最初のドメインコントローラを構築する – Active Directory on AWS(2)
はじめに
前回は準備で終わってしまいました。やっとActive Directoryの構築が出来ます。今回はdc1をドメインの最初のドメインコントローラとして構築します。
やったこと
dc1にリモートデスクトップ接続でログインし、画面左下の[サーバマネージャ]をクリックします。
[サーバーマネージャー]画面が開きます。[役割と機能の追加]をクリックします。
[役割と機能の追加ウィザード]画面が開きます。[次へ]ボタンをクリックします。
[インストールの種類の選択]画面が開きます。[役割ベースまたは機能ベースのインストール]が選択されている事を確認し、[次へ]ボタンをクリックします。
[対象サーバーの選択]画面が表示されます。[サーバープールからサーバーを選択]が選択されていることを確認し、サーバープール枠からdc1を選択します。[次へ]ボタンをクリックします。
[サーバーの役割の選択]画面が表示されます。[Active Directory Domain Services]をクリックします。
[Active Directory Domain Servicesに必要な機能を追加しますか?]という画面が表示されます。全部追加しますので、そのまま[機能の追加]をクリックします。
[Active Directory Domain Services]にチェックが入ったことを確認し、[次へ]ボタンをクリックします。なお、前回にご説明した通りこのサーバはDNSサーバにもなるのですが、DNSサーバはドメインコントーラの構成時に一緒にインストールしてくれるので、ここでは選択しません。
[機能の選択]画面が表示されますが、何も選択せず[次へ]をクリックします。
[Active Directory ドメインサービス]画面が表示されます。[次へ]ボタンをクリックします。
[インストールオプションの確認]画面が表示されます。[必要に応じて対象サーバーを自動的に再起動する]をチェックしておくと後は勝手に必要な再起動処理をしてくれるので、チェックしておきます。
以下の画面が表示されますので[はい]をクリックします。
[インストール]ボタンをクリックします。
インストールが進行し、最後に以下の画面になります。[このサーバーをドメインコントローラーに昇格する]をクリックします。
[配置構成]画面が表示されます。[新しいフォレストを追加する]をチェックし、ルートドメイン名に設定したいドメイン名を入力して、[次へ]ボタンをクリックします。
[ドメインコントローラーオプション]画面が表示されます。前述したとおり、このサーバはDNSサーバにもなりますので、[ドメインネームシステム(DNS)サーバー]がチェックされていることを確認します。[ディレクトリサービス復元モード(DSRM)のパスワード]に任意のパスワードを入力し、[次へ]ボタンをクリックします。
DNSオプションの画面が表示されます。上に警告野文字列が表示されていますが、そのまま[次へ]ボタンをクリックします。
ちなみにどんな警告なのかと言うと、以下のとおりです。Active Directoryで構成するDNSドメインが外部から参照されたい場合には委任の設定が必要になりますが、今回はあくまで内部向けのドメインであるという前提ですので、特に設定は行いません。
[追加オプション]としてActive DirectoryドメインのNetBIOS名が表示されます。必要に応じて修正し、[次へ]ボタンをクリックします。
[パス]の設定についても特に変更せず、[次へ]をクリックします。
[オプションの確認]画面が表示されますので、そのまま[次へ]ボタンをクリックします。
[前提条件のチェック]画面が表示されます。いくつか警告が出ていますが、今回の構成においては問題がありません。「物理ネットワークアダプタに静的IPアドレスが割り当てられていない」という警告が出ますが、EC2の場合ENIに静的にIPアドレスを割り当てたとしても、OSから見たネットワークインターフェースとしてはDHCPに見えるために発生しています。実際にはENIに設定したIPアドレスが変わることはありません。Windowsのネットワークインターフェースの設定を変更してIPアドレスを固定的に設定することも出来ますが、このままにしておきます。
なので、そのまま[インストール]ボタンをクリックします。
インストールが終わると自動的に再起動されます。
インストール後の確認
それでは確認してみましょう。インストール後再度リモートデスクトップ接続でログインし、[サーバーマネージャー]を開くと、"AD DS"と"DNS"の2つの役割が追加されていることが分かります。
またシステムのプロパティを見ると、ワークグループからドメインに変更されていることが分かります。
また、自動的にDNSサフィックスが設定されています。
以下のようにPowerShell上でntdsutilコマンドで確認すると、FSMOとしての各機能をdc1が持っていることが分かります。
PS C:\Users\Administrator> ntdsutil C:\Windows\system32\ntdsutil.exe: roles fsmo maintenance: select operation target select operation target: connections server connections: connect to domain smokeymonkey.local Binding to \\DC1.smokeymonkey.local ... Connected to \\DC1.smokeymonkey.local using credentials of locally logged on user. server connections: quit select operation target: list roles for connected server Server "\\DC1.smokeymonkey.local" knows about 5 roles Schema - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=smokeymonkey,DC=local Naming Master - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=smokeymonkey,DC=local PDC - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=smokeymonkey,DC=local RID - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=smokeymonkey,DC=local Infrastructure - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=smokeymonkey,DC=local select operation target:quit
更にもう一つ。[Active Directory サイトとサービス]画面を起動し、[Sites]-[Default-first-site-name]-[Server]-[dc1]-[NTDS Settings]を右クリックしてプロパティを開くと、以下のようにグローバルカタログになっていることが分かります。
これでdc1がドメインの最初のドメインコントローラとして構成されました。
おわりに
次はdc2をドメインの2つ目のドメインコントーラとして構成したいと思います。