Windows Server 2019で AD サーバを構築してみた

Transit Gateway を経由して AD サーバーへアクセスする検証するときに久々に AD サーバーをたてました。また作る機会があれば迷わず準備できるように検証環境を作成した手順を残します。

検証環境

ネットワーク構成は以下の様に Transit Gateway で 各VPC を接続しています。本記事では ADサーバー1台で新規ドメインの設定手順と別 VPC の EC2 からドメイン参加を試しています。

AD 用の EC2 インスタンス

メモリ8GBのt3.large作成しました。もっさり動作だと検証が捗らないので余裕みました。

セキュリティグループの設定は以下のドキュメントを参考に設定しました。

File System Access Control with Amazon VPC - Amazon FSx for Windows File Server

ICMPとRDPを除くプロトコル・ポートが必要で量が多くて設定漏れしそうなので、次回作成するときはAWS CLIか、CloudFromationなどのツールを利用した方がよいなと思いました。

OS の基本的な設定

ホスト名を変更しました。再起動して反映させます。

その後、タイムゾーンを変更しました。

AD のインストール

サーバーマネージャーの役割と機能の追加から画面をぼちぼちしてすすめます。

Active Directory ドメインサービスにチェックを入れます。DNSサービスなど依存関係のあるサービスは自動的にインストールされるので次へ、次へですすめます。

設定内容を確認しインストールします。5分ほど待ちます。

インストールが終わるとこのサーバーをドメインコントローラーに昇格するが表示されるのでクリックします。次からはぽちぽちだけでは済まずキーボードの出番です。

新規のAD環境を作成したいため新しいフォレストを追加するを選択し、ルートドメイン名を入力します。本検証環境のドメイン名はec2domain.example.comとしました。

DSRMのパスワードを入力します。

委任する予定もないので未設定のまま次へをクリックします。

NetBIOS名はドメイン名の名前が自動入力されるため、そのまま次へをクリックします。

デフォルトのパスを使用するので、そのまま次へをクリックします。

オプションを確認し、そのまま次へをクリックします。

前提条件のチェックをし、インストールします。10分ほど待つと再起動かかります。

再起動後のログオンして動作確認

Administoratorユーザーでリモートデスクトップ接続しました。

AD はインストール済み。

フォワーダーはAmazonProvidedDNSのIPアドレスが自動設定済み。

DNSサーバーはローカルループバックアドレスが設定済み。

手動で変更する箇所はありませんでした。

ドメインユーザーでドメイン参加

ドメインユーザーを新規作成して、他のEC2インスタンス（Windows Server 2019）をドメイン参加させてみます。

OU とドメインユーザー作成

OU を作成します。

ドメイン参加用のユーザーを作成します。

新規作成したTestOUにテストユーザーが追加されました。

ドメイン参加

ADサーバーと同様にホスト名とタイムゾーンを修正しただけの Windows Server 2019 をドメイン参加させてみます。

VPCのDHCPオプションセット作成し変更しました。

IPアドレスを再取得します。DNSサーバーの指定がADサーバーのIPアドレスになっていることを確認しました。

> ipconfig /renew
> ipconfig /all

Windows IP 構成

   ホスト名. . . . . . . . . . . . . . .: client
   プライマリ DNS サフィックス . . . . .: ec2domain.example.com
   ノード タイプ . . . . . . . . . . . .: ハイブリッド
   IP ルーティング有効 . . . . . . . . .: いいえ
   WINS プロキシ有効 . . . . . . . . . .: いいえ
   DNS サフィックス検索一覧. . . . . . .: ap-northeast-1.ec2-utilities.amazonaws.com
                                          ap-northeast-1.compute.internal

イーサネット アダプター イーサネット 2:

   接続固有の DNS サフィックス . . . . .:
   説明. . . . . . . . . . . . . . . . .: Amazon Elastic Network Adapter
   物理アドレス. . . . . . . . . . . . .: 06-7D-53-ED-69-83
   DHCP 有効 . . . . . . . . . . . . . .: はい
   自動構成有効. . . . . . . . . . . . .: はい
   リンクローカル IPv6 アドレス. . . . .: fe80::1458:668d:de46:e436%5(優先)
   IPv4 アドレス . . . . . . . . . . . .: 10.3.1.102(優先)
   サブネット マスク . . . . . . . . . .: 255.255.255.0
   リース取得. . . . . . . . . . . . . .: 2022年2月20日 10:29:06
   リースの有効期限. . . . . . . . . . .: 2022年2月20日 11:59:05
   デフォルト ゲートウェイ . . . . . . .: 10.3.1.1
   DHCP サーバー . . . . . . . . . . . .: 10.3.1.1
   DHCPv6 IAID . . . . . . . . . . . . .: 118127111
   DHCPv6 クライアント DUID. . . . . . .: 00-01-00-01-29-A0-EB-65-0E-F5-FB-58-A4-2D
   DNS サーバー. . . . . . . . . . . . .: 10.1.1.130
   NetBIOS over TCP/IP . . . . . . . . .: 有効

ドメインに変更。ドメインの管理者でパスワード入力して再起動。 再起動後、一度Administratorでログオンしてリモートデスクトップを有効化してサインアウト。

ドメインユーザーでログオンし直し、ドメインユーザー名でログオンできていることを確認できました。

PS C:\Users\ohmura> whoami
ec2domain\ohmura

おわりに

当初の目的はADをたててEC2以外の周辺の作業に必要な要素を洗い出したくはじめた検証だったのですが、ADをたてるのが久々だったので次回のために手順の残しました。収穫はAD側のセキュリティグループの設定が多く見落としに気をつけることでした。

その他では以下の記事が勉強になりました。

参考

• EC2のWindowsServer2019インスタンスの設定変更まとめ | ばったんの技術系ブログ
• Windows Server 2016でアクティブディレクトリサーバを構築してみた | DevelopersIO