【Active Directory】ADドメイン環境を構築する［DC昇格手順］

これまで Active Directory についてはいろいろ書いてきましたが、そもそもの基礎部分である Active Directory 環境の構築については触れていなかったので、今回は Active Directory 環境と環境構築に必要な昇格作業についてまとめてみました。

AD 環境構築に必要な DC 昇格手順については、他のページやブログでもまとめられていると思いますので、ここでは要所要所で自身の経験を踏まえてコメントを入れつつ整理しました。１から Active Directory 環境の構築を考えている方は、是非ご参考にして頂ければと思います。

Active Directory について
1. クラウドサービスとの連携認証
2. ディレクトリサービスとしての Active Directory
Active Directory環境の構築
1. ドメインコントローラー昇格（WindowsServer2019 DC昇格）
2. ドメインコントローラーの正常性確認

Active Directory について

Active Directory とは、「Windows 2000 Server」から利用されているドメイン管理を目的としたディレクトリサービスのことになります。この Active Directory を利用することで、企業は社内システムへのアクセスを管理することができるようになります。

また、ワークグループでは1台1台管理しなければならなかったアカウントであったり、コンピューターポリシーをかけたりというものも Active Directory 側でまとめて管理することができるようになります。

クラウドサービスとの連携認証

それ以外にも、社内で管理しているアカウント情報（ID）を利用して Microsoft Azure / Office 365 などのクラウドサービスや、BOX などのクラウドストレージ等へのアクセスへの認証を代わりに行うことも可能となります。
※こちらは Active Directory と別の機能の連携が必要になります。

ディレクトリサービスとしての Active Directory

ある程度の企業規模であれば、この Active Directory システムを導入していることがほとんどだと思いますが、Google であったりメルカリなどの企業では Active Directory を利用していないという話を聞いたことがあります。（あくまで聞いた話です。もしかしたら Azure Active Directory とかなのでしょうか。）

ちなみに wiki で調べたところ、ディレクトリサービスとしては他にもいくつかあるようです。

ディレクトリ・サービスには、オープンソースのOpenLDAP、サン・マイクロシステムズにより開発されたNIS、NetIQのNDS、アップルのmacOS Serverに標準搭載されているOpen Directory、マイクロソフトのWindows 2000以降のサーバ製品に標準搭載されているActive Directoryなどがある。
wikipedia ディレクトリ・サービスより引用

なので、すべての企業で利用されているというものではありませんが、僕自身 Active Directory を利用していない企業をみたことがないので、それくらいディレクトリサービスとして採用されているシステムなのではないかと思っています。

Active Directory環境の構築

それでは、Active Directory 環境を構築していきます。現在サポートされている Windows Server のバージョンであれば、Active Directory を利用することができます。

Active Directory ドメインを構築する前に検討が必要な要素として、フォレストドメイン構成というものがあります。Active Directory の管理する範囲としてフォレストという一番大きな単位があり、その中に一つ以上のドメインで構成されます。

フォレストの中に複数のドメインを構成したり、ドメインの配下にドメインを配置して親子関係を組むような構成もありますが、とても複雑なものになってしまうため、シンプルなシングルフォレスト/シングルドメインの構成が推奨とされています。

ここでは、シングルフォレスト/シングルドメインの構成で進めていきます。

ドメインコントローラー昇格（WindowsServer2019 DC昇格）

ここからは Windows Server 2019 の画面イメージを参考に進めていきますが、基本的な手順は過去のバージョンであっても変わりはありません。

ドメインコントローラー昇格前の前提条件として、以下の事前準備が必要となります。

IP およびコンピューター名の設定
「Active Directory ドメインサービス」の役割の追加

IP およびコンピューター名については、ドメインコントローラーへの昇格を行った後も変更を行うことは可能ですが、影響範囲が大きいので行わないようにしましょう。

1．「役割と機能の追加ウィザード」のインストールの進行状況で Active Directory ドメインサービス（AD DS）の役割を追加が完了した段階で、「このサーバーをドメインコントローラーに昇格する」のリンクが表示されますのでこちらをクリックします。

