はじめに
今回はActive Directoryの2号機の残りの設定(AD昇格とDNS設定)について見ていきたいと思います。2号機は1号機の代替サーバなので設定内容も多少変わりますが、設定箇所はむしろ減るので楽になると思います。また、改めてActive Directoryについての背景や必要性について調べてみましたのでご参考ください。
前提条件
OSのインストール、ドメイン参加、Active Directoryドメインサービスのインストールが完了していること
環境
Windowsバージョン:Windows Server 2022
ドメインコントローラー昇格
1号機でもドメインコントローラー昇格手順はありましたが、2号機は1号機から複製するので構成の仕方が変わりますので混同しないようにしましょう。
1.「配置構成」画面で、以下の値に設定し、「変更」ボタンをクリックする。
配置操作を選択してください:「既存のドメインにドメインコントローラーを追加する」を選択
ドメイン名:ad.domain.jp(1号機のルートドメイン名と同じ)
2.「配置操作の資格情報」画面が出るので、作成したドメインコントローラのadministrators権限を持ったユーザを指定し、「OK」をクリックする。
3.「配置構成」画面に戻るで、以下の値に設定されていることを確認し、「次へ」ボタンをクリックする。
この操作を実行するには資格情報をしてください:手順2で指定したユーザ名
4.「ドメインコントローラーオプション」画面で、以下の値を設定し、「次へ」ボタンをクリックする。
ドメインネームシステムサーバー:チェックを入れる
グローバルカタログ:チェックを入れる
読み取り専用ドメインコントローラー:チェックを入れない
サイト名:Default-First-Site-Name
「ディレクトリサービス復元モード(DSRM)」用のパスワード:任意の値
グローバルカタログとは
Microsoft Windowsのアクティブディレクトリにおいて、ドメインやフォレスト内のすべてのオブジェクトの一覧を格納するデータベースです。GCは、ユーザー、グループ、コンピューター、リソースなどのアクティブディレクトリオブジェクトに関する情報を提供します。
5.「DNSオプション」画面では、何も指定せずに、「次へ」ボタンをクリックする。
6.「追加オプション」画面で、以下の値を設定し、「次へ」ボタンをクリックする。
メディアからのインストール:チェックを入れない
レプリケート元:任意のドメインコントローラー
7.「パス」画面で、何も変更せずに、「次へ」ボタンをクリックする。
8.「オプションの確認」画面で内容を確認し、「次へ」ボタンをクリックする。
今回と同じ構成をPowerShellコマンドで行う場合、この画面内の「スクリプトの表示」ボタンで表示されるPowerShellコマンドを保存しておくと便利です。
9.「前提条件のチェック」画面で、チェックが完了されるのを待ち、「インストール」ボタンをクリックし、インストールを開始する。(「全ての前提条件のチェックに合格しました。[インストール]をクリックしてインストールを開始してください。」という表示が出ていればインストール可能です。)
10.インストールが開始されると「インストール」画面に進捗状況が表示される。
11.インストールが完了すると自動的に再起動が実行される。(「このサーバーはドメインコントローラーとして正常に構成されました」と表示される)
12.再起動すると、再構成が実行されるので、しばらく待ちます。(3分ぐらい)
13.再構成が完了すると、ログイン画面が表示されるので、管理者ユーザ(ドメインユーザー)でログインする。
14.「Windowsマーク」-「Windows 管理ツール」 – 「Active Directory ユーザーとコンピューター」をクリックし、「Active Directory ユーザーとコンピューター」を起動する。
15.「Active Directory ユーザーとコンピューター」画面で、「Active Directoryユーザーとコンピューター[WIN2022AD2]」 - 「ドメイン(ここでは「ad.domain.jp」)」 – 「Domain Comtrollers」を選択し、サーバーがドメインコントローラーとして追加登録されていることを確認する。
DNS設定
1号機では逆引き参照ゾーンとフォワーダの設定をしましたが、2号機ではネットワークアダプターの設定を確認するぐらいです。ただし、2号機は1号機の後に作成したので1号機側に設定する箇所もあります。
※おそらく2号機が1号機の逆引き参照ゾーンとフォワーダの設定を引き継いでいるのだと思います。
2号機のDNS設定
追加した2台目のドメインコントローラーのネットワークアダプタのDNSサーバーのアドレスは、AD構成時に代替DNSサーバーとして、自ホスト(127.0.0.1)が登録される。
1号機のDNS設定
1台目のドメインコントローラーのネットワークアダプタのDNSサーバーのアドレスは、代替DNSサーバーとして、追加した2台目のドメインコントローラーのIPアドレスを設定する。
Active Directoryのおさらい
筆者は現場で1号機を1度構築したことがありますが、予備知識なく構築したので実を言うと深くは理解していません。よって、そもそもActive Directoryの開発された背景、何のために必要なのか記事に残しておきます。
Active Directoryの開発の背景
Active Directoryが登場する前は、「Windows NT」という業務用シリーズにおいて、任意の管理グループ単位でコンピューターやユーザーアカウントなどを管理する「NTドメイン」が使われていました。
ただ、NTドメインには、次のような課題がありました。
・ドメインの階層構造をつくることができない
・広域ネットワークの利用に適さない
・データを保存できる容量が少ない
組織の人数が多くなれば、上部組織と下部組織などでドメインを分けることがありますが、その階層構造が作れないためにドメインごとの管理ができず、大雑把な管理しかできませんでした。
また、NTドメインは当時のLANのように狭く限られたネットワークでの使用が想定されていたため、WANなど広域での使用にも向いていませんでした。
さらに、ユーザーやコンピューターのアカウント情報などを格納しておくSAMの容量が最大でも約4万件までだったため、大きな組織になると資源の情報を管理しきれなくなる問題もありました。
Active Directoryが必要な理由
Active Directoryは、単にNTドメインが抱えていた課題を解消しただけでなく、より効率的に情報管理が行えるような機能が充実しています。ID/パスワード管理や権限管理ができることから、シングルサインオンが可能になったり、管理者が登録されているパソコンの設定を行ったりすることが可能になりました。
業務におけるコンピューターやネットワークの重要性が増す中で、ユーザー側・管理者側、双方の利便性を高めてくれるActive Directoryが求められるようになり、従来、NTドメインを利用してきた管理者は、Active Directoryへ移行していきました。
おわりに
ついにActive Directoryの構築が完了しました。WSUSの構築に比べると少し複雑だったのではないでしょうか。しかし、現場ではActive Directoryの移行作業もあったりなど更に難易度が増しています。移行はFSMOだけで良い認識ですが、現場では移行失敗リスクを減らすためにグループポリシーの設定も事前にしておくべきとの話もあったので機会があれば別の記事に残したいと思います。
投稿者
エンジニアファーストの会社 株式会社CRE-CO 田渕浩之
参考記事
→Windows Server 2022 で、 ドメインコントローラーを追加し、冗長構成にしよう
→Active Directoryが求められる背景や機能についてわかりやすく解説