初めてのActive Directoryインストールと構築手順 | ITオフィスサポートとシステム開発|システムガーディアン AWSクラウド導入|東京都中央区八丁堀

ITサポート出張、ITシステム開発・保守をワンストップで|AWSクラウド|東京都中央区八丁堀

ITオフィスサポートとシステム開発|システムガーディアン AWSクラウド導入|東京都中央区八丁堀

電話でのお問い合わせ

初めてのActive Directoryインストールと構築手順

   

初めてのActive Directory構築

 

今日もインドカレーを食べるインフラ担当の「やっさん」です。

 

やっさん人物紹介:やっさん(加藤)
オンラインゲーム会社や通信キャリアに常駐後、現在はサーバ構築・運用とセキュリティ担当。
得意技:Webサーバ/Webアプリケーションサーバの構築・運用
必殺技:スパイスから本格インドカレーを作る
Qiita:curryperformer-kato

 

2/4に、弊社でActive Directoryの勉強会を開催します。

 

社内SEに転職したい場合は必須のスキルだからなのか、運用管理のノウハウに需要があるからなのかはわかりませんが、おかげさまでほぼ満員御礼(残り2席)となりました。

 

今日は、その勉強会のハンズオン予行練習を兼ねながら、Active Directoryのプライマリとセカンダリを構築したときの手順をご紹介します。

 

なおActive Directoryの設計・運用ノウハウについては、別のスタッフが記事にしておりますので、そちらもあわせてお読みください。

AD Active Directoryのスペックと障害対応まとめ

ActiveDirectory ドメイン参加ユーザにローカルPC管理権限を与える

 

また、弊社では、Active Directoryの設計・構築案件も承っております。弊社HPのお問い合わせフォームから御用命ください。

 

検証する場合は物理サーバに評価版をインストールしよう

Active Directoryの勉強会参加者の方から「検証のためにAzure Active Directoryを構築しようとしていますが、上手くできません」という声をいただきました。

 

おそらく、Azure Active Directoryは、Active Directoryがオンプレミス(社内のサーバ)ではなくクラウド(Azure)上で提供されているもので、どちらも機能は同じと感じていらっしゃるのだと思います。

 

オンプレミスのActive Directoryは、主に社内LAN内のサーバに対するアクセスの認証・認可を行います。認証のためのプロトコルは「Kerberos」です。

 

それに対して、Azure Active Directoryは、クラウドサービスや社外で利用するPC等の認証・認可を行うもので、プロトコルはクラウドで使用される「SAML」や「OpenID Connect」になります。

 

Azure Active Directoryは、オンプレミスのActive Directoryの機能の一部しか利用できません。オンプレミスのActive Directoryを補完するものであり、代替するものではありません。

 

検証する場合は、社内の物理サーバ(仮想は非推奨)や余剰PC等に評価版をインストールし、オンプレミスのActive Directoryを構築しましょう。

※社内LAN内ではなく、検証用のネットワーク内で検証することをおすすめします。

 

なお、32bitの余剰PCにWindows Server 2008 をインストールする場合、R2ではなく、Windows Server 2008 Standard をインストールしてください(2008 R2から32bit版がなくなったため)。

https://www.microsoft.com/ja-jp/download/details.aspx?id=5023

 

Windows Server 2008 R2 をインストールして構築する

以下の写真内の、水色の枠で囲ったところをクリックしていくだけで、インストールや構築が行えます。

※前提として、Windows Serverのインストールは完了しています。

Active Directory のインストールと構築(プライマリ)

コンピュータ名の変更

この検証では省略していますが、コンピュータ名は一度設定すると変更が困難です。コンピュータ名を事前に決めておいて、Active Directory インストール前に変更しておきましょう。

 

[コントロールパネル]→[システムとセキュリティ]→[システム]→コンピュータ名、ドメインおよびワークグループの設定内にある[設定の変更]→[コンピュータ名]の入力欄に変更後のコンピュータ名を入力してOKを押すことで、変更できます。

 

ローカルのAdministrator パスワードの有効期限を無期限にする

Active Directory セカンダリ AdministratorPW無制限設定 1

 

パスワードの有効期限は、デフォルトでは42日のため、0日(無制限)に変更します。また、「複雑さの要件を満たす必要があるパスワード」を無効にします。

 

Active Directory セカンダリ AdministratorPW無制限設定 2
Active Directory セカンダリ AdministratorPW無制限設定 3

 

固定IPアドレスの設定とIPv6無効化

IPv6は、「インターネット プロトコル バージョン6(TCP・IPv6)」のチェックボックスに入っているチェックをはずすことで、無効化できます。

 

Active Directory_IPアドレス設定_1

 

優先DNSサーバとして、自分自身のIPアドレスを入力します。

 

Active Directory_IPアドレス設定_2

 

