・急にActive Directory(AD)サーバー環境が必要になった
・テスト環境用にADサーバー環境が欲しい
・ADサーバーを構築したことがない
・以前挑戦したけど、ADサーバーの構築に失敗した
・ADサーバーの構築方法を忘れてしまった
こういった疑問に答えます
最少ステップでActive Directory(AD)サーバーの構築方法を大公開 Windows Server 2016編
Windows環境でデモやテスト環境で急にWindowsのActive Directory(AD)サーバーが必要になったりする場合があります。
タクゾーも度々ADサーバーを構築していますが、構築自体は簡単でも、いざ構築しようとするといつも「あれ?」と手順を忘れてしまいがちです。
そこで、今回は自分の備忘録も兼ねて、Windows Server 2016を使用した超簡単かつ最少ステップでADサーバーを構築する方法をご紹介します。
今回の手順は、あくまでADサーバーを急遽必要になった状況を想定しており、設定の根拠などの詳細は省いています。
もしWindows Server 2016 のメディアをお持ちでは無い方は、以下から評価版のダウンロードが可能です。
180日間も使用可能なので、ちょっとした試験であればこちらで問題ないかと思います。
毎度のことですが、今回もESXi上に仮想マシンとしてADサーバーを構築しています。
Windowsの初期インストールに関してはWindows 10 などと差はありませんので、今回は仮想マシンの展開の部分は省きます。
自宅サーバーをお持ちではない方はこちらを参考にしてください。
今回の環境構築の事前の準備としては、以下を実施してください。
- Windows server 2016(standard)のインストール
- 管理者アカウントに強力なパスワードを設定する
- DHCPではなく静的(固定の)のIPを設定する
- インストール後にWindows updateを当てる
その他の準備として、ドメインに参加するクライアントのPC(今回はWindows 10 Pro)を準備しておきましょう。
参考までに今回準備したOSのバージョン情報で、『Windows ボタン + R』を押し、『winver』で確認できます。
『OK』を選択すると、インストールされているWindows の情報が確認できます。
以下は、ドメインに参加させるWindows 10 クライアントです。
準備が完了したら、Windows Server 2016をADサーバーとして設定していきます。
Tip
Windows Server 2016のWindows Updateは失敗する場合があります。
根気よく対応してもダメな場合には、該当のKBをMicrosoftから直接ダウンロードしてインストールすのも良い手段の一つです。
Active Directoryのインストール
では、早速ADサーバーのインストールを行います。
Windows Server 2016にAdministratorでログインすると、サーバーマネジャー・ダッシュボードが真っ先に立ち上がりますので、『② 役割と機能の追加』を選択します。
既に事前の準備でお伝えしていますが、実行には赤枠の対応が完了済みである必要があります。
完了済みの場合には『次へ』を選択します。
『インストールの種類の選択』では、デフォルトである『役割ベースまたは機能ベースのインストール』にチェックが入っていることを確認し『次へ』を選択します。
『対象のサーバーの選択』では『サーバープールからサーバーを選択』でインストール対象のサーバーが選択されていることを確認します。
確認後、『次へ』を選択します。
次は『サーバーの役割の選択』です。
ここでは『Active Directory ドメイン サービス』を選択し『次へ』に進みます。
『次へ』を選択後に『役割と機能の追加ウィザード』のポップアップが表示されるので『機能の追加』を選択します。
『機能の選択』では特に何も設定は必要ありませんので『次へ』に進みます
『Active Directory ドメイン サービス』では、Active Directoryをの注意点が表示されます。
内容としては、
- 障害に備えて冗長化しましょう
- DNSサーバーが必要
という内容です。
DNSサーバーは今回インストールするADサーバーが兼用します。
では『次へ』を選択して次に進みます。
『インストール オプションの確認』では、『必要に応じて対象サーバーを自動的に再起動する』の選択ができますが、デフォルトではチェックボックスが入っていませんので、このままチェックボックスは入れずに『インストール』を選択し、先に進みます。
遂にインストールが始まりましたので、完了までしばらく待ちましょう。
インストールが完了すると『インストールが正常に完了しました。』のメッセージが表示されますので、『閉じる』を選択します。
ADサーバーのインストールはこれで完了です。
ドメインコントローラの設定
Active Directoryのインストールが完了したら、ドメインコントローラー(ADサーバー)として機能するように設定します。
