WindowsのActive Directoryドメインを構築する(基本編) ― 実験用のADドメイン・ネットワーク環境を手軽に構築する ―:Tech TIPS
Active Directory(AD)のテストのために、AD環境を試験的に構築したいことがある。通常は事前の入念な導入計画が必要だが、閉じた構成にすれば、ADは簡単に構築できる。ただし既存のネットワーク環境に悪影響を与えないように、同時にDNSサーバもローカルにインストールした方がよい。
対象OS:Windows 2000 Server/Windows Server 2003
解説
Active Directoryドメイン環境を導入/構築する場合、通常は事前に入念な導入計画を立て、実際のインストール作業に取り掛かる。Active Directoryは一度導入すると、簡単に作り直したり、再構築したりすることは困難なため(例えばドメイン名やその階層構造の変更など)、慎重な作業が求められるのは当然である(関連記事参照)。
だがActive Directoryの機能を調査したり、Active Directoryが必要なサーバ・システム(Exchange Server 2007など)をテストしたりするといった、一時的/試験的な用途でActive Directory環境を構築するだけなら、もっと手軽に構築して利用できる。特に、閉じたローカルなネットワーク環境や(Virtual Server 2005などで作成した仮想PC環境も含む)、NATなどで分離されたネットワーク環境でActive Directoryを構築するだけならば、既存のネットワーク環境にほとんど影響を与えることなく利用できるので、ぜひ活用していただきたい。本TIPSでは、簡単なActive Directoryの導入方法について解説する。1台のWindows Server 2003をActive Directoryのドメイン・コントローラとしてセットアップする、最低限の基本手順についてまとめておく。
操作方法
●導入するActive Directoryの設計
テスト用途なら導入が簡単だとはいえ、あらかじめ決めておかなければならない最低限の項目としては、次のようなものがある。もし同時に複数のActive Directory環境を起動する可能性があるなら(例えばActive DirectoryのテストとExchange Serverのテストを同時に行うなど)、「コンピュータ名」「IPアドレス」はそれぞれユニークなものを用意すること(可能なら「ワークグループ名」も)。もし名前やIPアドレスが衝突すると、ネットワーク・インターフェイスが無効になり、Active Directoryが利用できなくなる。
| 項目 | 内容 | 設定例 |
|---|---|---|
| コンピュータ名 | Active Directoryのドメインコントローラ名。同時に複数のActive Directoryテスト環境を構築した場合に衝突しないようにするため、末尾に「1」「2」「3」……などいった番号を付加して区別するとよい | adserver1 |
| DNSドメイン名 | example.jpやexample.comなど、自由に使ってよいドメイン名を使用すること(独立したDNSサーバを使うなら、これはほかのActive Directoryドメインと重複していてもよい) | example.jp |
| ドメイン名 | ドメイン名(ワークグループ名)もコンピュータ名と同様、「EXMPALE2」「EXAMPLE3」……のように、ユニークにしておくのが望ましい。さもないと、別のActive Directoryドメインのコンピュータが同一グループに列挙され、わずらわしくなる | EXAMPLE1 |
| IPアドレス | できる限り固定的なIPアドレスを割り当てること。Virtual PCの仮想環境などの場合はDHCPによる自動取得も利用可能だが、ほかのクライアントがサーバを参照する場合には注意すること | 「DHCPによる自動取得」もしくは「192.168.0.41」 |
| サブネット・マスク | 「IPアドレス」を手動で設定した場合は、これも適切な値に設定しておくこと | 255.255.255.0 |
| デフォルト・ゲートウェイ | 「IPアドレス」を手動で設定した場合は、これも適切な値に設定しておくこと | 192.168.0.1 |
| DNSサーバ・アドレス | これは自動取得してはいけない。必ず上記の「IPアドレス」と同じものか、「127.0.0.1」を手動で設定すること(これによりDHCPの設定を上書きできる) | 「127.0.0.1」もしくはIPアドレスと同じもの「192.168.0.41」 |