【おまけ】Public DNSを追加することで、検証用ネットワークからインターネットに接続できる場合、検証用ドメインに参加したクライアントPCがインターネットに接続できるようになります。ここでは、Google Public DNS(8.8.8.8)を追加します。

 

Active Directory パブリックDNS追加 プライマリ 1

 

Active Directory パブリックDNS追加 プライマリ 2

 

Active Directory ドメインサービスのインストール

Active Directory_構築_1

 

Active Directory_構築_2

 

Active Directory_構築_3

 

Active Directory_構築_5

 

Active Directory_構築_6

 

Active Directory_構築_7

 

Active Directory_構築_8

 

Active Directory_構築_9

 

Active Directory ドメインコントローラの新規構築

Active Directory_構築_10

 

Active Directory_構築_11

 

Active Directory_構築_12

 

Active Directory_構築_13

 

Active Directory_構築_14

 

検証用のため、ドメイン名はsys-guard.localとします。

 

Active Directory_構築_15

 

Active Directory_構築_16

 

Active Directory_構築_17

 

Active Directory_構築_18

 

Active Directory_構築_19

 

注)固定IPアドレスを設定していない場合、以下のメッセージが表示されます。その場合、[いいえ(N)]を選択し、固定IPアドレスを設定してから、[次へ(N)]を再度クリックしましょう。

 

Active Directory_構築_20

 

Active Directory_構築_21

 

データベース、ログファイル、SYSVOLのフォルダーは、デフォルトのままとします。

 

Active Directory_構築_22

 

Active Directory_構築_23

 

Active Directory_構築_24

 

Active Directory_構築_25

 

Active Directory_構築_26

 

Active Directory_構築_27

 

DNSの逆引き設定

再起動後、DNSの逆引き設定を行います。

 

Active Directory_DNS逆引き_1

 

Active Directory_DNS逆引き_2

 

Active Directory_DNS逆引き_3

 

Active Directory_DNS逆引き_4

 

Active Directory_DNS逆引き_5

 

Active Directory_DNS逆引き_6

 

Active Directory_DNS逆引き_7

 

Active Directory_DNS逆引き_8

 

Active Directory_DNS逆引き_9

 

Active Directory_DNS逆引き_10

 

nslookupで、DNSの逆引き設定が正しく行えたかを確認します。サーバー名がUnKnownの場合、しばらく時間を置いてからコマンドプロンプトで「ipconfig /flushdns」を実行したのち、再度nslookupを実行します。

 

Active Directory_IPアドレス設定_3

 

DNSの逆引きが行えましたので、プライマリの設定はこれで完了です。

Active Directory のインストールと構築(セカンダリ)

コンピュータ名の変更

この検証では省略していますが、コンピュータ名は一度設定すると変更が困難です。コンピュータ名を事前に決めておいて、Active Directory インストール前に変更しておきましょう。

 

[コントロールパネル]→[システムとセキュリティ]→[システム]→コンピュータ名、ドメインおよびワークグループの設定内にある[設定の変更]→[コンピュータ名]の入力欄に変更後のコンピュータ名を入力してOKを押すことで、変更できます。

 

ローカルのAdministrator パスワードの有効期限を無期限にする

プライマリと同じ手順のため、説明は割愛します。

 

固定IPアドレスの設定とIPv6無効化

IPv6は、「インターネット プロトコル バージョン6(TCP・IPv6)」のチェックボックスに入っているチェックをはずすことで、無効化できます。

 

Active Directory_IPアドレス設定_1

 

優先DNSサーバとして、プライマリのIPアドレスを入力します。

 

Active Directory セカンダリ IPアドレス設定 1

 

【おまけ】Public DNSを追加することで、検証用ネットワークからインターネットに接続できる場合、検証用ドメインに参加したクライアントPCがインターネットに接続できるようになります。ここでは、Google Public DNS(8.8.8.8)を追加します。

 

Active Directory パブリックDNS追加 セカンダリ 1

 

Active Directory パブリックDNS追加 セカンダリ 2

 

ドメインへの参加

Active Directory セカンダリ ドメイン参加 1

 

Active Directory セカンダリ ドメイン参加 2

 

Active Directory セカンダリ ドメイン参加 3

 

Active Directory セカンダリ ドメイン参加 4

 

再起動後、Active Directory ドメインサービスのインストールを行います。

 

Active Directory ドメインサービスのインストール

プライマリと同じ手順のため、説明は割愛します。

 

Active Directory ドメインコントローラの追加

Active Directory セカンダリ 構築 9

 

Active Directory セカンダリ 構築 10

 

Active Directory セカンダリ 構築 11

 

Active Directory セカンダリ 構築 12

 

Active Directory セカンダリ 構築 13

 

Active Directory セカンダリ 構築 14

 

Active Directory セカンダリ 構築 15

 

