連載
» 2006年07月28日 00時00分 公開

改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版):第7回 Active Directoryの導入 (2/2)

[伊藤将人,著]
前のページへ 1|2       

SYSVOL共有ボリュームの場所の指定

 次は、DC間で共有されるファイルを格納するSYSVOL共有フォルダの場所を指定する。システムがインストールされているフォルダ(%SystemRoot%)の中に「SYSVOL」というフォルダが作成され、利用される。特別な理由がなければ、混乱を避ける意味でも変更する必要はないだろう。ここで指定した共有フォルダは、FRS(File Replication Service:ファイル複製サービス)によって、ドメイン内のほかのDCが保持するシステム共有フォルダ(ほかのDCのSYSVOL共有フォルダ)と双方向の複製が自動的に行われる。

 この共有フォルダには、グループ・ポリシー・ファイルなどが配置され、ほかのDCにも複製されるようになっている。またNTドメインで共有フォルダとして利用されていたNETLOGON共有(ログオン時のスクリプトなどが置かれているフォルダ)もこのSYSVOLフォルダ内で共有されるため、下位互換のログオン・スクリプトやシステム・ポリシー・ファイルも自動的にほかのDCに複製される。Windows NTのBDC(Backup Domain Controller)には複製されないので、混在モードの場合には別途BDCに複製される仕組みを実装しなければならない。

共有ボリュームの指定
SYSVOL共有ボリュームには、ドメインのグループ・ポリシー・ファイルやログオン・スクリプトなどが置かれる。このフォルダは、ドメイン・コントローラ間でFRS(ファイル複製サービス)を使って、複製/共有されている。
 (1)フォルダの場所。デフォルトのまま利用するのがよいだろう。

DNSの診断とインストール

 次にウィザードは、入力したドメイン名のゾーンが存在し、Active Directoryをサポートしているかを診断する。入力したドメイン名のゾーンが参照先のDNSサーバに存在しない場合や、Active Directoryをサポートしていない場合には、再度診断テストを実行するか、インストール中のDCにDNSサービスをインストールしてゾーンを作成するか、後でDNSを構成するかを選択できる。Windows 2000時代は、ドメイン構築時にDNS関連のトラブルが多かったため、それを減らすためにこのような機能が追加された。

DNS登録の診断
Active Directoryの導入中に、DNSサーバと正しく通信できるか、未インストールならこのウィザードでインストールするか、などを選択できる。
 (1)DNSが構成済みの場合には、既存のDNSサーバがActive Directory用の構成になっているかを確認し、これを選択する。
 (2)インストール中のDCにDNSサービスをインストールして、ゾーンを作成するには、これを選択する。
 (3)DCのインストールをそのまま続行し、後でDNS環境を構築する場合にはこれを選択する。

互換性のためのアクセス許可の設定

 次はユーザーやグループ・オブジェクトに対するアクセス権の設定(互換性のために、Windows NT向けにActive Directoryセキュリティを緩和するかどうか)を設定する。

 ドメインのメンバにWindows NTシステムが存在し、そのサーバでドメインの認証機能を利用する場合には、「Windows 2000以前のサーバOSと互換性があるアクセス許可」を選択する。例えばWindows NTのRASサーバなどで、Active Directoryに登録されているドメイン・ユーザーを認証するような場合には、この設定が必要である。ここで「Windows 2000 以前のサーバー OS と互換性があるアクセス許可」を選択すると、ビルトイン・ローカルグループの「Pre-Windows 2000 Compatible Access」グループに「Everyone」グループと「Anonymous Logon」グループが追加される(Windows Server 2003の場合)。

アクセス許可の設定
Windows NTのRASサービスが、Active Directoryオブジェクトにアクセスできるように(Kerberos認証ではなく、Windows NTが使用しているNTLMセキュリティでもアクセスできるように)、Active Directoryセキュリティを緩和するかどうかを決める。詳細はWindows 2000 Server付属の[ヘルプ]にある[ネットワーク]−[ルーティングとリモート アクセス]−[概念]−[リモート アクセスを使う]−[リモート アクセスを導入する]−[Windows 2000の認証]−[Windows 2000 ドメインの Windows NT 4.0 リモート アクセス サーバー]の項などを参照のこと。Windows Server 2003の場合は、[ヘルプとサポート・センター]で[ヘルプの目次]から[ネットワーク サービス]−[リモート接続を管理する]−[ルーティングとリモート アクセス]−[概念]−[リモート アクセスを使用する]−[リモート アクセスを展開する]−[認証]の下や、[Active Directory]−[概念]−[Active Directoryを展開する]−[[Active Directory のインストール ウィザード] を使用する]などを参照のこと。