| Active Directoryを導入する前に決めておくべき項目 Active Directoryを導入する場合、最低でも、これらについては決めておかなければならない。Active Directoryの実験用イメージやマシンを複数用意しておく場合、これらの項目が衝突しないように決め、それぞれのイメージに割り当てておくこと。以下の例では、この「設定例」に基づいて手順を解説する。 | ||
なおActive Directoryを利用する場合、IPアドレスは静的に割り当てることが望ましいが(さもないとActive Directoryのクライアントからドメイン・コントローラを指定する際に、トラブルになる可能性がある)、DHCPでも利用できないことはない。例えばVirtual PCの「共有ネットワーク(NAT)」環境などではDHCP以外ではネットワークが利用できない(DHCPで割り当てられたIPアドレス以外では外部へアクセスできないが、割り当てられるアドレスを事前に知ることはできないから)。DHCPしか利用できない場合は、IPアドレスとデフォルト・ゲートウェイ、サブネット・マスクの欄を自動取得にし、DNSサーバ・アドレスの欄には「127.0.0.1(ローカル・ループバック・アドレス)」を手動で設定しておく(TIPS「ローカル・ループバック・アドレス(127.0.0.1)とは?」参照)。これによりDNSサーバの値が上書きされ、ドメイン・コントローラ上で動作しているDNSサーバを指すことになる。
●Active DirectoryをインストールするサーバOSの準備
本TIPSではWindows Server 2003を使って作業を進める(Windows 2000 Serverでも違いはない)。Windows Server 2003のインストール後(Service Packやセキュリティ修正プログラムの適用は、Active Directory導入後でよい)、(1)名前の設定、(2)IPアドレスの設定、(3)Active Directoryの導入、という手順で作業を進める。なおActive Directoryの導入後はもうコンピュータ名やドメイン名などの変更は行えないので、複数の試験用Active Directoryを導入する予定があるなら、Windows Server 2003のインストール直後のディスク・イメージを(市販のディスク・クローニング・ツールなどで)保存しておくと(仮想PCの場合は、仮想ディスク・イメージをコピーする)、後のActive Directory導入作業が楽になる。しかしActive Directory導入のたびにWindows Server 2003のインストールから始めるつもりなら、(1)と(2)はインストール作業中に行えばよい。
ところでActive Directoryを利用する場合はDNSサーバも必要になるが、外部の(実際に今現在利用している)DNSサーバを使うと、実験用のActive Directoryゾーン情報が作成されてしまうため、それは避けるべきである(DNSサーバによってはActive Directory用のゾーン情報を作成できないものがある)。本TIPSでは、Active Directoryと同時にDNSサーバもインストールし、それを利用する方法を紹介する。といってもActive Directoryのウィザードで自動的にインストールされるため、あらかじめインストールしておく必要はない。
●1.名前の変更
Windows Server 2003をインストールしたら(もしくはディスク・イメージを展開したら)、最初にコンピュータ名/ワークグループ名/DNSサフィックスなどを設定する(インストール中に入力した場合は、この手順はスキップできる)。
まず[スタート]メニューの[マイ コンピュータ]を右クリックし、ポップアップ・メニューから[プロパティ]を選択して[システムのプロパティ]ダイアログを表示させる。そして[コンピュータ名]タブにある[変更]ボタンをクリックして、「コンピュータ名」と「ワークグループ名」を設定する。さらに[詳細]ボタンをクリックして「プライマリ DNS サフィックス」を「example.jp」などに設定する。
コンピュータ名の設定
Active Directoryのサーバ名とドメイン名(ワークグループ名)を定義する。ネットワーク上でユニークであること。
(1)サーバ名。Active Directoryのドメイン・コントローラであることがわかるような名前にしておくとよい。構築するActive Directoryのドメインごとに、ユニークになるようにしておくと、同時に複数のActive Directoryドメインが稼働していても識別しやすくなる。
