helpdelete

Active Directoryの構築

スピーカー

ゆけさん

想定環境

  • Windows Server 2016 AD01
  • Windows Server 2016 AD02 (冗長化のため)
  • Windows OS

勉強会資料文書

特徴

ローカルコンピュータに対象のユーザー情報がなくても。原則参加ドメインのユーザーを指定すればログインができる。

AD(Active Directoryとは)

  • ユーザーの作成・認証
  • コンピューターの管理
  • グループポリシーの管理

フォレスト

 1つ以上のドメインの階層的な集合

ドメイン

 管理単位

ドメインコントローラー(ドメコン、DC)

  • ADの役割を持ったサーバーの事
  • サーバ自体の重要性が高いため、冗長構成を取ることが殆ど
  • (ダウンするとネットワークログオンができなくなるため)

Active Directory

 Active Directoryの情報を保持したもの

ADの構成イメージ例

フォレスト→ドメイン→ドメコン

  • 本日はシングルドメインの構築をする

主な流れ

  1. 1台目のサーバにADの機能をインストール
  2. 1台目のサーバをDC(ドメインコントローラ)に昇格し、フォレストの作成
  3. 2台目のサーバーにADの機能をインストール
  4. 1台目のサーバをDC昇格し、ドメインに参加
  5. 簡単な機能を確認

手順概要

  • まずは、コンピューター名とネットワーク設定を変更する(2台とも)
  • コンピュータ名は被らないようにする
  • DNSサーバの設定は優先→AD1台目のIPアドレス、代替→AD2台目のIPアドレスに設定
  • ADの機能をインストールする(2台とも)
  • AD1をドメインコントローラーに昇格する(「このサーバーをドメインコントローラーに昇格する」で昇格)
  • 新しいフォレストを追加する
    • ルートドメイン名 → サブドメイン名.外部ドメインとして購入したドメイン(例:domain.example.com)
      • 「サブドメイン名」に当たる部分は15文字以内にするとよい(NetBIOS名との兼ね合い)
  • ドメインコントローラーオプションで以下を設定
    • ディレクトリサービス復元モード(DSRM)のパスワードを設定 → 今回はAdminと同じものを
    • DNS(ドメインネームシステム)、GC(グローバルカタログ)を選択している状態(デフォルト)
      • DNSサーバの委任を作成出来ない旨の警告メッセージがでるが無視(今回はパブリックなDNSと連携しないため)
    • 等々(基本的にはデフォルト設定)
    • NetBIOS名は15文字までしか指定できません。16文字以上のサブドメインを指定している場合は16文字目以降が消えます。
  • AD2をドメインコントローラーに昇格する(「このサーバーをドメインコントローラーに昇格する」で昇格)
  • 今度は新しいフォレストをを追加せず、「既存のドメインにドメインコントローラーを追加する」を選択する。
  • 各サーバーを再起動し、ドメインのAdminでログオン 
  • AD1でユーザーとコンピューターからテストユーザーを作成
  • AD2でユーザーとコンピューターからテストユーザーが存在する事を確認
  • クライアントPCをドメインに接続する
  • ネットワーク設定(DNS設定、優先DNS→AD1台目のIPアドレス)を忘れないように
  • コンピュータ名の変更画面で設定したドメイン名を入力
  • 認証を求められるのでADサーバのAdminのユーザ名、パスワードを入力
  • 再起動後、先ほど作成したテストユーザー(ドメインのNetBIOS名\ユーザ名)でログイン出来るか確認
    • リモートデスクトップの環境では、先にローカルAdminでログイン後、RDP可能なユーザの登録が必要

質疑

  • Q:ドメインコントローラに複数ドメインの設定は可能?
  • A:可能 ※今回の勉強会の範囲ではシングルドメインの構成
  • Q:ディレクトリサービス復元モード(DSRM)はクライアントWindowsセーフモードと同じ位置づけ?
  • A:概ねその認識で問題なし。ADデータのリストアにディレクトリサービス復元モードでの起動を求められる場合がある
  • Q:ログインした状態で、自分が今現在接続しているユーザのドメインを確認できる場所ってありますか?
  • A1:サーバーマネージャ→ローカルサーバー の画面でドメイン名を確認する事が可能
  • A2:クライアントWindowsの場合はコマンドプロンプト→nslookupコマンドで確認できる

トラブルシュート (byば~そん)

  • AD02がAD01のフォレストに参加できない(NETBIOSができない)
  • AD01とAD02にv6のアドレスが来ているとうまく通信ができない。

以下の方法でIPv4の通信を優先にできる。

rem コマンドプロンプトより
netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 50 0
netsh interface ipv6 set prefixpolicy ::1/128 40 1
netsh interface ipv6 set prefixpolicy ::/0 30 2
netsh interface ipv6 set prefixpolicy 2002::/16 20 3
netsh interface ipv6 set prefixpolicy ::/96 10 4
  • AD02からAD01のドメインにログインできない(pingは通る)
    • VirtualBoxのネットワーク設定を「内部ネットワーク 」にする。
    • .local 」ドメインなどの独自ドメインを使う