Windows Server 2019 で Active Directory を新規作成する

初めて Active Directory を触ったのは Windows NT 4.0 ドメインから Windows Server 2000 への移行の時だった。

Active Directory に関しては、大抵の環境では構成済みで、新規ドメインで構築することは無くて既存ドメインからの移行のみなので、ちょっと新規に作ってみる。

役割と機能の追加

サーバーマネージャー」→「管理」→「役割と機能の追加」をクリック。

 

次へ」をクリック。

 

次へ」をクリック。

 

Active Directory ドメイン サービス」にチェックを入れる。

 

同時にインストール管理ツールが表示されるので「機能の追加」をクリックする。

 

次へ」をクリック。

 

次へ」をクリック。

 

次へ」をクリックする。

 

インストール」をクリック。

 

閉じる」をクリック。

 

新規ドメインの構成

サーバーマネージャーのフラグマークのところをクリックし、「このサーバーをドメインコントローラーに昇格する」をクリック。

 

新しいフォレストを追加する」を選択し、ルートドメイン名に任意のドメイン名を入力して「次へ」をクリック。

 

デフォルトのフォレスト/ドメイン機能レベルは「Windows Server 2016」でした。選択できる機能レベルは、以下の 5 つでした。

  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016 (デフォルトで選択されている)

ディレクトリ サービス復元モードのパスワードを入力して、「次へ」をクリック。

ディレクトリサービス復元モード は、ドメインコントローラになるとローカルアカウントがなくなるので、自身の Active Directory のデータベースにアクセス出来ない状況の時にサーバに ローカルAdministrator でログインする際の特殊なパスワードです。通常のログインでは使用出来ず、OS 自体をディレクトリサービス復元モードで起動する必要があります。

 

次へ」をクリック。

 

NetBIOSドメイン名は、DNSドメイン名から自動的に設定されるので問題なければそのままでいいです。なので、そのまま「次へ」をクリック。

 

Active Directory で利用するデータの保存パスの設定はデフォルトのままでいいので「次へ」をクリック。

 

次へ」をクリック。

 

インストール」をクリック。

 

インストール処理は約 30 秒くらいかかるので待ちます。

 

インストール処理が完了すると自動的に再起動されます。

 

OS が再起動したら完了です。

 

AD構成後の最低限必要な設定

DNS サーバーのフォワーダー設定

Active Directory 環境では自身の DNS 参照先としては、作成した DNSドメインの名前解決のために作成した DNSゾーン(今回は infra-note.local)をホストしている DNS サーバーを参照している必要があります。新規ドメインの場合には自動的に自分自身。

そのため、自身の DNS サーバーのフォワーダー設定を行っていないと外部の名前解決を行うことが出来ないので、外部ドメインの名前解決が必要な場合には、フォワーダーの設定は行っておきましょう。

「サーバーマネージャー」→「ツール」→「DNS」を起動して、サーバー名上で右クリックして、「プロパティ」をクリック。

 

フォワーダー」タブを選択し、「編集」をクリック。

 

フォワード先の DNS サーバーの IPアドレスを入力した、「OK」 をクリック。ここでは例として Google の DNS サーバーを指定してます。

 

「OK」をクリックして完了です。

時刻同期設定

Active Directory 環境では FSMO の役割を持つドメインコントローラーがドメイン環境全体の時刻同期の中心となるので、時刻同期設定は忘れずに。

正常性確認

dcdiag コマンドで正常性の確認

各テスト項目が「合格しました」となっていることを確認します。FrsEvent と SystemLog のテスト項目はイベントログのエラーを表示するだけなので「失敗しました」となっていても内容を確認し問題なければ問題ありません。

 

dcdiag コマンドでもチェックはされてるけど、ドメインコントローラーに必要なファイル共有(NETLOGON、SYSVOL)が開いてることを確認。

 

今回は1台なので必要ないけど、複数台で構成している場合には「repadmin /showprel」コマンドを使用し、レプリケーションの状態を確認します。