(2)ドメイン・コントローラのFQDN名。DNSのドメイン名部分は、右の(4)のボタンで設定する。
(3)ワークグループ名(もしくはドメイン名)。NetBIOSでの識別名として使われる。同一ワークグループ名(ドメイン名)に属するコンピュータは、まとめて表示される。
(4)DNSのドメイン名(DNSサフィックス)を設定するにはこれをクリックする。すると次のダイアログが表示される。
DNSサフィックスの設定
DNSのドメイン名部分を設定する。後でActive Directoryのウィザードでも設定できる。
(1)これがDNSのサフィックス(ドメイン名なしの名前を、DNSで検索するに自動的に補われる文字列)として扱われる。
設定終了後、[OK]ボタンをクリックすると[変更を有効にするには、コンピュータを再起動してください。]と表示されるが、再起動せずに、次にIPアドレスなどの設定を行う。
●2.IPアドレスの設定
次はIPアドレス関連の設定を行う(これもインストール時に行っておけば、不要である)。[スタート]メニューの[コントロール パネル]−[ネットワーク接続]−[ローカル エリア接続]をクリックしてネットワーク・インターフェイスのプロパティ・ダイアログを表示させ、[プロパティ]ボタンをクリックして、[ローカル エリア接続のプロパティ]ダイアログを開く。そして[インターネット プロトコル (TCP/IP)]項目を選択してから[プロパティ]ボタンをクリックして、IPアドレスなどの情報を入力する。DNSサーバをインストールしておく必要はないが、[優先DNSサーバ]が自分自身を指すようにしておくことを忘れないでいただきたい。
IPアドレス関連パラメータの設定
IPアドレスやサブネット・マス、ゲートウェイなど、TCP/IPレベルで通信をする場合に必要なパラメータをあらかじめ設定しておく。ドメイン・コントローラは、DHCPによる動的なIPアドレスでも稼働するが、アプリケーションによっては不具合を起こす可能性もあるので、なるべく静的なIPアドレスを割り当てて運用するのが望ましい。なお、特に大事なのはDNSサーバのアドレス。実験的なActive Directoryドメインを構築する場合は、ローカルのサーバ上にDNSサーバを導入し、そこだけを使うように、[優先DNSサーバ]の値を設定すること。
(1)デフォルトではこちらのDHCPによる設定が有効になっているが、IPアドレスが変わる可能性があるので、あまり望ましくない。アプリケーションによっては、最初に接続したサーバのIPアドレスを保存していたりすることがあり、トラブルを引き起こす可能性がある。
(2)可能な限り、こちらを選択して、静的なIPアドレスを割り当てること。インターネットに接続する場合は、既存のネットワーク上で未使用のIPアドレスを割り当て、サブネットマスクやゲートウェイにも適切な値をセットすること。ローカルだけで閉じて使用する場合は、通常のプライベートIPアドレスを割り当てればよい。
(3)IPアドレスの指定。必ず未使用のものを、(社内ルールなどの)適切な手順を経て取得し、設定すること。
(4)サブネット・マスク。
(5)デフォルト・ゲートウェイ・アドレス。社内のルータのアドレスを適切に設定すること。
(6)DHCPによってDNSサーバ・アドレスを取得してはいけない。そのDNSサーバに対して、Active Directoryのレコードを登録しようとしたり、動的な更新を要求したりする。必ずローカルのDNSサーバを指すように、以下の値で上書きすること。
(7)これを選択すると、DHCPで値を取得した場合でも、上書き設定できる。
(8)自分自身のIPアドレス。静的なIPアドレス((3))を使用している場合は、それをここに記述する。もしくは「127.0.0.1」というローカル・ループバック・アドレスを指定してもよい。どちらでも大差はないが、DNSサーバの設定によっては、挙動が異なることがある(DNSサーバでは、どのIPアドレスでリッスンするかで、挙動を変えることができる。ただしデフォルトでは違いはない)。
(9)(既存のネットワークに対する名前解決などをするために)WINSも利用したければこれをクリックして、適切なWINSサーバを設定する(ただしActive DirectoryではWINSサーバは不要である)。WINSサーバはローカルにインストールしてもよいし、既存のリモートのWINSサーバを指してもよい(その場合は、このドメイン・コントローラの名前とIPアドレスがリモートのWINSサーバに登録されることになる。その意味と影響をよく考えて利用していただきたい)。
