前回の「役割と機能の追加(ADの準備)」の続きとなります。今回はActive Directory Domain Services(以下、ADDS)の実際の導入を行います。すべての画面は2023年4月24日時点の情報となります。
注意事項
全体のシナリオとしてはAD+Azure AD Connect(以下、AADC)を構築して、いろいろテストできる環境を作ろう(AD兼AADCを1台)というものです。(一番利用されているだろうWindows 2016で作ればよかったと若干後悔していますが、2022でAADC立ててみたかったのもあるのでご容赦)
全体のシナリオを読む(実際に構築してみる)場合のブログ記事としては大きく下記の流れで記載を予定しています。ゴールとしては検証環境を構築することですので、シンプルでお安く(Azureの無償範囲内)作る前提としており、情シスの方やエンジニアの方が最初のとっかかりになればと考えて記載した記事です。
少し業務のヒントも書くつもりではいますが、記載の内容だけで顧客にデリバリーしているものではないので「これだけやればいいんだ!」みたいなレベルで記載するつもりはありません。
具体例を出すとADは1台で構築するのでレプリケーションのことなど一切無視してます。その前提でスキーマ拡張するのでレプリケーション停止する必要などないのですが、本番(MSは2台以上を推奨としているので1台のケースはないと思っている)でこの手順でやってうまく適用されなかったら障害になります。
・VMの日本語化
・役割と機能の追加(ADの準備)
・ドメインコントローラーへの昇格(いわゆるADの構築) ☆本記事☆
・Azure AD Connectの事前準備
・Azure AD Connectの構築
・その他
※一部は既存のブログとかぶることがあるかと思います。既存のブログの方は不快に思うかもしれませんが、最新の画面で作成することに意義があると考えていますので気分を悪くされた方はご容赦ください。
「このサーバーをドメインコントローラーに昇格する」をクリックする
スタートメニューに「サーバーマネージャー」があります。
先の作業を行うことでサーバーマネージャーの右上の旗マークに警告がでていますので、これをクリックして「このサーバーをドメインコントローラーに昇格する」をクリックしてください。
「新しいフォレストを追加する」を選択して「ドメイン名」を入力して「次へ」をクリックする
下記のように「新しいフォレストを追加する」を選択して、ルートドメイン名を入れてください。
検証環境ですので自分の会社や顧客想定で設定してください。ちなみに下記をマネして設定してもADは構築できますし、後ほどAzure ADに同期するドメインは別に設定しますので実害はありません。
今回は昔ながらの企業想定+ドメインを持っていない検証をする方向けに「.local」という以前のMSのサンプル値で作成しています。
本来は下記のような一般的なDNS(会社によっては外部DNSとかいうこともあります)で解決できるアドレスで登録するのが好ましいです。Macを管理する場合の問題などが発生するし、Azure ADとの同期を考えたときにシンプルになります。
※当然ですが自分で持っていないドメインを登録するべきではありません(Microsoft 365に同期する際に一般的じゃないシナリオになります)
「新しいフォレストを追加する」を選択して「ドメイン名」を入力して「次へ」をクリックする
フォレストとドメインの機能レベル
今回はWindows Server 2022で構築しているのになぜ、Windows Server 2016」を選択しているのかと思う方がいると思いますが「Windows Server 2022」というものはありません。
最新である「Windows Server 2016」を選んでいるというのが今回の設計になります。
ディレクトリサービス復元モードのパスワード
このパスワードはADが破損した場合に修復するために使用するモードに使うパスワードになります。
忘れてしまった場合の手順もオフィシャルにありますし、今回は検証なのでおかしくなったら作り直せばいいやぐらいの考え方ですので深く考えずに進めていきましょう。
参考)管理者アカウント パスワードをリセットする方法
https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/identity/reset-directory-services-restore-mode-admin-pwd
「次へ」をクリックする(画面ではなにもしない)
他にDNSサーバーがあるわけではありませんので考慮不要です。
「次へ」をクリックする(画面ではなにもしない)
先ほど設定したルートドメインから自動で作成されます。基本的にはそのままでよいですが、変更したい方は変えても問題ありません。
参考:ネットワーク通信をするときに一般的には「IPアドレス」がすぐに浮かぶと思いますが、Windows OSの場合は「NetBIOS(Network BIOS)」がベースに使われているので、こういう重要な部分でも確認される仕様になっています。名前の通りBIOS(後継がUEFI)のネットワーク用のものと考えていただければよいかと思います。
「次へ」をクリックする(画面ではなにもしない)
Active Directoryが利用する下記フォルダーのパスを指定できますが、検証なので既定で設定します。
「データベースのフォルダー」
「ログファイルのフォルダー」
「SYSVOLフォルダー」
「次へ」をクリックする(画面ではなにもしない)
「インストール」をクリックする(画面ではなにもしない)
画面に従って再起動する
画像とり忘れました。
最後に
お疲れさまでした。今回もおそらくすんなり読めた(or構築)できたかと思います。
ADも1台立てるだけなら特に難しくもなく構築ができてしまいます。(個人的にはMicrosoft 365の設定のほうがよほど難しいと思う)
これは最低限の設定をしているだけであり、これでADの設定があれこれできているわけではありません。見積を思い返して「こんな単純な作業でなぜこんな高いんだよ!」と思う方や先輩方の指導を思い返して「思ったよりよりAD簡単じゃね?」とか思う方はこれを機にADの勉強するとどれだけ考慮ポイントがあるのかわかると思います。実案件の場合は既存ADがあるのがほとんどであり、それも考慮しなくてはいけません。環境ごとに考慮するポイントが違っているのですぐにわかる魔法のドキュメントは存在しないということを書いておきます。
※Microsoft 365のテナント作って「Microsoft 365 導入したことあるぜ!」というレベルの会話でありまだ入り口のレベルなのです。裏を返せば無料で書いていることからお察しください。
ADが構築されたので次はAADCといきたいところですが、ちょっと準備を挟んでからの構築となりますので飛ばさずに順番にご覧いただけると幸いです。
