次は、DC間で共有されるファイルを格納するSYSVOL共有フォルダの場所を指定する。システムがインストールされているフォルダ(%SystemRoot%)の中に「SYSVOL」というフォルダが作成され、利用される。特別な理由がなければ、混乱を避ける意味でも変更する必要はないだろう。ここで指定した共有フォルダは、FRS(File Replication Service:ファイル複製サービス)によって、ドメイン内のほかのDCが保持するシステム共有フォルダ(ほかのDCのSYSVOL共有フォルダ)と双方向の複製が自動的に行われる。
この共有フォルダには、グループ・ポリシー・ファイルなどが配置され、ほかのDCにも複製されるようになっている。またNTドメインで共有フォルダとして利用されていたNETLOGON共有(ログオン時のスクリプトなどが置かれているフォルダ)もこのSYSVOLフォルダ内で共有されるため、下位互換のログオン・スクリプトやシステム・ポリシー・ファイルも自動的にほかのDCに複製される。Windows NTのBDC(Backup Domain Controller)には複製されないので、混在モードの場合には別途BDCに複製される仕組みを実装しなければならない。
次にウィザードは、入力したドメイン名のゾーンが存在し、Active Directoryをサポートしているかを診断する。入力したドメイン名のゾーンが参照先のDNSサーバに存在しない場合や、Active Directoryをサポートしていない場合には、再度診断テストを実行するか、インストール中のDCにDNSサービスをインストールしてゾーンを作成するか、後でDNSを構成するかを選択できる。Windows 2000時代は、ドメイン構築時にDNS関連のトラブルが多かったため、それを減らすためにこのような機能が追加された。
次はユーザーやグループ・オブジェクトに対するアクセス権の設定(互換性のために、Windows NT向けにActive Directoryセキュリティを緩和するかどうか)を設定する。
ドメインのメンバにWindows NTシステムが存在し、そのサーバでドメインの認証機能を利用する場合には、「Windows 2000以前のサーバOSと互換性があるアクセス許可」を選択する。例えばWindows NTのRASサーバなどで、Active Directoryに登録されているドメイン・ユーザーを認証するような場合には、この設定が必要である。ここで「Windows 2000 以前のサーバー OS と互換性があるアクセス許可」を選択すると、ビルトイン・ローカルグループの「Pre-Windows 2000 Compatible Access」グループに「Everyone」グループと「Anonymous Logon」グループが追加される(Windows Server 2003の場合)。
インストール後にディレクトリ・サービスが破損してしまったような場合、DCとなっているコンピュータを「ディレクトリ サービス復元モード」で起動する。その際ログオンするAdministrator用のパスワードを設定するのがこの画面である。「ディレクトリ サービス復元モード」では、Active Directoryサービスを停止させた状態でシステムを起動するため、ここで指定するAdministratorはActive DirectoryのAdministratorとは別のユーザー・アカウントとなる。指定したパスワードは忘れないように十分な注意が必要である。ここで設定するパスワードを後で変更したい場合には、DCを「ディレクトリ サービス復元モード」で起動して[コンピュータの管理]コンソールから、Administratorアカウントのパスワードを変更するか、NTDSUtilコマンドのSet DSRM Passwordを使って変更できる。
以上でユーザーが設定する項目はすべて終わりである。ウィザードの最後でこれまでに設定したパラメータがまとめて表示されるので、誤りがないかを確認する。ここで誤りを見つけた場合には、「戻る」ボタンをクリックし、設定画面まで戻り再設定を行う。「次へ」ボタンをクリックすると、実際にActive Directoryの構築作業が開始される。
ウィザード画面で[次へ]をクリックすると実際のActive Directoryの構成作業が開始される。追加のDCとしてインストールした場合には、最初のDCからのオブジェクトの複製が行われるため、数分〜十数分(場合によってはさらに長く)の時間がかかることになる。追加のDCが最初のDCと拠点が別の場合には、dcpromo実行時に「/adv」オプションを指定することもできる。こうすると、システム状態データのバックアップから別の場所に復元したデータベースを基にして、オブジェクトの複製ができる。このオプションは復元したデータベースからオブジェクトを複製した後で、ほかのDCと通信を行い最新のデータに更新する。つまりほかのDCとオフライン状態でセットアップするためのオプションではない。
Active Directoryのインストールが完了すると、次のようなダイアログが表示される。途中でエラーが発生した場合には、エラー・メッセージが表示されるので原因を調べ、対処する。エラーがない場合には、システムを再起動すると、Active Directoryサービスがすでに動作しているはずである。
以上で、Active Directoryのインストール作業は一通り終了である。だが、この後にActive Directoryオブジェクトの追加作業をしなければ、せっかくインストールしたActive Directoryの能力を十分に発揮させることはできない。ユーザー・アカウントやグループ・アカウントを作成する必要があるし、拠点が複数ある場合などは、さらにサイトを構成する必要もある。また、これらのオブジェクトを管理するために組織単位(OU)構造の設計も必要になるだろう。導入後のOUの構成上の注意事項などについては次回に解説する予定である。
Copyright© Digital Advantage Corp. All Rights Reserved.