開ドメインのサブドメインとすることのようです。
MSさんの言うとおりにしておきましょう。
つぎのドメインコントローラーオプションでは初見だとよくわからない項目がたくさんでてきますが、新規構築の場合はデフォルトのままで進めて大丈夫です。
ねんのため、各項目についてかんたんに触れておきます。
Windows ServerがバージョンアップするごとにADDSの機能も追加拡張されてきました。
ADドメイン環境を新規構築する場合は、気にせず最新バージョンを選択して進めて問題ありませんが、すでにドメイン環境を構築していて、そこにドメインコントローラーを追加する場合は機能レベルをそろえてあげる必要があります。
※各OSバージョンで追加された機能はMicrosoft公式ページをご覧ください
構築するドメイン環境内に存在する各マシンのIPアドレスとホスト名の紐づけを行う機能のことです。
たとえばこの記事を執筆している時点でgoogle検索サイトはIPアドレスが172.217.24.131ですが、この数字の羅列を見て「Google検索サイトだ!」とわかる人はいませんよね。
そこで活躍するのがDNSサーバです。
Google検索にアクセスしたい人は、https://www.google.co.jp という、だれが見てもGoogleだとわかるアドレスにアクセスします。
このwww.google.co.jpを172.217.24.131に変換してくれているのがDNSサーバのお仕事になります。
ドメイン環境内には最低1台は、このDNS機能をもったサーバが必要ですよ ということです。
ドメイン/フォレストの中でよく利用される情報(コンピュータ名やユーザ名など)が記録されているデータベースのことです。
フォレスト内の最初のドメインコントローラーはかならずグローバルカタログをもったサーバになりますので、ウィザードでもチェックが外せないようになっています。
文字通り、ドメインコントローラーに必要な情報をもっているものの、更新ができない(読み取り専用)機能制限をかけたサーバのことです。
今回1台目のドメインコントローラーですので、読み取り専用にすることはできません。
Active Directoryが壊れてしまった際に必要となるパスワードです。
検証環境であればなんでもかまいませんが、本番環境では厳重に、忘れないように管理しておきましょう。
DNSオプションでは特になにもせず次へで進めます。
追加オプションでは、NetBIOSドメイン名を指定することができます。
デフォルトだと、さきほど指定したルートドメイン名のサブドメイン部分(今回でいうINTERNAL)が指定されていますが、もうすこしわかりやすく CHIRITSUMO と変更しておきます。
Active Directory環境のデータベースやログなどが格納されるPATHを指定します。
今回はデフォルトのままで問題ありません。
ここまで指定したパラメータの確認画面が表示されます。
一通り誤字などがないか確認しましょう。
このまま処理を進めてもよいか、システムチェックが自動で走ります。
すべての前提条件のチェックに合格しました となっていればOKです。
インストール をクリックしましょう。
少し待つと、処理が完了します。
と同時にサーバ再起動が走りますので慌てないようにしましょう。
ドメイン管理者でログイン
サーバが起動しました。
ログインアカウントが<NetBIOS名>\Administrator となっていることを確認します。
これはドメインのAdministratorでログインしようとしている という意味になります。
OSログインできたら、サーバーマネージャーやWindows管理ツール一覧でAD DS関連の表記が増えていることを確認しましょう。
今回はADDSのインストールとドメインコントローラーへの昇格をおこないました。
今後Active Directoryの機能としてよく利用するユーザ管理やグループポリシー管理などを記事にできればと思います。
今回は以上です。
それじゃあまたね。