IPアドレスを設定したら、一度再起動して、次に進む。
●3.Active Directoryウィザードによるインストールの実行
次はActive Directoryのインストール・ウィザードを使ってインストール作業を始める。といってもほとんど何もする必要はなく、すべてデフォルトのままウィザードを進めていけばよい。
ウィザードを起動するには、Administratorでログオン後に表示されている[サーバーの役割管理]ツールで(このツールは[スタート]メニューの[プログラム]−[管理ツール]−[サーバーの役割管理]でも起動できる)、[役割を追加または削除する]ボタンをクリックし、[サーバーの構成ウィザード]で[ドメイン コントローラActive Directory)]を選ぶ。
なおこの操作は、[ファイル名を指定して実行]やコマンド・プロンプト上で「dcpromo」コマンドを実行してもよい(Windows 2000 Serverの場合はこの方法でdcpromoを起動する)。
以上の操作で[Active Directoryのインストール ウィザード]が起動するので、順に[次へ]ボタンをクリックしていけばよい。何も変更・指定する必要はないが、確認のために、以下にウィザードの画面を挙げておく。
Active Directoryインストール・ウィザードの開始
ドメイン・コントローラの役割を追加するか、dcpromoコマンドを起動すると、Active Directoryをインストールするためのウィザードが起動する。移行の作業はすべてこのウィザードで行う。
(1)これをクリックして先へ進む。
最初に指定するのは、ドメイン・コントローラの種類である。テスト用のActive Directoryは通常は1ドメイン、1フォレスト構成なので、特に何も指定する必要がないはずである(フォレスト=ドメインのツリー)。
ドメイン名の指定
作成するドメイン名(DNSドメイン名、DNSサフィックス名として利用される)を指定する。ここでは例示用のドメイン名である「example.jp」を使用している(TIPS「例示/実験用として利用できるドメイン名」参照)。先頭にホスト名(つまりこのドメイン・コントローラのコンピュータ名)を付けてはいけない。ドメイン名の部分のみを指定する。
(1)ここにDNSのドメイン名を指定する。ad1.example.jpのように、さらにサブドメインを指定してもよいだろう。ここで指定したドメイン名が、Active Directoryのルートのドメイン名となる。
NetBIOSドメイン名の指定
これはドメイン名/ワークグループ名を指定するための画面である。例えばエクスプローラの[マイ ネットワーク]−[Microsoft Windows Network]の下に列挙されるドメイン名やワークグループ名として利用される(コマンド・プロンプトなら「net view /domain」コマンドで一覧できる)。NetBIOSの仕様の制限により、英数字で最大15文字(大文字小文字は区別されない)まで付けることができる。
(1)ドメイン名。最後に「1」と付けているのは、サーバ名とペアにするためである。こうすることにより、構築したドメインごとにユニークなドメイン名/サーバ名になり、異なるドメインのサーバが1つのドメイン名の下に列挙されるのを防ぐことができる。なお本稿で紹介する方法ではDNSサーバがActive Directoryドメインごとに独立しているので、DNSドメイン名(先のexample.jp)は重複していても問題ない。
この後、「データベースとログのフォルダ」と「共有システム・ボリューム」を指定する画面が表示されるが、いずれもデフォルトのまま(C:\WINDOWS\NTDSとC:\WINDOWS\SYSVOL)でよい。
次にDNSサーバの診断が行われるが、まだDNSサーバはインストールしていないので「診断の失敗」と表示されるはずである。そこでデフォルトのまま[次へ]をクリックすると、自動的にDNSサーバがインストールされ、さらにActive Directory用の正引きゾーン(example.jp)が作成される。
DNSサーバの診断
ここではDNSサーバが利用できるかどうかがチェックされるが、まだインストールされていないので(TCP/IPの「優先DNSサーバー」欄で指定したDNSサーバと通信して、Active Directory向けのDNSサーバとして利用できるかどうかチェックされる)、このようにエラーとなるはずである。
(1)DNSサーバの診断結果。DNSサーバが見つからなかったのでエラーとなっている。
(2)エラーの場合はこれが選択される。このサーバに、DNSサーバ・サービスをインストールする場合はこれを選択する。
