Active Directoryへのドメイン参加 — 企業でよくあるWindows/M365環境を構築してみるシリーズ Part6

この記事の内容

  • 既存のドメインコントローラー(DC01)の正常性確認方法(dcdiag / repadmin
  • 2台目のWindows Serverを追加してActive Directoryドメインへ参加させる手順
  • ドメイン参加時のDNS設定の重要性
  • Active Directoryユーザーとコンピューター(ADUC)でのオブジェクト確認
  • ドメインユーザーとローカルユーザーの違いと、ドメイン参加後のサインイン方法

はじめに

前回はドメインコントローラー(DC01)を1台構築しました。今回はそのDC01が正常に動作しているかを確認した上で、2台目のドメインコントローラー候補となるWindows Server(DC02)を追加し、Active Directoryドメインへ参加させるまでの手順を解説します。

次回はこのDC02をドメインコントローラーへ昇格させる手順を紹介予定です。

ドメインコントローラーの正常性確認

何か問題が発生したとき、「もともと壊れていたのか、追加したら壊れたのか」を切り分けることは非常に重要です。そのため、新しいサーバーを追加する前には必ず現状の正常性を確認しておきましょう。

dcdiag /v による確認

dcdiagコマンドを使うと、ドメインコントローラーに関する多数のテストを自動実行し、結果を一覧で表示してくれます。

dcdiag /v

実行するとたくさんの出力が流れますが、各テスト項目に対して「合格(passed)」や「失敗(failed)」が表示されます。以下のようなテストが実行されます。

  • 接続性テスト(Connectivity)
  • 広告テスト(Advertising)
  • FRS/KCCイベントのテスト
  • システムログの確認
  • DNS参照の確認
  • など多数

すべて合格であれば、ドメインコントローラーは正常に動作していると判断できます。暇があれば定期的に実行しておくことをおすすめします。

repadmin による複製状況の確認

2台以上のドメインコントローラーがある環境では、repadminコマンドで複製(レプリケーション)の状態も確認します。

repadmin /replsummary

1台構成の今は特に意味はありませんが、エラーが出ないことの確認として実行しておくと安心です。

2台目のWindows Serverの追加

DC01の正常性が確認できたので、次にDC02となる新しいWindows Serverを追加します。

仮想マシンの作成

手動でやる場合は「新規仮想マシン」として作成します。IaC(Infrastructure as Code)を使っている場合は、Ansibleなどのプレイブックを実行するだけで展開できます。

ansible-playbook create_vm.yml

コードによる展開はサーバー追加が非常に手軽になるため、ぜひ活用してみてください。

DNSの設定(重要)

DC02を作成する際、DNSサーバーのアドレスとして既存のDC01を指定することが非常に重要です。

DNS:<DC01IP>

ドメインに参加する際、WindowsはDNSを使ってドメイン名からドメインコントローラーを探します。既存のドメインコントローラー(DC01)がDNSサーバーを兼ねているため、DC02のDNS設定にDC01を指定しておかないと、後のドメイン参加処理が失敗します。

ドメイン参加の仕組みを理解する

ドメイン参加の操作に入る前に、Active Directoryユーザーとコンピューター(ADUC)を使って現在の状態を確認しておきましょう。

ADUCでオブジェクトを確認する

ADUCはActive Directoryのデータベースを視覚的に確認できるツールです。DC01にサインインして確認すると、以下のような構造が見えます。

  • Domain Controllers OU:DC01だけが存在している
  • Computers コンテナ:現時点では空(まだ参加済みのコンピューターがない)
  • Users コンテナ:Administratorなどのユーザーが存在している

DC02がドメインに参加すると、Computersコンテナの中にDC02のコンピューターオブジェクトが作成されます。

なぜコンピューターオブジェクトが必要なのか

Active Directoryの世界では、ドメイン内の各コンピューターがコンピューターオブジェクトとして登録されていることで「仲間のサーバー」として認識されます。コンピューターオブジェクトがなければ、そのサーバーはドメインのリソースを信頼して利用することができません。

