こんにちは!クラウドインテグレーション部技術1課のイーゴリです。
この記事では、ドメインコントローラー(DC)をGUIで構築する方法をご紹介させて頂きます。
今回はAWSのEC2上で構築する予定ですが、OSの手順のため、オンプレミスの手順と変わりません。
なお、手順の中でDC構築の基礎知識も軽くご説明したいと思います。
GUIの方法を使うよりPowerShellやユーザーデータ(AWSの場合)で構築したほうが効率が上がるので、次の記事では、GUIの方法よりかなり早いDC構築方法(PowerShell / AWSユーザーデータ)をご紹介させて頂きます。
【Windows Server】ドメインコントローラを構築する(GUIの方法)
GUIでサーバーの役割のインストール手順
[Windows]ボタン→[サーバーマネージャー]をクリックします。
[ダッシュボード]の画面にある[管理]→[役割と機能]の追加をクリックします。
次の画面で[次へ]→[次へ]→[次へ]をクリックすると、役割のインストール画面が出ます。
※念の為にすべての画面を紹介致しますが、要点だけご説明させて頂きます。
[サーバー役割の選択]の画面で、必要な役割(Active Directory ドメインサービス)を選択した上、[次へ]をクリックします。
普通は初めてのDCを構築する時に、Active Directory ドメインサービス、DNS、DHCPをセットでインストールされているパターンが多いため、その通り構築します。
[Active Directory ドメインサービス]を選択する時に、下記のような画面が表示されるので、[機能の追加]をクリックします。
[DHCP]を選択する時に、下記のような画面が表示されるので、[機能の追加]をクリックします。
[DNS]を選択する時に、下記のような画面が表示されるので、[機能の追加]をクリックします。
[次へ]をクリックします。
[次の画面]で[次へ]を4回クリックします。
[確認]の画面まで進んだら、[インストール]をクリックします。
インストールが完了しましたら、下記のような画面が表示されますので、[閉じる]をクリックします。
GUIでDC構築
[サーバーマネージャー]にあるビックリマークをクリックし、[このサーバーをドメインコントローラーに昇格する]をクリックします。
[配置構成]の画面で、[新しいフォレストを追加する]を選択した上、[ルートドメイン名]を入力し、[次へ]をクリックします。
新規フォレスト・ドメイン作成の場合、[ドメインコントローラーオプション]の画面で、[フォレストの機能レベル]/[ドメインの機能レベル]の設定をデフォルトで残してください。
※「test.local」はあくまで本件の記事のために記載した名前となります。 詳しくは下記の記事を御覧ください。
なお、「フォレスト」や「ドメイン」の用語について詳しく知りたい場合は、別途、ネットで調べたほうが良いと思いますが、今回の記事で軽く説明しますと、フォレストの中にドメインがあります。フォレストが存在しないとドメイン作成することができません。下記の図では、フォレスト・ドメインのイメージを紹介するために図を作成しました。
今回の記事では、下記の図の「フォレストa」、「ドメインa」のみを作成致します。Windows Serverについての記事のシリーズは完成すると、下記の図のようになりますが、まずは基本からご紹介致します。
ディレクトリサービス復元モード(DSRM)の[パスワード]及び[パスワードの入力確認]のところでパスワードを入力した上、[次へ]をクリックします。
[DNSオプション]の画面で、[次へ]をクリックします。
[追加オプション]の画面で、適切なNetBIOSドメイン名が自動的に記載されていますので、必要に応じて修正し、[次へ]をクリックします。※
※基本的にNetBIOSドメイン名を変更することはおすすめできません。詳しくは下記の記事をご参考ください。
[パス]の画面で、データベース、ログファイル、SYSVOLを指定します。データベースとログファイルを別のディスクに配置することでパフォーマンスが向上しますが、物理的に分割する必要がありますので、今回はそのまま「次へ」をクリックします。
[オプションの確認]の画面で、「次へ」をクリックします。
[前提条件のチェック]の画面で、警告を確認してから、問題なければ、[インストール]をクリックします。 「すべての前提条件のチェックに合格しました。[インストール]をクリックして、インストールを開始してください。」と記載があるので、[インストール]のボタンを押します。
