2台目のドメインコントローラを構築する – Active Directory on AWS(3)

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

前回まではこちらです。

さて今回は、2台目のドメインコントローラを構築します。

やったこと

セキュリティグループの設定

ドメインコントローラ間の通信では、以下のポートを開放する必要がありますので、セキュリティグループを変更します。特にRPCは開放しなくてはならないポートが多く、なかなか面倒臭いです。

サービス プロトコル ポート番号
DNS TCP/UDP 53
Kerberos TCP/UDP 88
NTP UDP 123
RPC TCP 135,1025-5000,49152-65535
LDAP TCP/UDP 389
SMB TCP 445
DFSR TCP 5722

また、上記はあくまでドメインコントローラ間の通信で必要なポートであり、ドメイン参加やログオンに必要なポートはまた別途必要であるということに注意して下さい。ドメイン参加やログオンに必要なポートは以下のとおりです。たくさんありますねぇ。

サービス プロトコル ポート番号
PING ICMP Echo Request/Reply
DNS TCP/UDP 53
Kerberos TCP/UDP 88
NTP UDP 123
RPC TCP 135,1025-5000,49152-65535
NetBIOS-ns UDP 137
NetBIOS-dgm UDP 138
NetBIOS-ssn TCP 139
LDAP TCP/UDP 389
SMB TCP 445
LDAP SSL TCP 636
LDAP GC TCP 3268
LDAP GC SSL TCP 3269

参照するDNSサーバの変更

2台目のドメインコントローラとなるWindowsサーバは、最初のドメインコントローラが作成したフォレスト/ドメインの名前解決が出来る必要があります。なので最初のドメインコントローラをDNSサーバとして参照するように設定を変更します。

[コントロールパネル]を開き、[ネットワークの状態とタスクの表示]をクリックします。

Windows_7_x64

[アダプターの設定の変更]をクリックします。

Windows_7_x64 2

[ネットワーク接続]画面が開きますので、ネットワークインターフェースを右クリックし、[プロパティ]をクリックします。

Windows_7_x64 3

[(ネットワークインターフェース)のプロパティ]画面が開きます。[インターネットプロトコルバージョン4(TCP/IPv4)]をクリックして選択し、[プロパティ]ボタンをクリックします。

Windows_7_x64 4

 [インターネットプロトコルバージョン4(TCP/IPv4)のプロパティ]画面が開きます。[次のDNSサーバーのアドレスを使う]をクリックしてチェックし、[優先DNSサーバー]欄にdc1のIPアドレスを入力します。最後に[OK]ボタンをクリックします。

Windows_7_x64 5[(ネットワークインターフェース)のプロパティ]画面に戻りますので、[閉じる]ボタンをクリックします。

Windows_7_x64 6

では確認してみます。PowerShellを開き、ipconfig /allコマンドを入力します。ネットワークインターフェースの[DNS Servers]がdc1のIPアドレスになっていることを確認します。

Windows_7_x64 7

またnslookupコマンドで"dc1.ドメイン名"で名前解決が出来ることを確認します。

Windows_7_x64 8

ドメインコントローラの設定

dc2にリモートデスクトップ接続でログインし、画面左下の[サーバマネージャ]をクリックします。

Windows_7_x64

[サーバーマネージャー]画面が開きます。[役割と機能の追加]をクリックします。

Windows_7_x64 2

[役割と機能の追加ウィザード]画面が開きます。[次へ]ボタンをクリックします。

Windows_7_x64 9

[インストールの種類の選択]画面が開きます。[役割ベースまたは機能ベースのインストール]が選択されている事を確認し、[次へ]ボタンをクリックします。

Windows_7_x64 10

[対象サーバーの選択]画面が表示されます。[サーバープールからサーバーを選択]が選択されていることを確認し、サーバープール枠からdc2を選択します。[次へ]ボタンをクリックします。

Windows_7_x64 11

[サーバーの役割の選択]画面が表示されます。[Active Directory Domain Services]をクリックします。

Windows_7_x64 12

[Active Directory Domain Servicesに必要な機能を追加しますか?]という画面が表示されます。全部追加しますので、そのまま[機能の追加]をクリックします。

Windows_7_x64 7

[Active Directory Domain Services]にチェックが入ったことを確認し、[次へ]ボタンをクリックします。なおdc1と同様に、DNSサーバはドメインコントーラの構成時に一緒にインストールしてくれるので、ここでは選択しません。

Windows_7_x64 14

[機能の選択]画面が表示されますが、何も選択せず[次へ]をクリックします。

Windows_7_x64 15

[Active Directory ドメインサービス]画面が表示されます。[次へ]ボタンをクリックします。

Windows_7_x64 16

[インストールオプションの確認]画面が表示されます。[必要に応じて対象サーバーを自動的に再起動する]をチェックしておくと後は勝手に必要な再起動処理をしてくれるので、チェックしておきます。