次はアクセス権の設定が行われるが、特別な理由がない限り、デフォルトのままでよい。
次はディレクトリ・サービスの復元モードを起動するためのパスワードを指定する。適当なパスワードを指定しておけばよい。
以上でウィザードによる作業は終わりである。設定のまとめページで[次へ]ボタンをクリックすると実際にActive Directoryとその関連サービス、ツールなどがインストールされ、さらにDNSサーバもインストールされる。数分から十数分程度で作業は終了するはずである。なおDHCPによる動的IPを使っていると、DNSサービスのインストール作業の途中で、静的IPの使用を勧めるダイアログが表示されるが、そのダイアログは[OK]ボタンを押してクローズし、さらに次に表示される[ローカル エリア接続のプロパティ]画面や警告ダイアログもそのままクローズしておけばよい(DNSサービスのインストールそのものはスキップしないこと)。
[完了]ボタンをクリックすると、再起動するかどうかを問い合わせるダイアログが表示されるので、指示に従ってシステムを再起動する。再起動後は、ログオン・ダイアログが次のように変わり、ドメイン・コントローラになっていることが確認できるだろう。
ドメイン環境でのログオン・ダイアログ
Active Directoryドメイン環境では、ログオン先が新しく指定できるようになる。ただしドメイン・コントローラにはローカル・アカウントがないので、(ドメインのメンバ・コンピュータのように)、ログオン先として、ドメインとローカル・コンピュータを選ぶことはできない。
(1)ログオン先のドメイン名。ドメイン・コントローラの場合はドメイン名しか表示されない。
(2)デフォルトでは[ログオン先]は表示されていないが、これをクリックすると表示/非表示を切り替えることができる。
ユーザー・アカウントは、ドメイン・コントローラが導入される前のものがそのまま有効になっている。管理者権限のあるユーザーでログオンすると、[サーバーの役割管理]ツールにActive Directoryの管理ツールやDNSサーバの管理ツールが追加されていることが確認できるだろう。Active Directory環境における基本的な作業やこれらの管理ツールの使い方については、「Active Directoryの導入後の作業(管理者のためのActive Directory入門)」などを参照していただきたい。
なお、上記のインストール手順によってDNSサーバには正引きゾーン(DNS名からIPアドレスを求めるためのレコード)が定義されるが、逆引きゾーン(IPアドレスからDNS名を求めるためのレコード)は定義されない。必要ならばTIPS「DNSの逆引きゾーンを定義する(イントラネット編)」などを参考にして、逆引きゾーンも定義していただきたい。またインターネット上のFQDN名を解決する際には、DNSサーバのリゾルバ/キャッシュ機能が利用されるので、ルート・ヒント情報を削除してはいけない(TIPS「DNSサーバのキャッシュの内容を調査する」「DNSサービスのルート・ヒントを変更する」参照)。そのほか、社内のほかのドメインのサーバ名などを解決させたければ、例えばTIPS「DNSサーバでゾーンごとに異なるフォワーダを使う」の方法を使ってDNS要求をフォワードするか、必要なレコードを手動で定義するとよい。
追加されたActive Directory関連の管理ツール
以上の手順に従ってActive Directoryを導入すると、Active Directoryの管理ツール(3つ)とDNSサーバの管理ツールが追加される。
(1)ユーザーやグループなどの管理ツール。一番よく使われるツール。
(2)ドメインの信頼関係の管理ツール。
(3)サイト(ドメインの物理的なグルーピング)の管理ツール。
(4)DNSサーバの管理ツール。
■この記事と関連性の高い別の記事
- Active Directory用のDNSレコードを強制的に作成する方法(TIPS)
- DNSサーバの動的更新設定を変更する(TIPS)
- DNSの動的更新を無効にする(TIPS)
- DNSの逆引きゾーンを定義する(イントラネット編)(TIPS)
- DNSサービスのルート・ヒントを変更する(TIPS)
- Windowsでリモートネットワークの名前解決をhosts/lmhostsで行う(TIPS)
- nslookupの基本的な使い方(イントラネット編)(TIPS)
- 優先DNSサーバと代替DNSサーバの動作について(TIPS)
- DNSサーバのキャッシュの内容を調査する(TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.