AD (Active Directory) 構築手順

Windows Server 2019 で、AD (Active Directory) 構築手順です。今更感はありますが。

AD構築にあたっては複数台での冗長化が推奨されておりますので、当資料では2台での構成例です。
セットアップにあたっては重複する箇所がありますので、(重複ここから~)(~重複ここまで)という枠で記載していきたいと思います。

 

(重複ここから~)

ADはIPアドレスを固定にしておかなきゃいけないため、IPアドレスの設定から。
[Windowsキー]+[Rキー] 同時押下し、ファイル名を指定して実行欄に「ncpa.cpl」と入力し、ネットワーク設定を起動します。

ここでは、10.42.24.101でもしておきましょう。なお、セカンダリサーバは、10.42.24.102 を予定します。
なお、DNSについては、AD構築完了後、127.0.0.1 に変わったので、IPアドレスだけで良いと思います。

サーバーマネージャを起動し、[役割と機能の追加]をクリック

このまま[次へ]

このまま[次へ]

パソコン名を変更し忘れた(汗)
ま、いいや。[次へ]

サーバーの役割の選択画面、「Active Directory ドメインサービス」をクリックすると、必要な機能を追加しますか?というウインドウが表示されます。
[機能の追加]をクリック。

「Active Directroy ドメインサービス」にチェックが入りました。[次へ]

機能の選択は特にありません。そのまま[次へ]

[次へ]

自動的に再起動してもらった方が楽なので、チェックを入れると、「必要に応じて~自動的に再起動しますか?」という確認画面が出ます。
そうしたんだからさぁ~。[はい]をクリック。

[インストール]がクリックできるようになりました。[インストール]をクリック。

[閉じる]でもいいのですが、まぁ、すぐ終わりますので、待機。

インストールが正常に完了しました。[閉じる]をクリック。

右上の旗マークにビックマークが!
「このサーバーをドメインコントローラーに昇格する」をクリック。いよいよドメインコントローラーです。

(~重複はここまで)

新しく作るため、「新しいフォレストを追加する」にチェックを入れて、ドメイン名を入力します。
ここで、冗長化のための2次サーバー(セカンダリサーバ、AD 2号機)の場合には、「既存のドメインにドメコンを追加する」を選ぶんです。
今回は、新規なので、「新しいフォレストを追加する」を選び、ちょうど、東京五輪なので、ルートドメイン名は、「 tokyo2020.net 」にしましょう。
これは、何でも良いです。ローカルで使うので、自由にできます。hogehoge.jp とかでも良いし。[次へ]をクリック。

ドメインのパスワードを入力します。
tokyo2020.net¥administrator もしくは administrator@tokyo2020.net のパスワードになります。
フォレストの機能レベルや、ドメインの機能レベルですが、OSがWindows Server 2019になったとは言え、Windows Server 2016 が上位でした。

このまま[次へ]

NetBIOSは、デフォルトのままで良いと思います。[次へ]

パスは、デフォルトのままで良いでしょう。[次へ]

インストール前の確認です。問題なければ、[次へ]

参考までに、スクリプトの表示をクリックしたら、こうでした。

前提条件のチェック画面。問題なければ、[インストール]をクリック。

待機。

勝手に再起動されます。

再起動後の、「コンピューターの設定を適用しています」画面が、相当に時間かかりました。環境にもよるんでしょうが。

0:11頃に再起動が始まったので、実に10分。環境にもよるんでしょうが。
Nutanix AHVの仮想マシンの場合のログインは、右上の四角3つです。

ドメイン名になっていますね。ログインします。

ドメインコントローラーを確認。問題ないようですね。

うん、問題なし。
これで1台目のADが完成しました。

ADは最低2台なので、2号機を作っていきましょう!
といいながら、同じ内容なので、(重複ここから~)~(~重複ここまで)の作業を行ってください。

じゃ~~~んぷ!
AD 1号機では、「新しいフォレストを追加する」を選びました。
AD 2号機では、先ほど作ったドメインを指定します。
[変更]から資格情報を指定します。

tokyo2020.net¥administrator (全部半角文字)がユーザー名、パスワードを入力し、[OK]をクリック。

ドメインが入りました。
参考までに、[選択]をクリックして、ドメイン名が入っているか確認しましょう。

入っていますね。[OK]で閉じます。

[次へ]をクリック

ドメインコントローラーオプション画面。これは後で設定できるので、3つともチェックが外れた状態で、パスワードを入力し、[次へ]

レプリケート元は、AD1号機のPCを選びます。
ここで使うのか。AD設定前にパソコン名は変えるべきだね。問題なければ、[次へ]

あとはAD1号機と同じ。パスは、このままデフォルトで良いと思います。[次へ]

[次へ]

せっかくなので、このスクリプトも見ておきましょう。なるほど。

[インストール]をクリック

待機。

自動的に再起動されます。

まぁまぁ時間かかります。しぶとく待機。

右上の四角アイコンでログイン画面に移動。

ドメインユーザーになってますね。ログイン。

ADを冗長化しているので、ドメインコントローラが2台になりました。
ドメインコントローラー名も問題ないですね。

 

