Active Directory 構築解説 — 企業でよくあるWindows / M365環境を構築してみる Part5
この記事の内容
- Active Directory ドメインサービス(AD DS)とは何か、なぜオンプレミス環境で必要なのかを解説します
- Windows Server へのAD DSロール追加から、ドメインコントローラーへの昇格までの手順を紹介します
- フォレスト・ドメイン・機能レベルなどの重要概念についても触れます
- ドライブ設計やDNSとの関係など、実運用で重要なポイントを解説します
- 冗長化(ドメインコントローラーを2台以上構成すること)の必要性についても説明します
シリーズの概要と前提環境
このシリーズは、企業で一般的に使われているWindowsサーバーおよびMicrosoft 365環境を実際に構築しながら解説していくものです。冗長化なども考慮した「現場でそのまま使えるレベル」を目指しています。
Part4までで、物理サーバー(Lenovo ThinkSystem SE350)上にNested Hyper-Vを有効化した仮想マシンを作成し、Ansibleを使って仮想マシンの展開やネットワーク設定を自動化できる下準備が整いました。Part5からはいよいよ本題に入ります。
Active Directoryとは
Active Directory(AD)は、主にWindowsサーバーやクライアントをまとめて管理するためのディレクトリサービスです。ユーザー、グループ、コンピューターなど、組織内のさまざまなリソースをディレクトリに登録し、一元管理することができます。
オンプレミスのWindows環境においては、Active Directoryはほぼ必須の存在です。ただし、その概念を完全に理解するには相応の学習が必要です。主要な学習項目だけでも相当な量があり、実際の現場管理者でなければ聞き慣れない用語が多く並びます。本シリーズでは「まず作って、動かしながら理解する」というアプローチで進めていきます。
また、Active Directoryにはいくつかの種類がありますが、今回はその基本となる**Active Directory ドメインサービス(AD DS)**を構築します。
Active Directoryの各サービスについて
Windows Serverのロール一覧には、AD関連として以下のものが並んでいます。
| サービス名 | 現在の推奨状況 |
|---|---|
| Active Directory ドメインサービス(AD DS) | 現在でも主力。オンプレミスでは必須 |
| Active Directory フェデレーションサービス(AD FS) | 非推奨。クラウド化が進み今から入れるべきではない |
| Active Directory Rights Management Services(AD RMS) | 非推奨。クラウド版への移行が進んでいる |
| Active Directory ライトウェイトディレクトリサービス(AD LDS) | 場合によっては使用する |
| Active Directory 証明書サービス(AD CS) | 現在でも利用する組織が多い |
AD FSとAD RMSは今から新規に構成することは推奨されません。今回はAD DSに集中します。
今回の構成目標
今回は dc01 という名前の新しいWindows Server仮想マシンを1台作成し、そこにAD DSをインストールしてドメインコントローラーとして昇格させます。
仮想マシンの展開
Ansibleのプレイブックを使って dc01 を展開します。
ansible-playbook -i inventory create-vm.yml
変数として以下を設定しています。
type: windows
name: dc01
cpu: 2
memory: 4GB
network_ip: 10.1.1.1
netmask: 255.255.255.0
gateway: 10.1.1.254
dns: 構成後に自分自身
switch: internal-switch
source_vhdx: gold-image.vhdx
dest_vhdx: dc01.vhdx
computer_name: dc01
展開が完了したら、dc01に接続してActive Directoryの構成を進めます。
AD DSロールの追加
サーバーマネージャーから役割と機能を追加します。
- サーバーマネージャーを開く
- 「管理」→「役割と機能の追加」を選択
- インストールの種類:「役割ベースまたは機能ベースのインストール」を選択
- 対象サーバーとして
dc01を選択 - サーバーの役割から「Active Directory ドメインサービス」にチェックを入れる
- 関連する管理ツールの追加を求めるダイアログが出るので「機能の追加」をクリック
- 以降は「次へ」で進み、「インストール」をクリック
AD DSをインストールすると、以下のツール群が自動的に追加されます。
- グループポリシーの管理
- リモートサーバー管理ツール
- Active Directory管理センター
- Active Directory ユーザーとコンピューター(スナップイン)
- コマンドラインツール群
- Active Directory PowerShellモジュール
インストール完了後、まだドメインコントローラーになったわけではありません。次のステップで昇格作業が必要です。
ドメインコントローラーへの昇格
インストール完了後、通知バーに「このサーバーをドメインコントローラーに昇格する」というリンクが表示されます。これをクリックするとウィザードが起動します。
フォレストとドメインの概念
ウィザードの中で「フォレスト」と「ドメイン」という概念が登場します。
- フォレスト: Active Directory全体の最上位の管理境界。一つのフォレストの中に複数のドメインを持てる
- ドメイン: フォレストの中に含まれる管理単位。ユーザーやコンピューターはドメインに所属する
今回は一から環境を作るため、「新しいフォレストを追加する」を選択し、その中に最初のドメインを作成します。
ルートドメイン名について
ドメイン名の命名には注意が必要です。
かつての推奨(現在は非推奨):
