検索
連載

WindowsのActive Directoryドメインを構築する(基本編) ― 実験用のADドメイン・ネットワーク環境を手軽に構築する ―Tech TIPS

Active Directory(AD)のテストのために、AD環境を試験的に構築したいことがある。通常は事前の入念な導入計画が必要だが、閉じた構成にすれば、ADは簡単に構築できる。ただし既存のネットワーク環境に悪影響を与えないように、同時にDNSサーバもローカルにインストールした方がよい。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Tech TIPS
Windows Server Insider


「Tech TIPS」のインデックス

連載目次

対象OS:Windows 2000 Server/Windows Server 2003



解説

 Active Directoryドメイン環境を導入/構築する場合、通常は事前に入念な導入計画を立て、実際のインストール作業に取り掛かる。Active Directoryは一度導入すると、簡単に作り直したり、再構築したりすることは困難なため(例えばドメイン名やその階層構造の変更など)、慎重な作業が求められるのは当然である(関連記事参照)。

 だがActive Directoryの機能を調査したり、Active Directoryが必要なサーバ・システム(Exchange Server 2007など)をテストしたりするといった、一時的/試験的な用途でActive Directory環境を構築するだけなら、もっと手軽に構築して利用できる。特に、閉じたローカルなネットワーク環境や(Virtual Server 2005などで作成した仮想PC環境も含む)、NATなどで分離されたネットワーク環境でActive Directoryを構築するだけならば、既存のネットワーク環境にほとんど影響を与えることなく利用できるので、ぜひ活用していただきたい。本TIPSでは、簡単なActive Directoryの導入方法について解説する。1台のWindows Server 2003をActive Directoryのドメイン・コントローラとしてセットアップする、最低限の基本手順についてまとめておく。

操作方法

●導入するActive Directoryの設計

 テスト用途なら導入が簡単だとはいえ、あらかじめ決めておかなければならない最低限の項目としては、次のようなものがある。もし同時に複数のActive Directory環境を起動する可能性があるなら(例えばActive DirectoryのテストとExchange Serverのテストを同時に行うなど)、「コンピュータ名」「IPアドレス」はそれぞれユニークなものを用意すること(可能なら「ワークグループ名」も)。もし名前やIPアドレスが衝突すると、ネットワーク・インターフェイスが無効になり、Active Directoryが利用できなくなる。

項目 内容 設定例
コンピュータ名 Active Directoryのドメインコントローラ名。同時に複数のActive Directoryテスト環境を構築した場合に衝突しないようにするため、末尾に「1」「2」「3」……などいった番号を付加して区別するとよい adserver1
DNSドメイン名 example.jpやexample.comなど、自由に使ってよいドメイン名を使用すること(独立したDNSサーバを使うなら、これはほかのActive Directoryドメインと重複していてもよい) example.jp
ドメイン名 ドメイン名(ワークグループ名)もコンピュータ名と同様、「EXMPALE2」「EXAMPLE3」……のように、ユニークにしておくのが望ましい。さもないと、別のActive Directoryドメインのコンピュータが同一グループに列挙され、わずらわしくなる EXAMPLE1
IPアドレス できる限り固定的なIPアドレスを割り当てること。Virtual PCの仮想環境などの場合はDHCPによる自動取得も利用可能だが、ほかのクライアントがサーバを参照する場合には注意すること 「DHCPによる自動取得」もしくは「192.168.0.41」
サブネット・マスク 「IPアドレス」を手動で設定した場合は、これも適切な値に設定しておくこと 255.255.255.0
デフォルト・ゲートウェイ 「IPアドレス」を手動で設定した場合は、これも適切な値に設定しておくこと 192.168.0.1
DNSサーバ・アドレス これは自動取得してはいけない。必ず上記の「IPアドレス」と同じものか、「127.0.0.1」を手動で設定すること(これによりDHCPの設定を上書きできる) 「127.0.0.1」もしくはIPアドレスと同じもの「192.168.0.41」
Active Directoryを導入する前に決めておくべき項目
Active Directoryを導入する場合、最低でも、これらについては決めておかなければならない。Active Directoryの実験用イメージやマシンを複数用意しておく場合、これらの項目が衝突しないように決め、それぞれのイメージに割り当てておくこと。以下の例では、この「設定例」に基づいて手順を解説する。

