Active Directory ドメインを作ってみよう

その 1 ：ドメインの作成と DNS サーバーの設定

小山 三智男mitchin

Microsoft MVP for Directory Services

2

Active Directory ドメイン構造

フォレスト

ドメインツリー

ドメイン

test.local

ドメイン

west.test.local

ドメイン

east.test.local

ドメインツリー

ドメイン

test2.local

ドメイン

sub.test2.local

3

Active Directory サイト構造

サイト

DC1

TokyoSite

DC2

DC3

サイト内複製

サイト内複製

サイト

DC5

OsakaSite

DC4

サイト内複製サイト間複製

サイトリンクサブネット192.168.0.0/24192.168.1.0/24192.168.2.0/24

サブネット172.16.0.0/24172.16.1.0/24

Tokyo-OsakaLink

4

ドメインの作成・設定手順

ドメインコントローラーを作成してドメインを作成• TCP/IP の設定• Active Directory ドメイン サービス（ AD DS ）と DNS

サーバーのインストール• ドメインコントローラーへの昇格• DNS サーバーの設定• タイムサーバーの設定（推奨）• 組織単位（ OU ）、グループ、ユーザーなどの作成• コンピューターをドメインに参加• グループポリシーの設定（ユーザー用をちょっとだけ）

ドメインコントローラーを追加• サイトの設定（サブネットの追加）

5

ドメインコントローラーへの昇格

サーバー マネージャーの画面上「管理」メニュー左の旗のアイコンをクリックし「このサーバーをドメインコントローラーに昇格する」を選択

6

AD ドメイン サービス構成ウィザード

「新しいフォレストを追加する」を選択して ルートとなる Active Directory ドメイン名を入力して「次へ」をクリック

7

AD ドメイン サービス構成ウィザード

フォレストとドメインの機能レベルを選択し、ディレクトリ サービス復元モードのパスワードを入力して「次へ」をクリック

8

AD ドメイン サービス構成ウィザード

そのまま「次へ」をクリック

9

AD ドメイン サービス構成ウィザード

NetBIOS ドメイン名は自動的に設定されるので、特に変更する必要がなければそのまま「次へ」をクリック

10

AD ドメイン サービス構成ウィザード

AD DS データベース、ログファイル、 SYSVOL のパスを入力または選択して「次へ」をクリック

11

AD ドメイン サービス構成ウィザード

オプションを確認して「次へ」をクリック

12

AD ドメイン サービス構成ウィザード

前提条件を確認して「インストール」をクリック

13

インストール完了後再起動、 TCP/IP の確認

自分自身が DNS サーバーになったので、 TCP/IP の設定で空欄にしていた優先 DNS サーバーのアドレス欄にループバックアドレスが設定されました。

14

DNS サーバーの設定

サーバー マネージャーで「ツール」メニューから「 DNS 」をクリックして DNS マネージャーを起動

15

設定の前にドメインの前方参照ゾーンを確認

DNS サーバー - 「前方参照ゾーン」と展開してドメインのゾーンを選択すると、ドメインコントローラーである DNS サーバーのネームサーバーレコード（ NS レコード）とホストレコード（ A レコード）が追加されているのが確認できます。

16

ゾーンのプロパティ

種類が「 Active Directory 統合」になってるのが確認できます。DNS のゾーンの情報は Active Directory の複製の時に一緒に複製されます。

17

フォワーダーの設定

フォワーダーとは、 DNS サーバーが自分で名前解決できない場合に代わりに名前解決をしてくれる DNS サーバーのことです。通常 Active Directory ドメイン内の DNS サーバーは、ドメインのメンバーになっているサーバーやクライアント PC 、プリンタや社内 Web サーバーなど、ゾーンに登録されているホストに対して名前解決できます。インターネット側など外部のホストに対しては名前解決できないので、それを解決できるようにするためにフォワーダーを設定します。こうすることで クライアント PC の DNS サーバー アドレスにドメインコントローラーの IP アドレスを指定するだけで、ログオンを含め内部・外部を意識することなくホスト名を使ってアクセスすることができます。

18

フォワーダーの設定

DNS サーバーのプロパティを表示して「フォワーダー」タブを開き「編集」ボタンをクリック。

19

フォワーダーの設定

編集画面が表示されるので、契約してるプロバイダや取得しているドメイン（インターネットの方）の DNS サーバーの IP アドレスか DNS 名（ FQDN ：完全修飾ドメイン名）を入力します。検証が OK なのを確認し「 OK 」ボタンをクリックして編集画面を閉じます。

20

フォワーダーの設定完了

これでフォワーダーの設定ができました。「フォワーダーが利用できない場合にルート ヒントを使用する」のチェックは入れたままにしておきます。

21

ルートヒント

「ルート ヒント」タブに登録されている DNS サーバーで、既定では世界に 13 台あるルートサーバーが登録されています。

22

タイムサーバーの設定

ドメインのメンバー（クライアント PC やメンバーサーバー）はドメインコントローラーから時刻を取得するので、ドメインコントローラーにタイムサーバーを設定しておけば、ドメインコントローラーもメンバーも正しい時刻にセットできます。

タイムサーバーを ntp.nict.jp に設定する場合、ドメインコントローラーにログオンして管理者としてコマンドプロンプトを起動し次の 2 つのコマンドを実行します。 w32tm /config /manualpeerlist:ntp.nict.jp /syncfromflags:manual /update w32tm /resync

確認する場合は次のコマンドを実行します。 w32tm /query /status

時刻取得設定が可能なプリンターやルーターは、ドメインコントローラーの IP アドレスを取得元に指定することで正しい時刻にセットできます。

23

詳細や関連情報はブログ等で

Windows Server 2012 R2 で Active Directory 始めました。http://blogs.wankuma.com/mitchin/archive/2014/05/05/330117.aspx

ドメインを作るため サーバーをドメインコントローラーに昇格させるhttp://blogs.wankuma.com/mitchin/archive/2014/05/06/330285.aspx

作ったドメインの DNS サーバーの設定http://blogs.wankuma.com/mitchin/archive/2014/05/10/330587.aspx

ドメインコントローラーにタイムサーバーを設定http://blogs.wankuma.com/mitchin/archive/2014/05/11/330769.aspx

DNS サーバーに逆引き参照ゾーンを追加http://blogs.wankuma.com/mitchin/archive/2014/05/14/331110.aspx

Active Directory にアクセスして Domain オブジェクトを取得するhttp://blogs.wankuma.com/mitchin/archive/2013/06/15/327935.aspx

.NET から Active Directory にアクセスhttp://www.slideshare.net/mitchin227/active-directory-24695891