【Windows Server 2019】ドメインコントローラーを追加する方法

Active Directory

【Windows Server 2019】ドメインコントローラーを追加する方法

こんにちは!そーまんです。

今回は 既存のドメインにドメインコントローラーを追加してみました。

Active Directory が既にある前提での作業になります。

なお、Active Directory が無い環境での新規ドメインコントローラーの追加方法は以下の記事をご覧ください。

ドメインコントローラーを追加するにあたり、事前に確認しておかなければならない事や、注意しなければならない事がありますので、慎重に行う必要があります。

ドメインコントローラーを追加するには以下の項目をクリアしている必要があります。

ドメインコントローラーを追加する為の事前準備

主に下記の項目について事前準備しておくことがあります。

  1. 既にドメインコントローラーがあること (Active Directory が利用可能なこと)
  2. ドメインコントローラー専用のサーバーが決まっていること
  3. サーバーに固定 IP が割り当てられていること
  4. 適切なコンピューター名が設定されていること
  5. Windows Update を行い、最新のセキュリティ更新プログラムを適用されていること

ここで大事なことをお伝えいたします。

ドメインコントローラー専用のサーバーというのは、検証環境を除き、DNS と DHCP サーバー以外で異なる役割のサーバーをドメインコントローラーにするサーバーに追加することはお勧めできません。
インストールできるとかできないとかいう事は関係なく、ドメインコントローラに脆弱性を増やすようなことはセキュリティー的に良くないからです。SQL サーバーやRD ブローカーなどをインストールすれば当然のことながら攻撃対象になるわけです。
では、万が一ドメインコントローラが乗っ取られた場合はどうなるかというと、ドメインレベルの最上級の特権アカウントが乗っ取られてしまいます。ということは平たく言ってしまえば会社のシステムのなかで一番強い権限が使えるので何でもできてしまうことになってしまいます。

ドメインコントローラーにした後はコンピューター名の変更はしてはいけません。変更すると Active Directory が再起不能になります。
また、IPアドレスも同様で、再起不能になるか関係なく、変更してはいけません。コンピューター名と IPアドレスは慎重に決めましょう。

検証環境は環境が限られいる場合が多いので仕方ありませんが、本番環境ではドメインコントローラーは専用サーバーにしましょう。

ドメインコントローラーに昇格する

1. サーバーマネージャーから、「管理」→「役割と機能の追加」をクリックする。

2. 「次へ」をクリックする。

3. 「役割ベースまたは機能ベースのインストール」をクリックする。

4. ドメインコントローラーにする対象のサーバーが選択されていることを確認して「次へ」をクリックする。

5. 「Active Directory ドメインサービス」にチェックを入れて「次へ」をクリックする。
6. 「機能の追加」をクリックする。
7. 「Active Directory ドメインサービス」にチェックが入っていることを確認して「次へ」をクリックする。

8. 「次へ」をクリックする。

9. 「次へ」をクリックする。

10. 再起動のチェックは任意ですが入れておくと良いでしょう。「インストール」をクリックする。

11. 「Active Directory ドメインサービス」がインストールされました。
12. 下記画像のように「このサーバーをドメインコントローラーに昇格する」をクリックする。

まだこの時点ではドメインコントローラーになっていません。ドメインコントローラーを追加するのはこれからになります。

13. 「既存のドメインにドメインコントローラーを追加する」をクリックし、ドメイン管理者権限の資格情報を入力し、認証後に「次へ」をクリックする。

14. ディレクトリサービス復元モード (DSRM) のパスワード を入力し、「次へ」をクリックする。

ディレクトリサービス復元モード (DSRM) のパスワードは、Active Directory が万が一ダウンしてしまい、復旧しなければならない場合、Active Directory のデータベースを復元するのですが、復元時にパスワードを求められます。それがこのパスワードです。

15. 「次へ」をクリックする。

16. 「レプリケート元」で AD のオブジェクトをコピーしてもらう元のドメインコントローラーを選択、「次へ」をクリックする。

ドメインコントローラーが1台しかなければ以下の画像のように選択すれば大丈夫です。複数ある場合はどのドメインコントローラーからレプリケーションさせるか設計に関わると思われますので確認してから選択しましょう。

17. 下記のそれぞれのフォルダーを変更する場合は、ここで変更します。基本このままでも良いでしょう。

18. 内容を確認し、問題なければ「次へ」をクリックする。

19. 前提条件がクリアしました。「インストール」をクリックします。

20. ドメインコントローラーが追加され、完了後に再起動します。自動再起動でなければ手動で再起動します。
21. サーバー再起動後にはサインインの画面になります。

22. サーバーにログオン後、以下のコマンドを実行してドメインコントローラーとして追加されているか確認する。

ちなみに netdom query pdc を実行すると PDC (プライマリードメインコントローラー) がどのサーバー名か確認できます。

お疲れ様でした。これでやっとドメインコントローラーが冗長化できましたね。

最後に

いかがでしょうか。

これでドメインコントローラーを冗長化することができ、片方のドメインコントローラーがダウンしても Active Directory のオブジェクトは片側のドメインコントローラーで保持していてサービスを継続することができるようになっています。

それでは最後までお読みいただき有難うございました!

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りな性格です。

人気記事

1

こんにちは!そーまんです。 今回は、PC に適用されている GPO を確認する方法について書きました。 本題に入る前に、一応参考までにGPOの適用タイミングについての記事をここに貼りましたので、必要に ...

2

こんにちは!そーまんです。 今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは前置きからです。 まずはじめに 組織では PC のラ ...

3

こんにちは!そーまんです。 今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました ...

4

こんにちは!そーまんです。 今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 Windows 10 の検証環境をいじってたらサイン ...

5

こんにちは!そーまんです。 今回は、ユーザープロファイルを削除する方法について書いてみました。 企業の場合よくあることですが、1 台の PC を共有 PC として複数人で使ったり、また余り無いかもしれ ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!そーまんです。 今回は、Windows Server 2019 で NTP サーバーと同期する方法について書きました。 NTP サーバーの必要性や時刻同期の重要性を理解することは社内のシス ...

-Active Directory
-, , ,