 なおActive Directoryを利用する場合、IPアドレスは静的に割り当てることが望ましいが(さもないとActive Directoryのクライアントからドメイン・コントローラを指定する際に、トラブルになる可能性がある)、DHCPでも利用できないことはない。例えばVirtual PCの「共有ネットワーク(NAT)」環境などではDHCP以外ではネットワークが利用できない(DHCPで割り当てられたIPアドレス以外では外部へアクセスできないが、割り当てられるアドレスを事前に知ることはできないから)。DHCPしか利用できない場合は、IPアドレスとデフォルト・ゲートウェイ、サブネット・マスクの欄を自動取得にし、DNSサーバ・アドレスの欄には「127.0.0.1(ローカル・ループバック・アドレス)」を手動で設定しておく(TIPS「ローカル・ループバック・アドレス(127.0.0.1)とは?」参照)。これによりDNSサーバの値が上書きされ、ドメイン・コントローラ上で動作しているDNSサーバを指すことになる。

●Active DirectoryをインストールするサーバOSの準備

 本TIPSではWindows Server 2003を使って作業を進める(Windows 2000 Serverでも違いはない)。Windows Server 2003のインストール後(Service Packやセキュリティ修正プログラムの適用は、Active Directory導入後でよい)、(1)名前の設定、(2)IPアドレスの設定、(3)Active Directoryの導入、という手順で作業を進める。なおActive Directoryの導入後はもうコンピュータ名やドメイン名などの変更は行えないので、複数の試験用Active Directoryを導入する予定があるなら、Windows Server 2003のインストール直後のディスク・イメージを(市販のディスク・クローニング・ツールなどで)保存しておくと(仮想PCの場合は、仮想ディスク・イメージをコピーする)、後のActive Directory導入作業が楽になる。しかしActive Directory導入のたびにWindows Server 2003のインストールから始めるつもりなら、(1)と(2)はインストール作業中に行えばよい。

 ところでActive Directoryを利用する場合はDNSサーバも必要になるが、外部の(実際に今現在利用している)DNSサーバを使うと、実験用のActive Directoryゾーン情報が作成されてしまうため、それは避けるべきである(DNSサーバによってはActive Directory用のゾーン情報を作成できないものがある)。本TIPSでは、Active Directoryと同時にDNSサーバもインストールし、それを利用する方法を紹介する。といってもActive Directoryのウィザードで自動的にインストールされるため、あらかじめインストールしておく必要はない。

●1.名前の変更

 Windows Server 2003をインストールしたら(もしくはディスク・イメージを展開したら)、最初にコンピュータ名/ワークグループ名/DNSサフィックスなどを設定する(インストール中に入力した場合は、この手順はスキップできる)。

 まず[スタート]メニューの[マイ コンピュータ]を右クリックし、ポップアップ・メニューから[プロパティ]を選択して[システムのプロパティ]ダイアログを表示させる。そして[コンピュータ名]タブにある[変更]ボタンをクリックして、「コンピュータ名」と「ワークグループ名」を設定する。さらに[詳細]ボタンをクリックして「プライマリ DNS サフィックス」を「example.jp」などに設定する。

コンピュータ名の設定
コンピュータ名の設定
Active Directoryのサーバ名とドメイン名(ワークグループ名)を定義する。ネットワーク上でユニークであること。
  (1)サーバ名。Active Directoryのドメイン・コントローラであることがわかるような名前にしておくとよい。構築するActive Directoryのドメインごとに、ユニークになるようにしておくと、同時に複数のActive Directoryドメインが稼働していても識別しやすくなる。
  (2)ドメイン・コントローラのFQDN名。DNSのドメイン名部分は、右の(4)のボタンで設定する。
  (3)ワークグループ名(もしくはドメイン名)。NetBIOSでの識別名として使われる。同一ワークグループ名(ドメイン名)に属するコンピュータは、まとめて表示される。
  (4)DNSのドメイン名(DNSサフィックス)を設定するにはこれをクリックする。すると次のダイアログが表示される。

DNSサフィックスの設定
DNSサフィックスの設定
DNSのドメイン名部分を設定する。後でActive Directoryのウィザードでも設定できる。
  (1)これがDNSのサフィックス(ドメイン名なしの名前を、DNSで検索するに自動的に補われる文字列)として扱われる。

