Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548
Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548
Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548
Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548
こんにちは!そーまんです。
今回は 既存のドメインにドメインコントローラーを追加してみました。
Active Directory が既にある前提での作業になります。
なお、Active Directory が無い環境での新規ドメインコントローラーの追加方法は以下の記事をご覧ください。
ドメインコントローラーを追加するにあたり、事前に確認しておかなければならない事や、注意しなければならない事がありますので、慎重に行う必要があります。
ドメインコントローラーを追加するには以下の項目をクリアしている必要があります。
ドメインコントローラーを追加する為の事前準備
主に下記の項目について事前準備しておくことがあります。
- 既にドメインコントローラーがあること (Active Directory が利用可能なこと)
- ドメインコントローラー専用のサーバーが決まっていること
- サーバーに固定 IP が割り当てられていること
- 適切なコンピューター名が設定されていること
- Windows Update を行い、最新のセキュリティ更新プログラムを適用されていること
ここで大事なことをお伝えいたします。
ドメインコントローラー専用のサーバーというのは、検証環境を除き、DNS と DHCP サーバー以外で異なる役割のサーバーをドメインコントローラーにするサーバーに追加することはお勧めできません。
インストールできるとかできないとかいう事は関係なく、ドメインコントローラに脆弱性を増やすようなことはセキュリティー的に良くないからです。SQL サーバーやRD ブローカーなどをインストールすれば当然のことながら攻撃対象になるわけです。
では、万が一ドメインコントローラが乗っ取られた場合はどうなるかというと、ドメインレベルの最上級の特権アカウントが乗っ取られてしまいます。ということは平たく言ってしまえば会社のシステムのなかで一番強い権限が使えるので何でもできてしまうことになってしまいます。
ドメインコントローラーにした後はコンピューター名の変更はしてはいけません。変更すると Active Directory が再起不能になります。
また、IPアドレスも同様で、再起不能になるか関係なく、変更してはいけません。コンピューター名と IPアドレスは慎重に決めましょう。
検証環境は環境が限られいる場合が多いので仕方ありませんが、本番環境ではドメインコントローラーは専用サーバーにしましょう。
ドメインコントローラーに昇格する
1. サーバーマネージャーから、「管理」→「役割と機能の追加」をクリックする。
2. 「次へ」をクリックする。
3. 「役割ベースまたは機能ベースのインストール」をクリックする。
4. ドメインコントローラーにする対象のサーバーが選択されていることを確認して「次へ」をクリックする。
5. 「Active Directory ドメインサービス」にチェックを入れて「次へ」をクリックする。
6. 「機能の追加」をクリックする。
7. 「Active Directory ドメインサービス」にチェックが入っていることを確認して「次へ」をクリックする。
8. 「次へ」をクリックする。
9. 「次へ」をクリックする。
10. 再起動のチェックは任意ですが入れておくと良いでしょう。「インストール」をクリックする。
11. 「Active Directory ドメインサービス」がインストールされました。
12. 下記画像のように「このサーバーをドメインコントローラーに昇格する」をクリックする。
まだこの時点ではドメインコントローラーになっていません。ドメインコントローラーを追加するのはこれからになります。
13. 「既存のドメインにドメインコントローラーを追加する」をクリックし、ドメイン管理者権限の資格情報を入力し、認証後に「次へ」をクリックする。
14. ディレクトリサービス復元モード (DSRM) のパスワード を入力し、「次へ」をクリックする。
ディレクトリサービス復元モード (DSRM) のパスワードは、Active Directory が万が一ダウンしてしまい、復旧しなければならない場合、Active Directory のデータベースを復元するのですが、復元時にパスワードを求められます。それがこのパスワードです。
15. 「次へ」をクリックする。
16. 「レプリケート元」で AD のオブジェクトをコピーしてもらう元のドメインコントローラーを選択、「次へ」をクリックする。
ドメインコントローラーが1台しかなければ以下の画像のように選択すれば大丈夫です。複数ある場合はどのドメインコントローラーからレプリケーションさせるか設計に関わると思われますので確認してから選択しましょう。
17. 下記のそれぞれのフォルダーを変更する場合は、ここで変更します。基本このままでも良いでしょう。
18. 内容を確認し、問題なければ「次へ」をクリックする。
19. 前提条件がクリアしました。「インストール」をクリックします。
20. ドメインコントローラーが追加され、完了後に再起動します。自動再起動でなければ手動で再起動します。
21. サーバー再起動後にはサインインの画面になります。
22. サーバーにログオン後、以下のコマンドを実行してドメインコントローラーとして追加されているか確認する。
|
1 |
netdom query dc |
ちなみに netdom query pdc を実行すると PDC (プライマリードメインコントローラー) がどのサーバー名か確認できます。
お疲れ様でした。これでやっとドメインコントローラーが冗長化できましたね。
最後に
いかがでしょうか。
これでドメインコントローラーを冗長化することができ、片方のドメインコントローラーがダウンしても Active Directory のオブジェクトは片側のドメインコントローラーで保持していてサービスを継続することができるようになっています。
それでは最後までお読みいただき有難うございました!