お疲れ様~。

ちなみに、AD1号機の設定を変えたら、AD2号機もすぐに変更ができるように、バッチを作ると便利かもしれない。
この場合には、バッチを作った方が良いですね。

@echo off

repadmin /syncall win-o67h4iekgk3 /A /d /e /q
rem  repadmin /syncall [AD2号機] /A /d /e /q

C:\Users\administrator>repadmin /recall /?
使用法: repadmin <コマンド> <引数> [/u:{ドメイン\ユーザー}]
[/pw:{パスワード|*}][/retry[:<再試行回数>]
[:<遅延>]][/csv]

次のコマンドは、ヘルプを表示するために使用します。

/? repadmin で使用できるコマンドの一覧とその説明を表示します。
/help /? に同じ
/?:<コマンド> <コマンド> に指定したコマンドに使用できる引数の一覧、構文、および例を表示します。
/help:<コマンド> /?:<コマンド> に同じ
/experthelp 知識のあるユーザー専用のコマンドの一覧を表示します。
/listhelp DSA_NAME、DSA_LIST、NCNAME、および OBJ_LIST の文字列に使用できる構文のバリエーションを表示します。
/oldhelp 現在まだ使用できるが、Microsoft のサポート対象とならない、推奨されないコマンドの一覧を表示します。

指定できるコマンド (詳細なヘルプを表示するには /?<コマンド> を使用):
/kcc ターゲット ドメイン コントローラーに KCC を強制し、入力方向のレプリケーション トポロジが即時に再計算されるようにします。

/prp 管理者はこのコマンドを使用して RODC のパスワード レプリケーションポリシーを表示または変更できます。

/queue DC がソース レプリケーション パートナーと同期するために発行する必要がある入力方向のレプリケーション要求を表示します。

/replicate ソース ドメイン コントローラーから宛先 DC へ、指定したディレクトリ パーティションの即時レプリケーションをトリガーします。

/replsingleobj 共通のディレクトリ パーティションがある 2 つのドメインコントローラー間で単一のオブジェクトをレプリケートします。

/replsummary replsummary を実行することで、レプリケーションの状態と関連するフォレストの状態を簡単および簡潔に要約できます。

/rodcpwdrepl ソース (ハブ DC) から 1 つ以上の読み取り専用 DC に対し、指定したユーザーのパスワードのレプリケーションをトリガーします。

/showattr オブジェクトの属性を表示します。

/showobjmeta Active Directory 内に保存されている指定したオブジェクトのレプリケーション メタデータを表示します。対象となるのは属性 ID、
バージョン番号、発信元またはローカルの更新シーケンス番号(USN)、発信元サーバーの GUID、および日付とタイムスタンプです。

/showrepl 指定したドメイン コントローラーが Active Directory パーティション
の入力方向へのレプリケーションを最後に試行したときのレプリケーション状態を表示します。

/showutdvec Active Directory のターゲット DC のコピーによって、それ自体
または推移性パートナーに対してコミット済みと表示される、コミット済み更新シーケンス番号 (USN) のうち最大の番号を表示します。

/syncall 指定したドメイン コントローラーをすべてのレプリケーションパートナーと同期します。

サポートされている追加のパラメーター:

/u: Active Directory で操作を実行するアクセス許可があるドメインとユーザー名を円記号で区切って指定します
{ドメイン\ユーザー}。UPN ログオンはサポートされません。

/pw: /u パラメーターに入力したユーザー名のパスワードを指定します。

/retry このパラメーターを指定すると、最初の試行が次のいずれかのエラーで
失敗した場合、 repadmin が繰り返し実行され、ターゲット DC へのバインドが試行されます。

1722 / 0x6ba : “RPC サーバーを利用できません。”1753 / 0x6d9 : “エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません。”

/csv /showrepl と一緒に使用し、結果の値をコンマ区切り形式で出力します。/csvhelp を参照してください。

注意: コマンドの多くは “宛先またはターゲットの DSA_LIST”、
“ソース DSA_NAME” (必要な場合)、そして NC またはオブジェクト DN(必要な場合) の順にパラメーターを取得します。

<DSA_NAME> (または <DSA_LIST>) はディレクトリ サービス エージェントのバインド文字列です。これは、Active Directory ドメイン サービスではドメイ
ン コントローラーのネットワーク ラベル (DNS、NetBios、または IP アドレス)です。Active Directory ライトウェイト ディレクトリ サービスでは、AD LDS
サーバーのネットワーク ラベルの後に、コロンと AD LDS インスタンスのLDAP ポートを付加します。
例 (AD DS): dc-01
dc-01.microsoft.com
例 (AD LDS): ad-am-01:2000
ad-am-01.microsoft.com:2000

<名前付けコンテキスト> は NC のルートの識別名です。
例: DC=My-Domain,DC=Microsoft,DC=Com
注意: 各国の文字または Unicode 文字のテキスト (名前付けコンテキストやサーバー名など) は、正しいフォントと言語サポートが読み込まれている場合に
のみ正しく表示されます。

 

Author: 管理者

1 thought on “AD (Active Directory) 構築手順

Comments are closed.