※AD DS の役割の追加後に「役割と機能の追加ウィザード」を閉じている場合は、再度サーバーマネージャーを起動すると、ダッシュボードの上部に「！」のマークが付いたアイコンが表示されます。こちらをクリックして表示された画面より「このサーバーをドメインコントローラーに昇格する」のリンクをクリックします。

※こちらは Windows Server 2012 の環境での参考イメージです。

2．配置構成にて、追加するドメインコントローラーの配置先と構築するドメイン環境のドメイン名を指定します。

シングルフォレスト/シングルドメインを構成する場合は、「新しいフォレストを追加する」を指定します。
ルートドメイン名とは、今回構築する環境のドメイン名を指定します。閉塞環境の場合であれば、任意の名前をつけることができますが、クラウド連携などの予定があれば外部ドメインとの命名規則の兼ね合いなども考慮が必要です。

それぞれ指定ができたら次へをクリックします。

※また、今回はシングルドメイン構成ですが、この先同一フォレスト内に親子関係のドメインが追加されていくような場合は、ここで決めたドメイン名が元になりますので注意しましょう。

3．ドメインコントローラーオプションにて、フォレストドメインの機能レベルを指定します。フォレストの最初のドメインコントローラーになる場合は、現在利用している Windows Server の OS のバージョンと同じものが選択されます。(機能レベルを下げて構成することもできます。)

機能レベルの詳細については、以下の記事を参考にしていただければと思います。

ここではドメインコントローラーの機能として、DNS サーバー / グローバルカタログ / 読み取り専用ドメインコントローラーの指定が可能ですが、フォレストの一台目のドメインコントローラーの場合は、読み取り専用ドメインコントローラー以外は有効として構成されます。

ディレクトリサービス復元モードのパスワードとは、Active Directory データベースの復元を行う際に利用されるパスワードとなります。ドメインコントローラー昇格を行うとローカルアカウントがすべて無効状態となりますので、セーフモードで起動する場合に必要となります。

4．DNS オプションでは、DNS 委任オプションの指定の設定がありますが、上位の DNS サーバーが存在していて、委任の設定がされていなければ必要ありません。

参考までに、詳細表示のリンクをクリックすると、以下のようなメッセージが表示されます。

5．追加オプションでは、NetBIOS ドメイン名を指定します。ルートドメインに指定したドメイン名から自動で入力されますので、変更の必要がなければそのまま「次へ」をクリックします。

6．パスにて、Active Directory のデータベース、ログファイルと SYSVOL 領域の保存先を指定します。特に要件がなければ既定のまま進めます。

7．オプションの確認では、ここまでで指定した設定の確認画面が表示されますので、内容に間違いがないことを確認した上で次へ進みます。

ちなみに、スクリプトの表示をクリックすると、これまで指定した設定を元にした DC 昇格用の PowerShell スクリプトをエクスポートすることができます。

#
# AD DS 配置用の Windows PowerShell スクリプト 
#
Import-Module ADDSDeploymentInstall-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2016" `
-DomainName "contoso.com" `
-DomainNetbiosName "CONTOSO" `
-ForestMode "Win2016" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true

8．前提条件のチェックでは、Active Directory ドメインサービスのインストール前の確認が行われます。すべての前提条件のチェックに合格していることを確認し、インストールを実行します。

9．一台目のドメインコントローラであれば、5 分程度でインストールが完了します。

10．インストールが完了すると “このサーバーはドメインコントローラーとして正常に構成されました” のメッセージが表示され、自動で再起動が行われます。

以上でドメインコントローラーの昇格は完了です。
再起動後は Administrator のアカウントとパスワードでログインを行います。

ドメインコントローラーの正常性確認

ドメインコントローラーの昇格が完了した後は、インストール後の確認として Active Directory の正常性をドメインコントローラー診断ツールというものを使って確認します。ドメインコントローラー診断については、以下の記事を参考にしていただければと思います。

また、合わせてイベントビューアーにて Active Directory 関連のエラーや警告などが記録されていないかを確認します。

これで Active Directory ドメインコントローラーの昇格が完了となります。
実際に利用していくにあたっては、ユーザーや OU 構成、グループポリシーなど様々な設計が必要となります。