サーバーマネジャー・ダッシュボードの右上に注意マークがあるのでクリックをし、『このサーバーをドメインコントローラーに昇格する』を選択します。
すると、『Active Directory ドメイン サービス構成ウィザード』が起動します。
今回は、テスト目的として新しくActive Directoryを構築することを想定していますので『新しいフォルストを追加する』を選び、ルートドメイン『任意の文字列.local』を入力して『次へ』を選択します。
なお、テスト環境ではなく企業利用のプロダクションの場合には、『.com』などのユニークなドメインを取得して適用しますが、あくまでテスト目的であれば『(任意の文字列).local』で問題ありません。
『次へ』を選択すると、『ドメインコントローラー オプション』の設定に進みます。
ここでは、ディレクトリサービス復元モード(DSRM)のパスワードを設定します。
DSRMとはADが破損してしまった際に使用するOSの起動モードなので、忘れないパスワードを設定しておきましょう。
『次へ』を選択して進むと、DNSオプションのメニューに進みます。
特に作業は不要で『次へ』を選択します。
NetBIOS ドメイン名には、先ほど設定した『任意の文字列.local』の任意の文字列部分が自動的に入力されています。
特に変更は必要ないため『次へ』を進んで先に進みます。
NetBIOSに馴染みがない方、初めて聞いたという方は下記を参考にしてみてください。
『パス』では、各ログの保存先を指定します。
今回はテスト環境のためデフォルトのまま『次へ』に進みます。
『オプションの確認』では、今回選択した設定項目の内容が表示されます。
内容を確認し『次へ』を選択します。
『前提条件のチェック』では、設定項目に不足がないかの確認が自動で実施されます。
設定に誤りがなければ『すべての前提条件のチェックに合格しました。[インストール]をクリックしていインストールを開始してください。』のメッセージが表示されますので、『インストール』を選択してインストールを開始します。
インストールが終わるまでしばらく待ちましょう。
暫くするとインストールが完了し、自動でログアウトされます。
Windowsの起動後は、Active Directory サービスが起動しています。
ログインのために『Ctrl + Alt+Delete』を実行すると、『設定した任意のドメイン名\Administrator』が表示されますので、Administratorのパスワードでログインします。
サーバーマネージャーが起動しますので、ダッシュボードを確認すると AD DS(Active Directory Domain Services)とDNSが追加されています。
これでADサーバーとしての機能は稼働済みです。
クライアントのネットワーク設定
意外に嵌りどころなのが、クライアント側のネットワーク設定です。
今回、クライアントはWindows10を利用しますが、デフォルトではIPv6で名前解決をします。
そこで、IPv6で名前解決を行わないよう以下の設定を行います。
設定は、『ここに入力して検索』に『ネットワーク接続の表示』と入力すると、ネットワーク接続の表示が表示されるので選択します。
ネットワークインターフェースのアイコンが表示されるので、右クリックをし『プロパティ』を選択するとメニューが表示されるので、『インターネット プロトコルバージョン6(TCP/IPv6)』のチェックを外して『OK』で保存します。
この設定を行うことで、次のDNSサーバーの設定を行う必要がありません。
DNSサーバの逆引き設定(オプション)
Active Directory環境では、DNSサーバーの設定が必要になります。
DNSとは『Domain Name System』の略で、ドメインとIPアドレスの変換(名前解決)をするための仕組みを管理・提供するシステムです。
名前解決には二つあます。
- 正引き:ドメイン名(コンピュータ名)からIPアドレスを解決する
- 逆引き:IPからドメイン名(コンピュータ名)を解決する
Windows Server 2016では、Active Directoryのセットアップと共に正引きが可能になる前方参照ゾーンは自動的は設定されるので、必要であれば逆引きの設定として逆引き参照ゾーンを設定しますが必須でありません。
特別な設定をしなくてもADサーバーとして利用することが出来ますが、使用するアプリケーションやネットワーク環境、サービスによっては逆引きが定義されていないことで不具合が表示る場合がありますので、設定しておくとよいでしょう。
逆引き参照ゾーンの作成
Windowsマークから『Windows 管理ツール』に進み『DNS』の設定メニューを選択します。
すると『DNSマネージャー』が起動しますので、『操作』『新しいゾーン』『逆引き参照ゾーン』の順にクリックします。
すると『新しいゾーン ウィザード』が起動しますので、『次へ』を選択します。
『ゾーンの種類』では『プライマリーゾーン』と『Active Directory にゾーンを格納する』のチェックボックスを選択し『次へ』を選択します。
