Active Directory(AD)サーバーを構築します。
私は Active Directoryには詳しくないのですが、お仕事でいっちょ噛みすることになったので、自分のお勉強のために自宅でも ADサーバーを立ち上げることにしました。
これまで AD周りを扱ってこなかったのは、一気通貫した書籍が存在しているからです。
ぶっちゃけてしまうと、ここを読むより以下の本を買って欲しいと思います。
というか「仕事で扱うならお前も買えよ」という話でして、私も注文しようとしているところです。
ここから先は、私自身のお勉強の備忘録となっております。ご容赦ください。
言えるのは、使っているPCの買価と電気代以外は全部無料でここまでやってますよということだけ。
会社の PCは Active Directoryで管理されている人が殆どでしょうから、サーバーエンジニアとして、その管理側で使われているものに興味を持つ導入として真似てみて頂けると良いと思います。
1.環境
ADサーバーには Windows Server 2022 Standard Editionを使いますが、DataCenter Editionでも同じでしょう。
加えてドメインに参加するクライアントとして Windows Server 2022を 1つ作ります。
ADサーバー・クライアントともに VMware Workstation Playerの仮想マシン上にインストールすることとします。
よくありがちな設計として、ADサーバーにはこれから作るドメインの DNSサーバーもやらせます。
Windows Server 2022のインストールについては「Windows Server 2022 インストール」でやったものを使います。
ここでやるのはあくまで ADサーバーを味わう程度のもので、本番環境では ADサーバーを複数作り、保持しているデータをコピーし合うことで冗長性を持たせるのが当たり前の鉄板となっています。
そこまでやるのであれば、上記の書籍をあたるのがよろしいでしょう。
なおネットワーク的にはこんな感じになります。
これで [subrohouse.internal]ドメインのユーザー管理を ADサーバーでやろうって寸法です。
2.ADサーバー機能の追加
Windows Server 2022を ADサーバーにするには ADサーバーの機能追加というのをします。
Windows Server 2022のインストール後に [administrator]ユーザーでログオンするとサーバーマネージャが自動的に立ち上がってきますよね。
[②役割と機能の追加] をクリックします。
次へを押します。
[役割ベースまたは機能ベースのインストール] を選択し、次へを押します。
自分自身のマシン名(ここでは [Win2022AD])が選ばれた状態になっていますので、次へを押します。
[Active Directory ドメイン サービス] をチェックします。
チェックしようとするとこの画面になりますので、[管理ツールを含める(存在する場合)] にチェックを入れ、機能の追加を押します。
この画面に戻ります。
[Active Directory ドメイン サービス] をチェックがされました。
次へを押します。
特に何も選ぶ必要もありません。
次へを押します。
次へを押します。
どうせ後で再起動しないといけないので [必要に応じて対象サーバーを自動的に再起動する] にチェックし、インストールを押します。
待ちます。
インストールが完了すると、右上の方の🚩マークのところに⚠マークが出るので、それを右クリックし、[このサーバーをドメイン コントローラーに昇格する]リンクをクリックします。
これから新規に ADドメインを作りますので [新しいフォレストを追加する] を選択し、[ルート ドメイン名] にドメイン名を入れます。
[.internal][.local]というように、1階層しかないとダメなようでした。
次へを押します。
[フォレストの機能レベル][ドメインの機能レベル] は Windows Server 2022で選べるものの中では [Windows Server 2016] が最新です。
バージョンの違う Windows Serverの ADサーバー同士でデータの同期(レプリケーションコピー)をするにはこれを合わせておく必要があります。
新しいバージョンの方が機能拡充されています。
このサーバーには DNSサーバーもやらせますので [ドメイン ネーム システム (DNS) サーバー] にチェックを入れ、
[ディレクトリ サービス復元モード (DSRM) のパスワードを入力してください] にパスワードを設定します。
次へを押します。
[DSRM]とは ADサーバーの障害時にリカバリを行う方法の 1つだそうですが、よ〜分かりません。
ただ、大事なパスワードなので、忘れないようにどこかに書いておきましょう。
次へを押します。
[NetBIOSドメイン名:] はちょっと待ってると自動的に入ります。
次へを押します。
ADのデータを格納するフォルダです。
デフォルトのままにしました。
次へを押します。
これまで選択したもののサマリです。
次へを押します。
ワーニングが出ていますが、大丈夫です。
インストールを押します。
待ちます。
先に再起動するように設定したので自動的に再起動します。
再起動後はこの通り、ドメインにログオンする形の画面になりました。
[administrator]ユーザーでログオンしてみてください。
ADサーバーに [administrator]ユーザーでログオンするのは、[subrohouse.internal]のドメインユーザーである [administrator@subrohouse.internal]ユーザーでログオンするのと同義であるようです。
スタートメニューから [Windows 管理ツール] − [コンピューターの管理] を選ぶと [ユーザーとグループ] という箇所があります。
ADサーバーではなかった時は、ここでローカルユーザーを作れたのですが [ユーザーとグループ] が表示されなくなっていました。
3.ドメインユーザー登録
[subrohouse.internal]ドメインのユーザー [subro] を新規に作ります。
ドメインユーザーの表記は [subro@subrohouse.internal] のように書くようです。
[Win2022AD]サーバーの作業です。
スタートメニューより、[Windows 管理ツール] - [Active Directory ユーザーとコンピューター] を選択します。
この画面になりますので、左ペインの [Users] を選び、(ちょっと分かりにくいのですが)上の方のアイコンが並んでいる列から、人のマークに+がくっついているアイコンを押します。
[姓:][名:][イニシャル:] は好きに入れてください。
