2台目のドメインコントローラを構築する – Active Directory on AWS(3)
はじめに
前回まではこちらです。
- AWS上でActive Directoryを構成する為の準備をする – Active Directory on AWS(1)
- 最初のドメインコントローラを構築する – Active Directory on AWS(2)
さて今回は、2台目のドメインコントローラを構築します。
やったこと
セキュリティグループの設定
ドメインコントローラ間の通信では、以下のポートを開放する必要がありますので、セキュリティグループを変更します。特にRPCは開放しなくてはならないポートが多く、なかなか面倒臭いです。
| サービス | プロトコル | ポート番号 |
|---|---|---|
| DNS | TCP/UDP | 53 |
| Kerberos | TCP/UDP | 88 |
| NTP | UDP | 123 |
| RPC | TCP | 135,1025-5000,49152-65535 |
| LDAP | TCP/UDP | 389 |
| SMB | TCP | 445 |
| DFSR | TCP | 5722 |
また、上記はあくまでドメインコントローラ間の通信で必要なポートであり、ドメイン参加やログオンに必要なポートはまた別途必要であるということに注意して下さい。ドメイン参加やログオンに必要なポートは以下のとおりです。たくさんありますねぇ。
| サービス | プロトコル | ポート番号 |
|---|---|---|
| PING | ICMP | Echo Request/Reply |
| DNS | TCP/UDP | 53 |
| Kerberos | TCP/UDP | 88 |
| NTP | UDP | 123 |
| RPC | TCP | 135,1025-5000,49152-65535 |
| NetBIOS-ns | UDP | 137 |
| NetBIOS-dgm | UDP | 138 |
| NetBIOS-ssn | TCP | 139 |
| LDAP | TCP/UDP | 389 |
| SMB | TCP | 445 |
| LDAP SSL | TCP | 636 |
| LDAP GC | TCP | 3268 |
| LDAP GC SSL | TCP | 3269 |
参照するDNSサーバの変更
2台目のドメインコントローラとなるWindowsサーバは、最初のドメインコントローラが作成したフォレスト/ドメインの名前解決が出来る必要があります。なので最初のドメインコントローラをDNSサーバとして参照するように設定を変更します。
[コントロールパネル]を開き、[ネットワークの状態とタスクの表示]をクリックします。
[アダプターの設定の変更]をクリックします。
[ネットワーク接続]画面が開きますので、ネットワークインターフェースを右クリックし、[プロパティ]をクリックします。
[(ネットワークインターフェース)のプロパティ]画面が開きます。[インターネットプロトコルバージョン4(TCP/IPv4)]をクリックして選択し、[プロパティ]ボタンをクリックします。
[インターネットプロトコルバージョン4(TCP/IPv4)のプロパティ]画面が開きます。[次のDNSサーバーのアドレスを使う]をクリックしてチェックし、[優先DNSサーバー]欄にdc1のIPアドレスを入力します。最後に[OK]ボタンをクリックします。
[(ネットワークインターフェース)のプロパティ]画面に戻りますので、[閉じる]ボタンをクリックします。
では確認してみます。PowerShellを開き、ipconfig /allコマンドを入力します。ネットワークインターフェースの[DNS Servers]がdc1のIPアドレスになっていることを確認します。
またnslookupコマンドで"dc1.ドメイン名"で名前解決が出来ることを確認します。
ドメインコントローラの設定
dc2にリモートデスクトップ接続でログインし、画面左下の[サーバマネージャ]をクリックします。
[サーバーマネージャー]画面が開きます。[役割と機能の追加]をクリックします。
[役割と機能の追加ウィザード]画面が開きます。[次へ]ボタンをクリックします。
[インストールの種類の選択]画面が開きます。[役割ベースまたは機能ベースのインストール]が選択されている事を確認し、[次へ]ボタンをクリックします。
[対象サーバーの選択]画面が表示されます。[サーバープールからサーバーを選択]が選択されていることを確認し、サーバープール枠からdc2を選択します。[次へ]ボタンをクリックします。
[サーバーの役割の選択]画面が表示されます。[Active Directory Domain Services]をクリックします。
[Active Directory Domain Servicesに必要な機能を追加しますか?]という画面が表示されます。全部追加しますので、そのまま[機能の追加]をクリックします。
[Active Directory Domain Services]にチェックが入ったことを確認し、[次へ]ボタンをクリックします。なおdc1と同様に、DNSサーバはドメインコントーラの構成時に一緒にインストールしてくれるので、ここでは選択しません。