ドメイン参加とは、このコンピューターオブジェクトをActive Directoryに作成し、「このサーバーはドメインのメンバーである」という登録を行う操作です。

ドメイン参加の手順

GUI(システムのプロパティ)からの参加

  1. DC02にサインインし、エクスプローラーで「PC」を右クリックして「プロパティ」を開きます
  2. 「システムの詳細設定」「コンピューター名」タブ「変更」 をクリックします

現在の状態では「ワークグループ: WORKGROUP」に所属しています。ワークグループは家庭内LAN向けの緩やかなグループ管理の仕組みで、Active Directoryに比べると機能的に限定的です。

  1. 「コンピューター名」を dc02 に変更し、「ドメイン」を選択してドメイン名を入力します
:youtube.ebisuda.com
  1. OK をクリックすると、Windowsがドメインコントローラーの検索を開始します

この検索はDNSを使って行われます。入力したドメイン名でDNSを問い合わせると、DC01が管理するDNSゾーン内にドメインコントローラーの場所を示すSRVレコードが登録されており、そこからドメインコントローラーを特定します。

参加時の認証

ドメインへの参加には、参加させる権限を持つアカウントの資格情報が必要です。ここではドメインの管理者アカウント(Administrator)のユーザー名とパスワードを入力します。

認証が成功すると「ようこそ youtube.ebisuda.com ドメインへ」というメッセージが表示され、ドメイン参加が完了します。

  1. 再起動を求められるので、再起動を実行します

ドメイン参加後の確認

再起動後、ADUCをDC01側で確認すると、Computersコンテナ内にdc02が表示されていることが確認できます。DC02がドメインメンバーとして登録されたことになります。

DC02のコンピューターオブジェクトのプロパティでは、OSのバージョン(例:Windows Server 2022 Datacenter)なども確認できます。

ドメインユーザーでサインインする

ドメイン参加後は、ドメインのユーザーでDC02にサインインできるようになります。ここで注意が必要なのが、ローカルAdministratorとドメインAdministratorの使い分けです。

ローカルユーザーとドメインユーザーの違い

  • ローカルAdministrator:DC02というサーバー内にのみ存在し、そのサーバーにしか権限を持たないアカウントです
  • ドメインAdministrator:Active Directory上で管理されており、ドメイン内すべてのコンピューターに対して利用できるアカウントです

サインイン画面で単に「Administrator」と入力すると、ローカルユーザーが優先されることがあります。ドメインユーザーで明示的にサインインするには、以下の形式で入力します。

youtube\Administrator

または

Administrator@youtube.ebisuda.com

前者の ドメイン名\ユーザー名 という形式は「Windows 2000以前の形式(下位互換形式)」と呼ばれる古い書き方ですが、現在でもサインイン時に広く使われています。

ドメイン参加のメリット

ドメイン参加することで、以下のような利点が得られます。

  • ユーザーの一元管理:Active Directory上のユーザーアカウントを、ドメイン内すべてのコンピューターで共通して利用できます
  • 認証の集約:個々のサーバーにローカルアカウントを作らなくてよくなります
  • グループポリシーの適用:ドメイン全体への設定を一括で配布できます

これはActive Directoryの非常に大きなメリットの1つです。

まとめ

今回は以下の内容を解説しました。

  • dcdiag /v でドメインコントローラーの正常性を確認する方法
  • 新しいWindows Serverを追加する際にDNSサーバーとして既存のドメインコントローラーを指定することの重要性
  • GUIからドメイン参加を行い、Active DirectoryのComputersコンテナにコンピューターオブジェクトが作成されることの確認
  • ドメイン参加後のローカルユーザーとドメインユーザーの使い分け

次回は、今回追加したDC02をドメインコントローラーへ昇格させる手順を紹介します。ぜひチャンネル登録してお待ちください。