 設定終了後、[OK]ボタンをクリックすると[変更を有効にするには、コンピュータを再起動してください。]と表示されるが、再起動せずに、次にIPアドレスなどの設定を行う。

●2.IPアドレスの設定

 次はIPアドレス関連の設定を行う(これもインストール時に行っておけば、不要である)。[スタート]メニューの[コントロール パネル]−[ネットワーク接続]−[ローカル エリア接続]をクリックしてネットワーク・インターフェイスのプロパティ・ダイアログを表示させ、[プロパティ]ボタンをクリックして、[ローカル エリア接続のプロパティ]ダイアログを開く。そして[インターネット プロトコル (TCP/IP)]項目を選択してから[プロパティ]ボタンをクリックして、IPアドレスなどの情報を入力する。DNSサーバをインストールしておく必要はないが、[優先DNSサーバ]が自分自身を指すようにしておくことを忘れないでいただきたい。

IPアドレス関連パラメータの設定
IPアドレス関連パラメータの設定
IPアドレスやサブネット・マス、ゲートウェイなど、TCP/IPレベルで通信をする場合に必要なパラメータをあらかじめ設定しておく。ドメイン・コントローラは、DHCPによる動的なIPアドレスでも稼働するが、アプリケーションによっては不具合を起こす可能性もあるので、なるべく静的なIPアドレスを割り当てて運用するのが望ましい。なお、特に大事なのはDNSサーバのアドレス。実験的なActive Directoryドメインを構築する場合は、ローカルのサーバ上にDNSサーバを導入し、そこだけを使うように、[優先DNSサーバ]の値を設定すること。
  (1)デフォルトではこちらのDHCPによる設定が有効になっているが、IPアドレスが変わる可能性があるので、あまり望ましくない。アプリケーションによっては、最初に接続したサーバのIPアドレスを保存していたりすることがあり、トラブルを引き起こす可能性がある。
  (2)可能な限り、こちらを選択して、静的なIPアドレスを割り当てること。インターネットに接続する場合は、既存のネットワーク上で未使用のIPアドレスを割り当て、サブネットマスクやゲートウェイにも適切な値をセットすること。ローカルだけで閉じて使用する場合は、通常のプライベートIPアドレスを割り当てればよい。
  (3)IPアドレスの指定。必ず未使用のものを、(社内ルールなどの)適切な手順を経て取得し、設定すること。
  (4)サブネット・マスク。
  (5)デフォルト・ゲートウェイ・アドレス。社内のルータのアドレスを適切に設定すること。
  (6)DHCPによってDNSサーバ・アドレスを取得してはいけない。そのDNSサーバに対して、Active Directoryのレコードを登録しようとしたり、動的な更新を要求したりする。必ずローカルのDNSサーバを指すように、以下の値で上書きすること。
  (7)これを選択すると、DHCPで値を取得した場合でも、上書き設定できる。
  (8)自分自身のIPアドレス。静的なIPアドレス((3))を使用している場合は、それをここに記述する。もしくは「127.0.0.1」というローカル・ループバック・アドレスを指定してもよい。どちらでも大差はないが、DNSサーバの設定によっては、挙動が異なることがある(DNSサーバでは、どのIPアドレスでリッスンするかで、挙動を変えることができる。ただしデフォルトでは違いはない)。
  (9)(既存のネットワークに対する名前解決などをするために)WINSも利用したければこれをクリックして、適切なWINSサーバを設定する(ただしActive DirectoryではWINSサーバは不要である)。WINSサーバはローカルにインストールしてもよいし、既存のリモートのWINSサーバを指してもよい(その場合は、このドメイン・コントローラの名前とIPアドレスがリモートのWINSサーバに登録されることになる。その意味と影響をよく考えて利用していただきたい)。

 IPアドレスを設定したら、一度再起動して、次に進む。

●3.Active Directoryウィザードによるインストールの実行

 次はActive Directoryのインストール・ウィザードを使ってインストール作業を始める。といってもほとんど何もする必要はなく、すべてデフォルトのままウィザードを進めていけばよい。