[ユーザー ログオン名:] が実際のドメインユーザー名になります。
[ユーザー ログオン名 (Windows 2000 より前):] は自動的に入りました。
次へを押します。
パスワードを設定します。
デフォルトでは [ユーザーは次回ログオン時にパスワード変更が必要] のみにチェックが入っていました。
私は面倒くさいのでこのように変えてしまいましたが、本番でそういうことはやめましょう。
次へを押します。
完了を押します。
一番下に [subro]ユーザーができました。
[Win2022AD]サーバーの(ローカル)ユーザーではなく、[subrohouse.internal]ドメインのユーザーです。
4.クライアントPCをドメインに参加させる
クライアントPCとして用意した [Win2022CLI] での作業です。
ドメイン参加する時に DNSを使ってADサーバーを見つけることができないといけないようですので、参照する DNSサーバーを [Win2022AD]サーバーに作った DNSサーバーに変更します。
[administrator]ユーザーでログオンして、サーバーマネージャーが上がってきましたら、左ペインで [ローカル サーバー] を選択し、IPアドレス(この絵では [192.168.1.111])をクリックします。
出てきたネット−ワークインターフェイス(この絵では [Ethernet0])をダブルクリックします。
プロパティを押します。
(ここでは IPv6は無視しています)
[インターネット プロトコル バージョン 4 (TCP/IPv4)]をダブルクリックします。
[次の DNS サーバーのアドレスを使う] で、[優先 DNS サーバー] の IPアドレスを ドメイン用 DNSサーバーが動いている [Win2022AD] サーバーのものに変えます。
OKを押します。
閉じるを押します。
閉じるを押します。
コイツは[×]で閉じてしまいます。
次はドメインに参加させます。
サーバーマネージャーで [WORKGROUP](青字) をクリックします。
変更を押します。
[所属するグループ] に [ドメイン] を選択し、ドメイン名 [subrohouse.internal] を入力して、OKを押します。
ドメインユーザー [administrator@subrohouse.internal] のパスワード、これは変えていなければ [Win2022AD]サーバーをインストールした際の [administrator]ユーザーのパスワードのことですが、それを入れましょう。
OKを押します。
OKを押します。
OKを押します。
閉じるを押します。
今すぐ再起動するを押します。
再起動が終わると、この画面になります。
左下のアイコンで [他のユーザー] を選択し、ドメインユーザーの [subro@subrohouse.internal] でログオンしようと思います。
ユーザー名は [subro] のみで OK。
メインユーザーの [subro@subrohouse.internal] を作った時にせっていしたパスワードでログオンできます。
[Win2022CLI] に [subro]ユーザーを作った覚えはありませんが、ちゃんとログオンできています。
ADサーバーと連携して、ドメインユーザーでログオンしていることを意味します。
5.おまけ:DNSサーバーの登録内容
[Win2022AD]サーバーで、DNSサーバーの登録内容を見てみましょう。
スタートメニューより、[Windows管理ツール] - [DNS] を選択します。
こんな画面になりますので、左ペインのツリーで
[DNS] - [Win2022AD] - [前方参照ゾーン] - [subrohouse.internal] を選択します。
[Win2022CLI] が多分ドメイン参加時に自動的に登録されていて、IPアドレス [192.168.1.111] に名前解決できるようになっていました。
次は左ペインのツリーから、[DNS] - [Win2022AD] を選択します。
右ペインに [フォワーダー] があるのでそれをクリックします。
[Win2022AD]サーバーをインストールした時に設定していた元々の DNSサーバーの IPアドレスが設定されていました。
説明を読むとわかってもらえると思いますが、絵で言うとこの部分を叶えてくれるのがフォワーダーの設定です。
次は IPアドレスからマシン名を取れる「逆引き」の設定を見てみます。
[逆引き参照ゾーン] をクリックしましたが空でした。
こちらは自動登録されませんでした。
作ります。
右ペインで [逆引き参照ゾーン] を右クリックすると出てくるメニューから [新しいゾーン] を選択します。
なにこれ? 最初からそう言って欲しい。
改めてウィンドウのメニューから [操作] - [新しいゾーン] を選択します。
次へを押します。
ADサーバーは 1台しか無いので多分デフォルト設定がこうなんだと思います。
[プライマリゾーン] を選択し、[Active Directory にゾーンを格納する]にチェックして、次へを押します。
これもデフォルトだったと思いますが、[このドメインのドメイン コントローラー上で実行しているすべての DNSサーバー] を選択し、次へを押します。
ここでは IPv6は無視していますので、[IPv4 逆引き参照ゾーン] を選択し、次へを押します。
このゾーンに登録するのは [192.168.1.0/24] の IPアドレスの範囲なので、[ネットワーク ID] に以下のように入力し、次へを押します。
これもデフォルトだったと思いますが、[セキュリティで保護された〜] を選択し、次へを押します。
完了を押します。
逆引き参照ゾーンが作成されました。
後日 [Win2022AD]サーバーと [Win2022CLI]を再起動したところ、こちらも [Win2022CLI] が自動的に登録されていました。
どのタイミングかちょっと捉えられなかったのですが、主導で登録しなくても良さげです。
==========
AD環境構築や管理という面では、本当の触りの触りってところで、コレだけで何か良いことがあるかというとそうでもありません。
ただこれがスタート地点であることは間違いないので、ADのお勉強としてまずはやってみることが必要かなと。
会社員として働いていた頃に自分で使っていた会社PCでは、AD管理により様々な利用制限制限が加えられており、あれが「グループポリシー」によるものであったのだと思います。
今回せっかくこうして小さいながらも AD管理側と管理される側の OS環境が手元にできたので、いずれ AD管理する側を味わってみたいと思っています。
でもここから先は体系的なお勉強を先にやった方が効率が良いように思いますね。
ケチってブログをつまみ食いするのは良くなくて、やっぱりこの本が必須です。