Active Directory セカンダリ 構築 16

 

Active Directory セカンダリ 構築 17

 

Active Directory セカンダリ 構築 18

 

Active Directory セカンダリ 構築 19

 

Active Directory セカンダリ 構築 20

 

Active Directory セカンダリ 構築 21

 

Active Directory セカンダリ 構築 22

 

Active Directory セカンダリ 構築 23

 

Active Directory セカンダリ 構築 24

 

データベース、ログファイル、SYSVOLのフォルダーは、デフォルトのままとします。

 

Active Directory セカンダリ 構築 25

 

Active Directory セカンダリ 構築 26

 

Active Directory セカンダリ 構築 27

 

Active Directory セカンダリ 構築 28

 

Active Directory セカンダリ 構築 29

 

Active Directory セカンダリ 構築 30

 

Active Directory セカンダリ 構築 31

 

セカンダリ追加後の設定確認

セカンダリ側の設定を確認すると、前方参照ゾーンと逆引き参照ゾーンが、プライマリと同じになっていることが確認できます。

 

Active Directory ドメイン追加後確認 プライマリ 1

 

Active Directory ドメイン追加後確認 プライマリ 2

 

また、セカンダリが代替DNSサーバとして、自動的にネットワーク設定に追加されています。

 

Active Directory ADセカンダリ追加後確認 1

クライアントPCのドメイン参加

固定IPアドレスの設定とIPv6無効化

DNSサーバは、プライマリとセカンダリのActive Directoryを設定します。

 

Active Directory IPアドレス設定 1 クライアントPC

 

ドメインへの参加

Active Directory ドメイン参加 1 クライアントPC

 

Active Directory ドメイン参加 2 クライアントPC

 

Active Directory ドメイン参加 3 クライアントPC

 

Active Directory ドメイン参加 4 クライアントPC

 

Active Directory ドメイン参加 5 クライアントPC

 

ドメインに参加することができました。

 

Active Directoryの入門書

以下の書籍がおすすめです。

 

Active Directory最強の指南書

 

ひと目でわかる Active Directory WindowsServer 2012 R2版

 - やっさん, Active Directory, Windows Server

  関連記事

Windows Server Active Directory AD 障害 スペック
AD Active Directoryのスペックと障害対応まとめ

備忘録として、こまごま書いているの記載してみますね。特に環境にもよりますが、サーバーのスペックや障害対応は、なかなか経験がないと分かりませんものね。 &nbsp …

Webアプリを診断するならOWASP ZAPではじめよう
【初心者向け】Webアプリを診断するならOWASP ZAPではじめよう -インストール編-

今日もインドカレーを食べるインフラ担当の「やっさん」です。 人物紹介:やっさん(加藤) オンラインゲーム会社や通信キャリアに常駐後、現在はサーバ構築・運用とセキ …

Citrix XenAPP リモートからの切断が残ってしまう場合の解決

  システム管理者であるなら、サインアウトなど”お作法”に従ってログアウトしますが、一般のユーザは当然そんな事は気にしません。 …

VMware ESXi非対応RAIDコントローラーでRAID1を構成してみた

  今日もインドカレーを食べるインフラ担当の「やっさん」です。   人物紹介:やっさん(加藤) オンラインゲーム会社や通信キャリアに常駐後、 …

シャドウコピー 共有ファイルサーバのファイルをお手軽に復元

        目次1 ネットワークで共有しているファイルを削除すると『ごみ箱』に入らず消滅します!2 社内の共有ファイ …

VMware ESXiのインストールで「No Network Adapters」が表示された時の対処法

  今日もインドカレーを食べるインフラ担当の「やっさん」です。   人物紹介:やっさん(加藤) オンラインゲーム会社や通信キャリアに常駐後、 …

GPO プリントサーバ
AD参加済みローカルユーザに、プリントサーバのプリンター使用許可 GPO設定

Windows Server のプリントサーバがホストしているプリンターを、ドメイン参加しているPCのローカル管理者に使用許可を与えるGPOのチップスです。 & …

icals Powershell
Windowsサーバ 共有ファイルの所有権設定を一括で変更する PowerShell icacls

『この操作を実行するアクセス許可が必要です。』 『このファイルを変更するには、Administratorsからアクセス許可を得る必要があります。』   …

Windows ネットワーク探索 見つからない
ネットワーク探索を有効にする 有効にならない不具合の解消

  社内ではWindowsクライアントがメインに動いていますが、ネットワークに見つからないWindowsサーバがあった時の直し方をチップスとしてご紹介 …

Windows ssh rsync linux バックアップ
Cygwin Windows環境でrsyncやsshコマンドを使う

  ファイルも数十万単位だったりすると、SCPやFTPの単純なミラーリングではフリーズします。しかし、rsyncは高速軽量でがしがしアップロードしてく …

トップページ