復元モード用のAdministratorパスワードの設定

 インストール後にディレクトリ・サービスが破損してしまったような場合、DCとなっているコンピュータを「ディレクトリ サービス復元モード」で起動する。その際ログオンするAdministrator用のパスワードを設定するのがこの画面である。「ディレクトリ サービス復元モード」では、Active Directoryサービスを停止させた状態でシステムを起動するため、ここで指定するAdministratorはActive DirectoryのAdministratorとは別のユーザー・アカウントとなる。指定したパスワードは忘れないように十分な注意が必要である。ここで設定するパスワードを後で変更したい場合には、DCを「ディレクトリ サービス復元モード」で起動して[コンピュータの管理]コンソールから、Administratorアカウントのパスワードを変更するか、NTDSUtilコマンドのSet DSRM Passwordを使って変更できる。

ディレクトリ・サービス復元モードのAdministratorのパスワード設定
「ディレクトリ サービス復元モード」でシステムを起動する場合に使用するパスワードの指定。ディレクトリ・サービスのデータが破損してしまったような場合には、システムをこのモードで起動して、重要なシステム・データを復元することができる。
 (1)復元モード用パスワードの入力。

設定内容の確認とインストールの開始

 以上でユーザーが設定する項目はすべて終わりである。ウィザードの最後でこれまでに設定したパラメータがまとめて表示されるので、誤りがないかを確認する。ここで誤りを見つけた場合には、「戻る」ボタンをクリックし、設定画面まで戻り再設定を行う。「次へ」ボタンをクリックすると、実際にActive Directoryの構築作業が開始される。

概要の確認
最後にいままでの設定内容がすべて表示されるので、内容を確認後、先へ進む。
 (1)ウィザードによる設定内容の概要。

 ウィザード画面で[次へ]をクリックすると実際のActive Directoryの構成作業が開始される。追加のDCとしてインストールした場合には、最初のDCからのオブジェクトの複製が行われるため、数分〜十数分(場合によってはさらに長く)の時間がかかることになる。追加のDCが最初のDCと拠点が別の場合には、dcpromo実行時に「/adv」オプションを指定することもできる。こうすると、システム状態データのバックアップから別の場所に復元したデータベースを基にして、オブジェクトの複製ができる。このオプションは復元したデータベースからオブジェクトを複製した後で、ほかのDCと通信を行い最新のデータに更新する。つまりほかのDCとオフライン状態でセットアップするためのオプションではない。

Active Directoryの構成開始
最初の1台ならばそう長くはかからないが、2台目以降のDCの場合は、ほかのDCからオブジェクトを複製するために、より長い時間がかかる。追加のDCが1台目のDCと拠点が別の場合には、「dcpromo /adv」コマンドを使ってシステム状態データのバックアップからデータベースを復元し、オブジェクトを複製することができる。

 Active Directoryのインストールが完了すると、次のようなダイアログが表示される。途中でエラーが発生した場合には、エラー・メッセージが表示されるので原因を調べ、対処する。エラーがない場合には、システムを再起動すると、Active Directoryサービスがすでに動作しているはずである。

Active Directoryのインストールの完了
以上でActive Directoryのインストールはすべて完了である。[完了]をクリックしてシステムを再起動すると、Active Directoryが稼働しているはずである。また、デフォルトのサイトとして「Default-First-Site-Name」が作成されている。

 以上で、Active Directoryのインストール作業は一通り終了である。だが、この後にActive Directoryオブジェクトの追加作業をしなければ、せっかくインストールしたActive Directoryの能力を十分に発揮させることはできない。ユーザー・アカウントやグループ・アカウントを作成する必要があるし、拠点が複数ある場合などは、さらにサイトを構成する必要もある。また、これらのオブジェクトを管理するために組織単位(OU)構造の設計も必要になるだろう。導入後のOUの構成上の注意事項などについては次回に解説する予定である。


「運用 改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版) 」のインデックス

改訂 管理者のためのActive Directory入門(Windows Server 2003対応改訂版)

前のページへ 1|2       

Copyright© Digital Advantage Corp. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。