Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548
Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548
Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548
Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548
Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548
こんにちは!そーまんです。
今回は Windows Server 2019 をドメインコントローラーに昇格してみました。
Active Directory が無い環境であれば、簡単にできます。
ただし、事前に確認しておかなければならない事や、注意しなければならない事がありますので、慎重に行う必要があります。
ドメインに参加するには以下の項目をクリアしている必要があります。
事前準備すること
サーバーをドメインコントローラーにするにあたり、主に下記の項目について事前準備しておくことがあります。
- 社内向けのドメインが決まっていること
- ドメインコントローラー専用のサーバーが決まっていること
- サーバーに固定 IP が割り当てられていること
- 適切なコンピューター名が設定されていること
- Windows Update を行い、最新のセキュリティ更新プログラムを適用されていること
ここで大事なことをお伝えいたします。
ドメインコントローラー専用のサーバーというのは、検証環境を除き、DNS と DHCP サーバー以外で異なる役割のサーバーをドメインコントローラーにするサーバーに追加することはお勧めできません。
インストールできるとかできないとかいう事は関係なく、ドメインコントローラに脆弱性を増やすようなことはセキュリティー的に良くないからです。SQL サーバーやRD ブローカーなどをインストールすれば当然のことながら攻撃対象になるわけです。
では、万が一ドメインコントローラが乗っ取られた場合はどうなるかというと、ドメインレベルの最上級の特権アカウントが乗っ取られてしまいます。ということは平たく言ってしまえば会社のシステムのなかで一番強い権限が使えるので何でもできてしまうことになってしまいます。
ドメインコントローラーにした後はコンピューター名の変更はしてはいけません。変更すると Active Directory が再起不能になります。
また、IPアドレスも同様で、再起不能になるか関係なく、変更してはいけません。コンピューター名と IPアドレスは慎重に決めましょう。
検証環境は環境が限られいる場合が多いので仕方ありませんが、本番環境ではドメインコントローラーは専用サーバーにしましょう。
ドメインコントローラーに昇格する
1. サーバーマネージャーから、「管理」→「役割と機能の追加」をクリックする。
2. 「次へ」をクリックする。
3. 「役割ベースまたは機能ベースのインストール」をクリックする。
4. ドメインコントローラーにする対象のサーバーが選択されていることを確認して「次へ」をクリックする。
5. 「Active Directory ドメインサービス」にチェックを入れて「次へ」をクリックする。
6. 「機能の追加」をクリックする。
7. 「Active Diretory ドメインサービス」にチェックが入っていることを確認して「次へ」をクリックする。
8. 「次へ」をクリックする。
9. 「次へ」をクリックする。
黄色の枠のところでは、ドメインコントローラーは最低2台あると良いということと、DNS サーバーが無ければドメインコントローラーに DNS サーバーを入れますよという意味です。
10. 再起動のチェックは任意ですが入れておくと良いでしょう。「インストール」をクリックする。
11. 「Active Directory ドメインサービス」がインストールされました。
まだこの時点ではドメインコントローラーになっていません。昇格するのはこれからになります。
12. サーバーマネージャーから、下記画像のように「このサーバーをドメインコントローラーに昇格する」をクリックする。
13. 「新しいフォレストを追加する」をクリックする。ルートドメインに決定したドメイン名を入力する。
既にドメインがある場合はこれ以外の選択になります。
・ルートドメインに世の中にある自社以外のインターネットドメインは入力してはいけません。例:google.com
・ダミードメインは使わないほうが良いでしょう。下記のように .local や .example や .test などです。
https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.aspx#Dummy_DNS_name_vs_official_DNS_name
14. フォレストの機能レベルとドメインの機能レベルはそのままで、DNS サーバーがない場合は「ドメインネームシステム (DNS) サーバー」にチェックをいれ、「次へ」をクリックする。パスワードは忘れないようにメモして入力する。
ディレクトリサービス復元モード (DSRM) のパスワードは、Active Directory が万が一ダウンしてしまい、復旧しなければならない場合、Active Directory のデータベースを復元するのですが、復元時にパスワードを求められます。それがこのパスワードです。
15. 「次へ」をクリックする。
16. NetBIOS ドメイン名を入力し、「次へ」をクリックする。※NetBIOS について知りたいのであれば下記のサイトを参考にすると良いでしょう。
https://atmarkit.itmedia.co.jp/ait/articles/0605/25/news125_2.html
17. 下記のそれぞれのフォルダーを変更する場合は、ここで変更します。基本このままでも良いでしょう。
18. 内容を確認し、問題なければ「次へ」をクリックする。
19. 前提条件のチェックで失敗しました。×の箇所を消さないと前提条件はクリアできません。
問題となる箇所を修正して「前提条件のチェックを再実行」をクリックします。
ここでは DNS サーバーを追加するので、自身が DNS サーバーになる為に、下記のようにネットワークアダプタの DNS の IP アドレスを自身にする必要があります。
20. 前提条件がクリアしました。「インストール」をクリックします。
20. 「Active Directory ドメインサービス」がインストールされ、完了後に再起動します。自動再起動でなければ手動で再起動します。
21. サーバー再起動後にはサインインの画面になります。
今回は1台目のドメインコントローラー昇格です。サーバーに登録されたローカル Administrator のパスワードはドメイン Administrator にそのまま移行します。
2台目以降の追加ドメインコントローラーの場合、ローカルユーザーは削除され、1台めのドメインコントローラのアカウントが複製されます。
お疲れ様でした。これでやっとドメインコントローラーが追加されて Active Directory が使えるようになりました。
初回のドメインコントローラー昇格後に理解しておく内容
ドメインコントローラー追加後に併せて読みたい記事
- FSMO役割の確認 → Active Directory を運用するにあたり FSMO について理解しておく必要があります。
- ドメインコントローラーを冗長化する方法 → Microsoft は同一ドメインに2台以上ドメインコントローラーで冗長化することを推奨しています。
最後に
いかがでしょうか。
Active Directory には色々な機能があり、なかなか覚えるのは大変ですが、まずは ドメインコントローラーを追加する方法を知っていただけたのではないかと思います。
では最後までお読みいただき有難うございました!