[機能の選択]画面が表示されますが、何も選択せず[次へ]をクリックします。
[Active Directory ドメインサービス]画面が表示されます。[次へ]ボタンをクリックします。
[インストールオプションの確認]画面が表示されます。[必要に応じて対象サーバーを自動的に再起動する]をチェックしておくと後は勝手に必要な再起動処理をしてくれるので、チェックしておきます。
以下の画面が表示されますので[はい]をクリックします。
[インストール]ボタンをクリックします。
インストールが進行し、最後に以下の画面になります。[このサーバーをドメインコントローラーに昇格する]をクリックします。
[配置構成]画面が表示されます。[既存のドメインにドメインコントローラーを追加する]が選択されていることを確認し、[ドメイン]の横にある[選択]ボタンをクリックします。
[Windowsセキュリティ]画面が表示されます。上の欄(ユーザー名)に、"ドメイン名¥administorator"(ここではsmokeymonkey.local¥administrator)と入力します。また下の欄(パスワード)には、dc1のadministratorのパスワードを入力します。何故ならdc1というWindowsサーバのローカルにいたadministratorのパスワードが、そのままドメインアドミニストレーターのパスワードになっているからです。入力後、[OK]ボタンをクリックします。
[フォレストからのドメインの選択]画面が表示されます。ドメインコントローラを追加したいドメインが表示されていると思いますので、クリックして選択し、[OK]ボタンをクリックします。
[配置構成]画面に戻りますので[次へ]ボタンをクリックします。
[ドメインコントローラーオプション]画面が表示されます。[ドメインネームシステム(DNS)サーバー]と[グローバルカタログ(GC)]がチェックされていることを確認します。[ディレクトリ復元モード(DSRM)のパスワード]を設定し、[次へ]ボタンをクリックします。
[DNSオプション]画面が表示されます。dc1と同様の警告が表示されますが、そのまま[次へ]ボタンをクリックします。
[追加オプション]画面が表示されます。そのまま[次へ]ボタンをクリックします。
[パス]画面が表示されます。そのまま[次へ]ボタンをクリックします。
[オプションの確認]画面が表示されます。そのまま[次へ]ボタンをクリックします。
[前提条件のチェック]画面が表示されます。dc1と同様の警告が表示されますが特に問題ありませんので、そのまま[インストール]ボタンをクリックします。
インストールが終わると自動的に再起動されます。
インストール後の確認
では確認してみましょう。リモートデスクトップで接続しますが、ここで接続するユーザーは、ドメインアドミニストレーター(ドメイン名¥administorator)を指定します。パスワードは前述の通りdc1のadministratorのパスワードだったものです。
そしてログインすると、言語設定がまた英語になっています...これは事前準備で言語設定をしたのはdc2というWindowsサーバのローカルアドミニストレーターであり、ドメインコントローラになったことでadministoratorはドメインアドミニストレーターという別のユーザーになっているためです。なので再度言語設定で日本語化しましょう。
では本題。インストール後再度リモートデスクトップ接続でログインし、[サーバーマネージャー]を開くと、"AD DS"と"DNS"の2つの役割が追加されています。
またシステムのプロパティを見ると、ワークグループからドメインに変更されていることが分かります。
DNSサフィックスも自動的に設定されています。
もう1つ、自動的に設定が変わるところがあります。事前に参照先DNSサーバをdc1に設定していましたが、ドメインコントローラに設定変更することで、ループバックアドレス(127.0.0.1)が代替DNSサーバに設定されます。
この状態だと名前解決のパフォーマンスが悪いので、優先DNSサーバをループバックアドレスに、代替DNSサーバをdc1に変更しておきましょう。
また、[Active Directory サイトとサービス]画面を起動し、[Sites]-[Default-first-site-name]-[Server]を開くと、dc1と並んでdc2が追加されていることが分かります。また[dc2]-[NTDS Settings]を右クリックしてプロパティを開くと、以下のようにグローバルカタログになっていることが分かります。
これでdc2がドメインの2台目のドメインコントローラとして構成されました。
dc1の参照DNSサーバの設定変更
今回の作業で、Active DirectoryのDNSサーバはdc1とdc2の2台になりましたが、dc1を設定したタイミングではまだdc1のみがDNSサーバであったため、dc1の参照先DNSサーバはループバックアドレス(dc1自身)になっています。耐障害性を考慮して、代替DNSサーバをdc2に変更しておきましょう。
おわりに
次はdc1からdc2にFSMOの機能を移したいと思います。