Windows_7_x64 17

以下の画面が表示されますので[はい]をクリックします。

Windows_7_x64 12

[インストール]ボタンをクリックします。

Windows_7_x64 19

インストールが進行し、最後に以下の画面になります。[このサーバーをドメインコントローラーに昇格する]をクリックします。

Windows_7_x64 20

[配置構成]画面が表示されます。[既存のドメインにドメインコントローラーを追加する]が選択されていることを確認し、[ドメイン]の横にある[選択]ボタンをクリックします。

Windows_7_x64 21

 [Windowsセキュリティ]画面が表示されます。上の欄(ユーザー名)に、"ドメイン名¥administorator"(ここではsmokeymonkey.local¥administrator)と入力します。また下の欄(パスワード)には、dc1のadministratorのパスワードを入力します。何故ならdc1というWindowsサーバのローカルにいたadministratorのパスワードが、そのままドメインアドミニストレーターのパスワードになっているからです。入力後、[OK]ボタンをクリックします。

Windows_7_x64 22

[フォレストからのドメインの選択]画面が表示されます。ドメインコントローラを追加したいドメインが表示されていると思いますので、クリックして選択し、[OK]ボタンをクリックします。

Windows_7_x64 23

[配置構成]画面に戻りますので[次へ]ボタンをクリックします。

Windows_7_x64 24

[ドメインコントローラーオプション]画面が表示されます。[ドメインネームシステム(DNS)サーバー]と[グローバルカタログ(GC)]がチェックされていることを確認します。[ディレクトリ復元モード(DSRM)のパスワード]を設定し、[次へ]ボタンをクリックします。

Windows_7_x64 25

[DNSオプション]画面が表示されます。dc1と同様の警告が表示されますが、そのまま[次へ]ボタンをクリックします。

Windows_7_x64 26

[追加オプション]画面が表示されます。そのまま[次へ]ボタンをクリックします。

Windows_7_x64 27

[パス]画面が表示されます。そのまま[次へ]ボタンをクリックします。

Windows_7_x64 28

[オプションの確認]画面が表示されます。そのまま[次へ]ボタンをクリックします。

Windows_7_x64 29

[前提条件のチェック]画面が表示されます。dc1と同様の警告が表示されますが特に問題ありませんので、そのまま[インストール]ボタンをクリックします。

Windows_7_x64 30

インストールが終わると自動的に再起動されます。

インストール後の確認

では確認してみましょう。リモートデスクトップで接続しますが、ここで接続するユーザーは、ドメインアドミニストレーター(ドメイン名¥administorator)を指定します。パスワードは前述の通りdc1のadministratorのパスワードだったものです。

Windows_7_x64 31

そしてログインすると、言語設定がまた英語になっています...これは事前準備で言語設定をしたのはdc2というWindowsサーバのローカルアドミニストレーターであり、ドメインコントローラになったことでadministoratorはドメインアドミニストレーターという別のユーザーになっているためです。なので再度言語設定で日本語化しましょう。

では本題。インストール後再度リモートデスクトップ接続でログインし、[サーバーマネージャー]を開くと、"AD DS"と"DNS"の2つの役割が追加されています。

Windows_7_x64 32

またシステムのプロパティを見ると、ワークグループからドメインに変更されていることが分かります。

Windows_7_x64 33

DNSサフィックスも自動的に設定されています。

Windows_7_x64 34

もう1つ、自動的に設定が変わるところがあります。事前に参照先DNSサーバをdc1に設定していましたが、ドメインコントローラに設定変更することで、ループバックアドレス(127.0.0.1)が代替DNSサーバに設定されます。

Windows_7_x64 36

この状態だと名前解決のパフォーマンスが悪いので、優先DNSサーバをループバックアドレスに、代替DNSサーバをdc1に変更しておきましょう。

Windows_7_x64

また、[Active Directory サイトとサービス]画面を起動し、[Sites]-[Default-first-site-name]-[Server]を開くと、dc1と並んでdc2が追加されていることが分かります。また[dc2]-[NTDS Settings]を右クリックしてプロパティを開くと、以下のようにグローバルカタログになっていることが分かります。

Windows_7_x64 35

これでdc2がドメインの2台目のドメインコントローラとして構成されました。

dc1の参照DNSサーバの設定変更

今回の作業で、Active DirectoryのDNSサーバはdc1とdc2の2台になりましたが、dc1を設定したタイミングではまだdc1のみがDNSサーバであったため、dc1の参照先DNSサーバはループバックアドレス(dc1自身)になっています。耐障害性を考慮して、代替DNSサーバをdc2に変更しておきましょう。

Windows_7_x64 2

おわりに

次はdc1からdc2にFSMOの機能を移したいと思います。