Active Directoryの構築
スピーカー
ゆけさん
想定環境
- Windows Server 2016 AD01
- Windows Server 2016 AD02 (冗長化のため)
- Windows OS
勉強会資料文書
特徴
ローカルコンピュータに対象のユーザー情報がなくても。原則参加ドメインのユーザーを指定すればログインができる。
AD(Active Directoryとは)
- ユーザーの作成・認証
- コンピューターの管理
- グループポリシーの管理
フォレスト
1つ以上のドメインの階層的な集合
ドメイン
管理単位
ドメインコントローラー(ドメコン、DC)
- ADの役割を持ったサーバーの事
- サーバ自体の重要性が高いため、冗長構成を取ることが殆ど
- (ダウンするとネットワークログオンができなくなるため)
Active Directory
Active Directoryの情報を保持したもの
ADの構成イメージ例
フォレスト→ドメイン→ドメコン
- 本日はシングルドメインの構築をする
主な流れ
- 1台目のサーバにADの機能をインストール
- 1台目のサーバをDC(ドメインコントローラ)に昇格し、フォレストの作成
- 2台目のサーバーにADの機能をインストール
- 1台目のサーバをDC昇格し、ドメインに参加
- 簡単な機能を確認
手順概要
- まずは、コンピューター名とネットワーク設定を変更する(2台とも)
- コンピュータ名は被らないようにする
- DNSサーバの設定は優先→AD1台目のIPアドレス、代替→AD2台目のIPアドレスに設定
- ADの機能をインストールする(2台とも)
- AD1をドメインコントローラーに昇格する(「このサーバーをドメインコントローラーに昇格する」で昇格)
- 新しいフォレストを追加する
- ルートドメイン名 → サブドメイン名.外部ドメインとして購入したドメイン(例:domain.example.com)
- 「サブドメイン名」に当たる部分は15文字以内にするとよい(NetBIOS名との兼ね合い)
- ルートドメイン名 → サブドメイン名.外部ドメインとして購入したドメイン(例:domain.example.com)
- ドメインコントローラーオプションで以下を設定
- ディレクトリサービス復元モード(DSRM)のパスワードを設定 → 今回はAdminと同じものを
- DNS(ドメインネームシステム)、GC(グローバルカタログ)を選択している状態(デフォルト)
- DNSサーバの委任を作成出来ない旨の警告メッセージがでるが無視(今回はパブリックなDNSと連携しないため)
- 等々(基本的にはデフォルト設定)
- NetBIOS名は15文字までしか指定できません。16文字以上のサブドメインを指定している場合は16文字目以降が消えます。
- AD2をドメインコントローラーに昇格する(「このサーバーをドメインコントローラーに昇格する」で昇格)
- 今度は新しいフォレストをを追加せず、「既存のドメインにドメインコントローラーを追加する」を選択する。
- 各サーバーを再起動し、ドメインのAdminでログオン
- AD1でユーザーとコンピューターからテストユーザーを作成
- AD2でユーザーとコンピューターからテストユーザーが存在する事を確認
- クライアントPCをドメインに接続する
- ネットワーク設定(DNS設定、優先DNS→AD1台目のIPアドレス)を忘れないように
- コンピュータ名の変更画面で設定したドメイン名を入力
- 認証を求められるのでADサーバのAdminのユーザ名、パスワードを入力
- 再起動後、先ほど作成したテストユーザー(ドメインのNetBIOS名\ユーザ名)でログイン出来るか確認
- リモートデスクトップの環境では、先にローカルAdminでログイン後、RDP可能なユーザの登録が必要
質疑
- Q:ドメインコントローラに複数ドメインの設定は可能?
- A:可能 ※今回の勉強会の範囲ではシングルドメインの構成
- Q:ディレクトリサービス復元モード(DSRM)はクライアントWindowsセーフモードと同じ位置づけ?
- A:概ねその認識で問題なし。ADデータのリストアにディレクトリサービス復元モードでの起動を求められる場合がある
- Q:ログインした状態で、自分が今現在接続しているユーザのドメインを確認できる場所ってありますか?
- A1:サーバーマネージャ→ローカルサーバー の画面でドメイン名を確認する事が可能
- A2:クライアントWindowsの場合はコマンドプロンプト→nslookupコマンドで確認できる
トラブルシュート (byば~そん)
- AD02がAD01のフォレストに参加できない(NETBIOSができない)
- AD01とAD02にv6のアドレスが来ているとうまく通信ができない。
以下の方法でIPv4の通信を優先にできる。
rem コマンドプロンプトより netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 50 0 netsh interface ipv6 set prefixpolicy ::1/128 40 1 netsh interface ipv6 set prefixpolicy ::/0 30 2 netsh interface ipv6 set prefixpolicy 2002::/16 20 3 netsh interface ipv6 set prefixpolicy ::/96 10 4
- AD02からAD01のドメインにログインできない(pingは通る)
- VirtualBoxのネットワーク設定を「内部ネットワーク 」にする。
- 「.local 」ドメインなどの独自ドメインを使う