 ウィザードを起動するには、Administratorでログオン後に表示されている[サーバーの役割管理]ツールで(このツールは[スタート]メニューの[プログラム]−[管理ツール]−[サーバーの役割管理]でも起動できる)、[役割を追加または削除する]ボタンをクリックし、[サーバーの構成ウィザード]で[ドメイン コントローラActive Directory)]を選ぶ。

サーバーの構成ウィザード
サーバーの構成ウィザード
Active Directoryをインストールするには、ドメイン・コントローラ機能を選択して追加する。
  (1)この役割を追加する。
  (2)これをクリックして先へ進む。

 なおこの操作は、[ファイル名を指定して実行]やコマンド・プロンプト上で「dcpromo」コマンドを実行してもよい(Windows 2000 Serverの場合はこの方法でdcpromoを起動する)。

 以上の操作で[Active Directoryのインストール ウィザード]が起動するので、順に[次へ]ボタンをクリックしていけばよい。何も変更・指定する必要はないが、確認のために、以下にウィザードの画面を挙げておく。

Active Directoryインストール・ウィザードの開始
Active Directoryインストール・ウィザードの開始
ドメイン・コントローラの役割を追加するか、dcpromoコマンドを起動すると、Active Directoryをインストールするためのウィザードが起動する。移行の作業はすべてこのウィザードで行う。
  (1)これをクリックして先へ進む。

 最初に指定するのは、ドメイン・コントローラの種類である。テスト用のActive Directoryは通常は1ドメイン、1フォレスト構成なので、特に何も指定する必要がないはずである(フォレスト=ドメインのツリー)。

ドメイン・コントローラの新規追加
ドメイン・コントローラの新規追加
最初のドメイン・コントローラを選択する。
  (1)これを選択する。

新規ドメインの作成
新規ドメインの作成
最初にドメインやフォレストの構成を指定する。
  (1)1番最初にインストールするドメイン・コントローラは、新規フォレストの作成も担当する。

ドメイン名の指定
ドメイン名の指定
作成するドメイン名(DNSドメイン名、DNSサフィックス名として利用される)を指定する。ここでは例示用のドメイン名である「example.jp」を使用している(TIPS「例示/実験用として利用できるドメイン名」参照)。先頭にホスト名(つまりこのドメイン・コントローラのコンピュータ名)を付けてはいけない。ドメイン名の部分のみを指定する。
  (1)ここにDNSのドメイン名を指定する。ad1.example.jpのように、さらにサブドメインを指定してもよいだろう。ここで指定したドメイン名が、Active Directoryのルートのドメイン名となる。

NetBIOSドメイン名の指定
NetBIOSドメイン名の指定
これはドメイン名/ワークグループ名を指定するための画面である。例えばエクスプローラの[マイ ネットワーク]−[Microsoft Windows Network]の下に列挙されるドメイン名やワークグループ名として利用される(コマンド・プロンプトなら「net view /domain」コマンドで一覧できる)。NetBIOSの仕様の制限により、英数字で最大15文字(大文字小文字は区別されない)まで付けることができる。
  (1)ドメイン名。最後に「1」と付けているのは、サーバ名とペアにするためである。こうすることにより、構築したドメインごとにユニークなドメイン名/サーバ名になり、異なるドメインのサーバが1つのドメイン名の下に列挙されるのを防ぐことができる。なお本稿で紹介する方法ではDNSサーバがActive Directoryドメインごとに独立しているので、DNSドメイン名(先のexample.jp)は重複していても問題ない。

 この後、「データベースとログのフォルダ」と「共有システム・ボリューム」を指定する画面が表示されるが、いずれもデフォルトのまま(C:\WINDOWS\NTDSとC:\WINDOWS\SYSVOL)でよい。

 次にDNSサーバの診断が行われるが、まだDNSサーバはインストールしていないので「診断の失敗」と表示されるはずである。そこでデフォルトのまま[次へ]をクリックすると、自動的にDNSサーバがインストールされ、さらにActive Directory用の正引きゾーン(example.jp)が作成される。

DNSサーバの診断
DNSサーバの診断
ここではDNSサーバが利用できるかどうかがチェックされるが、まだインストールされていないので(TCP/IPの「優先DNSサーバー」欄で指定したDNSサーバと通信して、Active Directory向けのDNSサーバとして利用できるかどうかチェックされる)、このようにエラーとなるはずである。
  (1)DNSサーバの診断結果。DNSサーバが見つからなかったのでエラーとなっている。
  (2)エラーの場合はこれが選択される。このサーバに、DNSサーバ・サービスをインストールする場合はこれを選択する。