私の場合、すべての警告が想定通りの警告となったため、[インストール]をクリックします。
インストールが完了次第、[このサーバーはドメインコントローラーとして正常に構成されました]というメッセージと再起動を促す画面が表示されます。
もちろん、GUIでのインストールの方法でも全然問題ありませんが、無駄な時間が発生します。PowerShellの方法のほうがより早く作業できますので、次の記事では、PowerShellの方法をご紹介させて頂きます。
考慮事項
ドメイン名についての注意点
「test.local」のドメインを本件の記事のためだけに記載しましたが、本番環境での「.local」のようなドメインの使用はNGです。正しいドメイン名の選び方について下記の記事をご参考ください。
AWSでDCを展開する場合
AWSでDCを展開する場合、[前提条件のチェック]の画面で、「このコンピューターには、IP プロパティに静的 IP アドレスが割り当てられていない物理ネットワーク アダプターが、少なくとも 1 つあります。」という警告が出ますが、AWSのEC2の場合、デフォルトでAWS上のDHCPが自動的にENI (NIC)に固定のプライベートIPアドレスを割り当てるため、問題ありません。
例えば、EC2を構築する時に、ENI(NIC)に静的にプライベートIPアドレスを指定しても、OSから見たネットワークインターフェースとしてはDHCPに見えるために「このコンピューターには、IP プロパティに静的 IP アドレスが割り当てられていない物理ネットワーク アダプターが、少なくとも 1 つあります。」の警告が発生しますが、ENIに割り当てたプライベートIPアドレスが変わることはありませんので、問題ありません。
DCの構成について
今回の記事では、簡単な1台目のDC構築の方法の紹介でしたが、本番環境では、高可用性を実現するために、各ドメインには少なくとも 2台のDCを用意することをお勧めします。
なぜなら、各ドメインコントローラー間で行われた変更を伝達するためにレプリケーションという同期動作が行われるからです。 何らかの理由でコントローラーの1台に障害が発生した場合、他のコントローラーを代わりに使用でき、エンドユーザーにも影響はありません。そのために、本番環境では各ドメインに少なくとも 2台のDCを用意することをお勧めします。
2台目のDC構築については本件の記事では触れていませんが、今後のWindows Serverの記事でご説明したいと思います。
構築前のコンピューター名及びIP設定について
本件の記事では、コンピューター名及びIPアドレスの設定の部分は省きましたが、AWSの場合、DHCPで固定のIPが割り当てられるため、IP設定をOS上から変更しないでください(対象ENIに接続できなくなります)。
※もしIP設定をOS上から変更してしまった場合、対策方法としては一時的に新規ENIを作成し対象のDCにアタッチします。その後、OS上で、IP設定をもとに戻したら、また既存のENIに接続ができるようになるため、一時的に作成したENIを削除しても大丈夫です。
コンピューター名も適切な名前に変更する必要がありますので、[Windows]ボタン→[サーバーマネージャー]→[コンピューター名]の箇所でコンピューター名を変更することができます。
DHCPの役割について
今回のシナリオでは、ADDS, DHCP, DNSの「標準セット」でDHCPもインストールしました。但し、AWS内のみでADを使っている場合、AWSのDHCP機能があるため、AD上にあるDHCPの説明を省きます。
もしオンプレミスの端末のためにDCにあるDHCPが必要というシナリオの場合、構成によってDHCPの役割をインストールする必要がある可能性がありますので、自分でご判断ください。
ヒントとしては基本的にはオンプレミス環境でAD上のDHCPが使われているパターンが非常に多いです。AWSの場合、AWS上にあるDHCPがあるため、インストールは不要です。
但し、ハイブリッドクラウドの場合、オンプレミスの端末のためにAD上にあるDHCPの役割をインストールする必要性があります。
以上、御一読ありがとうございました。
本田 イーゴリ (記事一覧)
カスタマーサクセス部
・AWS SAP, DOP, SCS, DBS, SAA, DVA, CLF
・Azure AZ-900
・EC-Council CCSE
趣味:日本国内旅行(47都道府県制覇)・ドライブ・音楽
