Active Directoryドメインを作ってみよう

その4：ドメインコントローラー追加後の設定

小山 三智男

mitchin

Microsoft MVP for Directory Services

2

Active Directory ドメイン構造

フォレスト

ドメインツリー

ドメイン

test.local

ドメイン

west.test.local

ドメイン

east.test.local

ドメインツリー

ドメイン

test2.local

ドメイン

sub.test2.local

ドメインの作成・設定手順

3

1.ドメインコントローラーを作成して、フォレスト ルートのドメインを作成

• TCP/IP の設定

• Active Directory ドメイン サービス（AD DS）と DNS サーバーのインストール

• ドメイン コントローラーへの昇格

• DNS サーバーの設定

• タイムサーバーの設定（推奨）

• 組織単位（OU）、グループ、ユーザーなどの作成

• コンピューターをドメインに参加

• グループポリシーの設定（ユーザー用をちょっとだけ）

ドメインの作成・設定手順

4

2.ドメインにドメイン コントローラーを追加（任意）

• TCP/IP の設定

• Active Directory ドメイン サービス（AD DS）と DNS サーバーのインストール

• ドメイン コントローラーへの昇格（既存のドメイン）

• TCP/IP の設定（DNS サーバー）

• DNS サーバーの設定（フォワーダー）

• サイトの設定（サブネットの追加）

ドメインの作成・設定手順

5

3.フォレストにドメインを追加（任意）

• サイトの設定（サイト・サブネット・サイトリンクの追加）

• TCP/IP の設定

• Active Directory ドメイン サービス（AD DS）と DNS サーバーのインストール

• ドメイン コントローラーへの昇格（新しいドメイン）

• DNS サーバーの設定

• サイトの設定（サーバー）

• FSMO の設定（ルートドメイン）

6

DNS サーバーの設定

サーバー マネージャーで「ツール」メニューから「DNS」をクリックして DNS マネージャーを起動

7

設定の前にドメインの前方参照ゾーンを確認

前方参照ゾーンのドメインのゾーンを選択すると、追加したドメインコントローラーのネームサーバーレコード（NS レコード）とホストレコード（A レコード）が追加されているのが確認できます。

8

ゾーンのプロパティ

種類が「Active Directory 統合」になってるのが確認できます。

DNS のゾーンの情報はActive Directory の複製の時に一緒に複製されます。

9

フォワーダーの設定

フォワーダーとは、DNS サーバーが自分で名前解決できない場合に代わりに名前解決をしてくれる DNS サーバーのことです。

通常 Active Directory ドメイン内の DNS サーバーは、ドメインのメンバーになっているサーバーやクライアント PC、プリンターや社内 Web サーバーなど、ゾーンに登録されているホストに対して名前解決できます。

インターネット側など外部のホストに対しては名前解決できないので、それを解決できるようにするためにフォワーダーを設定します。基本的には 1台目と同じ設定をします。

こうすることで クライアント PC の DNS サーバー アドレスにドメインコントローラーの IP アドレスを指定するだけで、ログオンを含め内部・外部を意識することなくホスト名を使ってアクセスすることができます。

10

フォワーダーの設定

DNS サーバーのプロパティを表示して「フォワーダー」タブを開き「編集」ボタンをクリック、1台目と同様の設定をします。

11

フォワーダーの設定

編集画面が表示されるので、契約してるプロバイダや取得しているドメイン（インターネットの方）の DNS サーバーの IP アドレスか DNS 名（FQDN：完全修飾ドメイン名）を入力します。

検証がOKなのを確認し「OK」ボタンをクリックして編集画面を閉じます。

12

サイトの設定

ドメインコントローラーを追加したので、サイトを設定します。

サイトとは速度とコストの点で接続状況が良好な一連のドメインコントローラーを定義し、1つ以上の IP サブネットのセットで構成されます。

フォレスト内の Active Directory の情報をドメインコントローラー間でどのように複製するかを設定します。

現時点では、1 台目のドメインコントローラーと同じネットワークにドメインコントローラーを追加しただけなので、今回はサブネットのみ追加します。

次のページの図でいうと、DC1 を作って TokyoSite ができて、DC2 を追加したので 192.168.0.0/24 を作る ということになります。

13

Active Directory サイト構造

サイト

DC1

TokyoSite

DC2

DC3

サイト内複製

サイト

DC5

OsakaSite

DC4

サイト内複製サイト間複製

サイトリンクサブネット192.168.0.0/24192.168.1.0/24192.168.2.0/24

サブネット172.16.0.0/24172.16.1.0/24

Tokyo-OsakaLink

14

サブネットの追加

サーバー マネージャーで「ツール」メニューから「Active Directory サイトとサービス」をクリックして管理ツールを起動します。サイトは既定の「Default-First-Site-Name」だけがあり、サブネットはありません。「Subnets」を右クリックして「新しいサブネット」を選択してサブネットを作成します。

15

サブネットの追加

例に倣ってプレフィックスを入力し、サイトを選択します。プレフィックスはネットワークアドレスとサブネットマスク（ビット長）をスラッシュで連結したものを入力します。

16

サブネットとサイト内のサーバーの確認

サブネットが追加されました。次にサーバーを確認します。

17

1台目のサーバーの確認

「DC の種類」はグローバルカタログです。

グローバルカタログとは、グローバルカタログというフォレスト全体で Active Directory オブジェクトの検索に必要な情報を保持するドメインコントローラーです。

ユーザーがログオンする時はグローバルカタログにアクセスするので、一般的には各サイトに 1 台は配置するようにします。

18

2台目のサーバーの確認

まだサイトは 1 つだけなので「サイト間のデータ転送に利用できるトランスポート」の設定はしなくてもいいです。

19

接続の確認

NTDS Settings を選択して接続を確認します。接続は通常 KCC（知識整合性チェッカー）が自動生成するので設定不要です。

詳細や関連情報はブログ等で

Active Directoryドメインを作ってみよう ～ドメインの作成とDNSサーバーの設定～http://www.slideshare.net/mitchin227/create-domain

Active Directoryドメインを作ってみよう ～ユーザーやグループの作成とPCのドメイン参加～http://www.slideshare.net/mitchin227/create-domainobject

Active Directoryドメインを作ってみよう ～ドメインコントローラーの追加～http://www.slideshare.net/mitchin227/add-dc1

DNSサーバーに逆引き参照ゾーンを追加http://blogs.wankuma.com/mitchin/archive/2014/05/14/331110.aspx

既存のドメインにドメインコントローラーを追加http://blogs.wankuma.com/mitchin/archive/2014/05/12/330918.aspx

サイトの設定http://blogs.wankuma.com/mitchin/archive/2014/05/13/331025.aspx

Active Directory 関連ブログの一覧http://www.pbyk.com/blog/bloglist.html

20