Active Directoryへ2台目のドメインコントローラーを追加する

この記事の内容

  • 既存のActive Directory環境に2台目のドメインコントローラーを追加する手順を解説します
  • Active Directoryサイトの概念と役割について説明します
  • ドメインコントローラー昇格直後に発生するエラーの見方と対処法を紹介します
  • dcdiag コマンドを使った診断の方法と注意点を解説します
  • ドメインコントローラー追加後に絶対にやってはいけないことを説明します

前提環境

本記事では、すでに1台目のドメインコントローラー(DC01)が稼働しているWindows Server Active Directory環境に、2台目のサーバー(DC02)をドメインコントローラーに昇格させる手順を解説します。DC02はあらかじめドメインへのメンバーサーバーとして参加済みの状態からスタートします。

役割と機能の追加

DC02に対して、Active Directoryドメインサービス(AD DS)の役割を追加します。手順はDC01を構築した際と同様です。サーバーマネージャーから「役割と機能の追加」ウィザードを起動し、Active Directoryドメインサービスを選択してインストールします。

ドメインコントローラーへの昇格

AD DSのインストールが完了したら、ドメインコントローラーへの昇格ウィザードを起動します。ここで重要な選択肢があります。

ウィザードには以下の3つの選択肢が表示されます。

  • 新しいフォレストを追加する
  • 既存のフォレストに新しいドメインを追加する
  • 既存のドメインにドメインコントローラーを追加する ← 今回はこちら

すでにActive Directoryが存在する環境に2台目のドメインコントローラーを追加したい場合は、必ず「既存のドメインにドメインコントローラーを追加する」を選択してください。

操作を実行するための資格情報には、Domain Adminsなど最強権限を持つアカウントを使用します。

ドメインコントローラーオプションの設定

次の画面では、以下の項目を設定します。

  • ドメインネームシステム(DNS)サーバー: チェックを入れる
  • グローバルカタログ(GC): チェックを入れる
  • ディレクトリサービス復元モード(DSRM)パスワード: 1台ごとに個別に設定が必要なため、このタイミングで入力する

Active Directoryサイトについて

ウィザードの途中でサイトを選択する画面が表示されます。ここでActive Directoryの「サイト」という概念を説明します。

サイトとは

サイトとは、物理的なネットワークの場所を表す論理的な区画です。たとえば「東京オフィス」「大阪オフィス」のように複数のサイトを作成し、どのサブネットがどのサイトに属するかを定義できます。

サイトを使うメリット

クライアントは自分が属するサイトを認識でき、そのサイト内にいるドメインコントローラーに優先的にログイン要求を送ります。これにより、地理的に近いドメインコントローラーへの自動ルーティングが実現します。

また、サイトが複数ある場合は、同じサイト内では頻繁にレプリケーションを行い、別サイトへのレプリケーションはまとめて夜間に行うなど、レプリケーショントポロジのコントロールが可能になります。

今回の環境

今回はサイトが1つだけ(Default-First-Site-Name)存在する構成のため、サブネットの定義は行わず、デフォルトのサイトをそのまま使用します。

レプリケーション元の指定

続いて、初期データをどのドメインコントローラーからレプリケートするかを指定する画面があります。現時点では1台しかないためどちらを選んでも結果は同じですが、複数台構成や複数サイト構成になった場合には、この設定がレプリケーション効率に影響します。

パスの確認とディスク設定

ADのデータベース、ログファイル、SYSVOLのパスを確認します。専用のドライブを用意しておくことが推奨されます。今回はウィザード内で新しいシンプルボリュームを作成してから設定を進めます。

設定が完了したらウィザードを完了させます。処理が終わると自動的に再起動されます。

昇格の確認

再起動後、サーバーマネージャーやActive Directoryサイトとサービスを確認します。

  • Active Directoryサイトとサービスを開くと、Default-First-Site-Name の中にDC02が追加されていることが確認できます
  • Active Directoryユーザーとコンピューターを開くと、DC02がコンピューターのOUからドメインコントローラーのOUへ移動していることが確認できます

これでDC02がドメインコントローラーとして認識されたことが確認できました。

dcdiag による診断

昇格直後に診断コマンドを実行してみましょう。

dcdiag /test:replications

または包括的なテストとして以下を実行します。

dcdiag

昇格直後はエラーが出る

dcdiagを実行すると、昇格直後はさまざまなエラーが表示されます。たとえば以下のようなものが出ることがあります。

  • DFS Replicationのイベントログエラー
  • レプリケーションサービスが利用できない
  • ドメインシステムボリュームの共有が設定されていない
  • 名前解決のエラー
  • 時刻同期の設定が未完了

これらのエラーは、ドメインコントローラーになったばかりの状態では正常な挙動です。 昇格直後はレプリケーションの準備や各種初期処理が走っており、それが完了するまでの間はこのような状態になります。

dcdiagの結果の読み方

注意が必要なのは、dcdiagの最後の行に「テストに合格しました」と表示されたとしても、その上の部分に多数のエラーが出ている場合があることです。

DC02passedtestConnectivity

最終行の合格表示だけを見て「大丈夫」と判断してはいけません。必ず出力全体を確認し、上の方に記録されているエラーや警告もすべて確認してください。

レプリケーション状態の確認

repadminコマンドでレプリケーションの状態を確認できます。

repadmin /showrepl

DC01からDC02への各パーティション(ドメインパーティション、スキーマパーティション、設定パーティションなど)のレプリケーションが成功しているかを確認します。レプリケーション自体はうまくいっていることが確認できる場合もあります。

ドメインコントローラー追加後の重要な注意事項

絶対にやってはいけないこと

ドメインコントローラーの追加後、エラーが出ている状態でそのまま次のドメインコントローラーを追加することは絶対に避けてください。

たとえば4台のドメインコントローラーを追加する計画がある場合、エラーが解消されないまま次々と追加してしまうと、ドメイン全体が壊れるレベルの障害につながりかねません。

正しい進め方

  1. ドメインコントローラーを1台追加する
  2. 昇格直後はエラーが出るので、しばらく待つ(目安として1日程度)
  3. 時間が経過してもエラーが残っているものを確認する
  4. 残ったエラーに対して個別に対処する
  5. すべてのエラーが解消されたことを確認してから次の作業へ進む

時間を置くことの重要性

ドメインの構成変更は大きな変化を伴います。システムが自律的に修復できる処理もありますが、それには時間がかかります。すぐに対処しても解決しないエラーと、手動で対処が必要なエラーを見極めるためにも、まず1日程度待つことを強くおすすめします。

今回の環境で発生しているDNS解決エラーや時刻同期の設定不備などは、手動での対応が必要なものになります。これらは次回以降の動画でトラブルシューティングを行います。

まとめ

本記事では、既存のActive Directory環境に2台目のドメインコントローラーを追加する手順を解説しました。

  • 既存ドメインへの追加には「既存のドメインにドメインコントローラーを追加する」を選択します
  • Active Directoryサイトは物理的なネットワーク場所を表す概念で、レプリケーション制御やクライアントの最適ルーティングに活用されます
  • ドメインコントローラー昇格直後はエラーが多数発生しますが、これは初期処理中のため正常な挙動です
  • dcdiagの最終行の「合格」表示だけを見て安心せず、出力全体を必ず確認してください
  • エラーが解消されるまで次の作業へ進んではいけません。まず1日程度待ち、残ったエラーに対処してから次のステップへ進むことが、Active Directory管理における鉄則です

ドメインコントローラーの管理は慎重に、一つひとつ確認しながら進めることが非常に重要です。