『このドメインのドメイン コントローラー上で実行しているすべてのDNSサーバー』を選択して『次へ』を選択します。
逆引きの際に使用するIPアドレスとして『IPv4逆引き参照ゾーン』を選択し『次へ』を選択します。
ネットワークは、今回設定するネットワークのアドレスレンジを設定します。
一般的に自宅サーバー環境だと『192.168.1.』となるでしょう。
『動的更新』はDNSクライアントから、動的更新の要求があった場合の挙動の設定です。
『セキュリティで保護された動的更新のみを許可する』を選択します。
Windowsクライアントはデフォルトで動的更新に対応しているので、動的更新が有効の場合には、DNSのゾーンにホストのエントリとIPを自動的に登録します。
DHCPでIP配布を行っている場合でも有効です。
『次へ』で進むと、設定した項目が表示されるので内容を確認し、問題がなければ『完了』を選択して完了します。
以上で、逆引きの設定は完了です。
簡単ですね。
手動で逆引きを設定する方法
先ほど『動的更新』を選択しているので、しばらくすると逆引きのエントリーも自動で入力されますが、手動で登録したい場合には、以下の手順で設定が可能です。
DNS マネージャー『逆引き参照ゾーン』から、先ほど設定した逆引きのエントリを選択します。
右側の空白部分で右クリックをすると設定メニューが表示されるので『新しいポインター(PTR)』を選択します。
『新しいリソース レコード』の登録が起動しますので、設定したい『IPアドレス』と紐付けしたい『ホスト名』を入力し『OK』を選択します。
ドメインにクライアントの参加
ドメインに参加させるためには、ユーザーの追加が必要です。
今回はWindows 10 Proをクライアントとして準備していますので、追加したユーザー名をWindows 10 で利用してドメインに参加させてみます。
ADサーバー上でユーザーの追加
ADサーバー上の『Windows 管理ツール』から『Active Directory ユーザとコンピュータ』を選択します。
『Active Directory ユーザーとコンピュータ』の設定画面が表示されますので、『Users』を選択し余白部分で右クリックをし『新規作成』『ユーザー』を選択します。
『新しいオブジェクト – ユーザー』が起動しますので、追加するユーザー情報を入力し『次へ』を選択します。
ユーザー情報を入力すると、次にパスワードの入力を行います。
なぜか?『ユーザーは次回のログオン時にパスワードが変更が必要』を選択するとうまくログオンできない場合があったので、『ユーザーはパスワードを変更できない』を選択するのもありでしょう。
入力したら『次へ』を選択して先に進みます。
追加するユーザー情報が表示されるので、内容を確認し問題なければ『完了』を選択します。
以上で、ユーザーの完了です。
クライアント(Windows 10)側の操作
ドメイン参加のために、クライアント側の設定を行います。
ドメイン参加に必要な設定は2つで、
- クライアントのDNS(優先)をADサーバーのIPアドレスに設定する
- ドメインの参加の設定を行う
です。
クライアントのDNS(優先)をADサーバーのIPアドレスに設定する
『ここに入力して検索』に『イーサネット』と入力し『イーサネット設定』を選択します。
イーサネットの設定が表示されますので、接続済みのネットワークを選択します。
画面を下にスクロールすると『IP 設定』の項目がありますので、『編集』を選択して、優先DNS
にADサーバーのIPアドレスを設定します。
以上で、クライアントのネットワーク関連の設定は完了です。
ドメインの参加の設定の実施
次に、いよいよドメインに参加をします。
『ここに入力して検索』に『システムの詳細設定』と入力すると、『システムの詳細設定の表示』のアイコンが表示されるので選択します。
『システムのプロパティ』が表示される『コンピュータ名』のタブを選択し、『変更』を選択します。
『コンピュータ名/ドメイン名の変更』に、ルートドメインに設定した『任意の文字列.local』
をドメインに入力し『OK』を選択します。
ADサーバーに設定したユーザー名とパスワードを入力し、『OK』を選択します。
無事認証が通ると、ドメインにログインされます。
ドメインへのログには再起動が必要なため、再起動を促すポップアップが表示されます。
『システムのプロパティ』には、ドメイン名がWORKGROUPから設定したドメイン名に変わっていること、また再起動後変更になるメッセージが表示されます。
では、再起動させてログインしてみましょう。
クライアントのログイン
最後に、実際にADサーバーに設定したユーザー名でログインします。
すると、ユーザー用のプロファイルがクライアント上に作成されます。
その後、クライアントのデスクトップが表示されて完了です。
まとめ
今回はWindows Server 2016を利用したADサーバーの構築方法についてご紹介しました。
意外にも検証でADサーバーが必要なことは度々発生します。
そんな時は本記事を参考にしてみてください。
また、本ブログでは今回の記事以外にもIT関連の小技を紹介していますので、参考までにどうぞ。