 次はアクセス権の設定が行われるが、特別な理由がない限り、デフォルトのままでよい。

アクセス許可の設定
アクセス許可の設定
ここではアクセス許可を設定するが、テスト用Active Directoryならデフォルトのままでよい。
  (1)このデフォルト設定を選んだまま、次へ進む。

 次はディレクトリ・サービスの復元モードを起動するためのパスワードを指定する。適当なパスワードを指定しておけばよい。

 以上でウィザードによる作業は終わりである。設定のまとめページで[次へ]ボタンをクリックすると実際にActive Directoryとその関連サービス、ツールなどがインストールされ、さらにDNSサーバもインストールされる。数分から十数分程度で作業は終了するはずである。なおDHCPによる動的IPを使っていると、DNSサービスのインストール作業の途中で、静的IPの使用を勧めるダイアログが表示されるが、そのダイアログは[OK]ボタンを押してクローズし、さらに次に表示される[ローカル エリア接続のプロパティ]画面や警告ダイアログもそのままクローズしておけばよい(DNSサービスのインストールそのものはスキップしないこと)。

ウィザードの終了
ウィザードの終了
[完了]ボタンをクリックすると実際のActive Directory関連サービスや管理ツールがインストールされ、さらにDNSサーバもインストールされる。

 [完了]ボタンをクリックすると、再起動するかどうかを問い合わせるダイアログが表示されるので、指示に従ってシステムを再起動する。再起動後は、ログオン・ダイアログが次のように変わり、ドメイン・コントローラになっていることが確認できるだろう。

ドメイン環境でのログオン・ダイアログ
ドメイン環境でのログオン・ダイアログ
Active Directoryドメイン環境では、ログオン先が新しく指定できるようになる。ただしドメイン・コントローラにはローカル・アカウントがないので、(ドメインのメンバ・コンピュータのように)、ログオン先として、ドメインとローカル・コンピュータを選ぶことはできない。
  (1)ログオン先のドメイン名。ドメイン・コントローラの場合はドメイン名しか表示されない。
  (2)デフォルトでは[ログオン先]は表示されていないが、これをクリックすると表示/非表示を切り替えることができる。

 ユーザー・アカウントは、ドメイン・コントローラが導入される前のものがそのまま有効になっている。管理者権限のあるユーザーでログオンすると、[サーバーの役割管理]ツールにActive Directoryの管理ツールやDNSサーバの管理ツールが追加されていることが確認できるだろう。Active Directory環境における基本的な作業やこれらの管理ツールの使い方については、「Active Directoryの導入後の作業(管理者のためのActive Directory入門)」などを参照していただきたい。

 なお、上記のインストール手順によってDNSサーバには正引きゾーン(DNS名からIPアドレスを求めるためのレコード)が定義されるが、逆引きゾーン(IPアドレスからDNS名を求めるためのレコード)は定義されない。必要ならばTIPS「DNSの逆引きゾーンを定義する(イントラネット編)」などを参考にして、逆引きゾーンも定義していただきたい。またインターネット上のFQDN名を解決する際には、DNSサーバのリゾルバ/キャッシュ機能が利用されるので、ルート・ヒント情報を削除してはいけない(TIPS「DNSサーバのキャッシュの内容を調査する」「DNSサービスのルート・ヒントを変更する」参照)。そのほか、社内のほかのドメインのサーバ名などを解決させたければ、例えばTIPS「DNSサーバでゾーンごとに異なるフォワーダを使う」の方法を使ってDNS要求をフォワードするか、必要なレコードを手動で定義するとよい。

追加されたActive Directory関連の管理ツール
追加されたActive Directory関連の管理ツール
以上の手順に従ってActive Directoryを導入すると、Active Directoryの管理ツール(3つ)とDNSサーバの管理ツールが追加される。
  (1)ユーザーやグループなどの管理ツール。一番よく使われるツール。
  (2)ドメインの信頼関係の管理ツール。
  (3)サイト(ドメインの物理的なグルーピング)の管理ツール。
  (4)DNSサーバの管理ツール。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

ページトップに戻る