.local などのインターネット上に存在しないドメイン名を使うことが推奨されていた時代がありました。
現在の推奨:
インターネット上に実際に存在するドメイン名のサブドメインを使用することが推奨されています。Azure Active Directory(Microsoft Entra ID)との同期を行う場合、UPNサフィックス(user@example.com 形式)がインターネット上のドメイン名でないと連携が困難になるためです。
今回の動画では youtube.ebisuda.com をルートドメイン名として使用します。
ドメインコントローラーのオプション設定
| 設定項目 | 選択内容 | 説明 |
|---|---|---|
| フォレストの機能レベル | Windows Server 2016 | 最新を選択。後方互換が必要な場合は古いバージョンも選択可 |
| ドメインの機能レベル | Windows Server 2016 | 同上 |
| DNSサーバー | 有効(チェックあり) | AD DSはDNSが必須。同じサーバーにインストールするのが王道 |
| グローバルカタログ | 有効(変更不可) | 最初のドメインコントローラーは必須 |
| 読み取り専用DC(RODC) | 無効(変更不可) | 1台目は書き込み可能DCである必要がある |
ディレクトリサービス復元モード(DSRM)のパスワードも設定します。これは障害発生時やバックアップ復元時に使用する特別なパスワードで、通常は使用しないものです。忘れないよう確実に管理しておきます。
DNSの委任について
今回の構成では、ebisuda.com のDNSサーバーから youtube.ebisuda.com への委任設定が事前にされていないため、ウィザードで警告が出ます。これは後で手動で設定するため、そのまま進めます。
NetBIOSドメイン名
youtube.ebisuda.com に対して、NetBIOSドメイン名として YOUTUBE が自動的に割り当てられます。これは古い形式のユーザー名表記(YOUTUBE\username)で使用されます。現在では主に下位互換性のために存在しますが、管理者としては把握しておく必要があります。
現在ではUPN形式(username@youtube.ebisuda.com)がメインで使われます。
ディスク設計について
AD DSのデータベース、ログファイル、SYSVOLの保存先を指定する画面で、重要な設計ポイントがあります。
推奨しない構成:
推奨する構成:
CドライブはOSが動作するドライブであり、Windowsアップデートやセキュリティパッチの適用によって徐々に容量が増加します。データやログファイルをCドライブに置くと、長期運用の中でディスクがいっぱいになり、OSが正常に動作しなくなるリスクがあります。
なお、クラウド(Azure等)では D: ドライブが一時ドライブとして予約されている場合があるため、E: 以降を使うことをおすすめします。
今回はHyper-Vで仮想ハードディスクを追加し、E: ドライブを作成してそこにAD DSのデータを配置します。
PowerShellによる自動化
ウィザードの最終画面では、選択した設定をPowerShellスクリプトとして出力することができます。
Import-Module ADDSDeployment
Install-ADDSForest `
-DomainName "youtube.ebisuda.com" `
-DomainNetbiosName "YOUTUBE" `
-ForestMode "WinThreshold" `
-DomainMode "WinThreshold" `
-InstallDns:$true `
-DatabasePath "E:\Windows\NTDS" `
-LogPath "E:\Windows\NTDS" `
-SysvolPath "E:\Windows\SYSVOL" `
-Force:$true
複数台のドメインコントローラーを一度に構成するような場合は、このスクリプトやAnsibleと組み合わせた自動化が有効です。
昇格の実行と確認
前提条件チェックに合格したら「インストール」をクリックします。インストール完了後、サーバーが自動的に再起動します。
再起動後、ログイン画面でユーザー名が YOUTUBE\Administrator になっていれば、ドメインコントローラーへの昇格が成功しています。
コマンドプロンプトで確認します。
whoami
whoami の出力がNetBIOSドメイン名 youtube を含む形式になっていれば、Active Directoryドメインとして正常に動作しています。
Azure Active Directory(Microsoft Entra ID)との関係
ウィザードの途中に、Azure Active Directory(現:Microsoft Entra ID)についての説明が表示されます。
- オンプレミスAD DS: WindowsサーバーやPCを管理するディレクトリサービス
- Azure AD(Microsoft Entra ID): クラウドベースの独立したディレクトリサービス
これらは独立して存在できますが、Azure AD Connectを使うことでオンプレミスのAD DSとAzure ADを同期することができます。
今後の組織設計については、クラウドネイティブな方向(Azure ADのみ)も十分に選択肢になります。ただし、すでにオンプレミスADが稼働している多くの企業では、AD DSは引き続き使われており、このシリーズでも段階的にハイブリッド環境の構成まで進めていく予定です。
まとめ
今回は、Windows ServerにActive Directoryドメインサービスをインストールし、ドメインコントローラーへ昇格させる手順を解説しました。
- AD DSはオンプレミスのWindows管理においてほぼ必須のサービスです
- フォレスト・ドメイン・機能レベルなど、固有の概念を理解しながら進めることが重要です
- ドメイン名は現在の推奨に従い、インターネット上に実在するドメインのサブドメインを使用します
- Cドライブへのデータ配置は避け、別ドライブを用意するのがベストプラクティスです
- DNSサーバーはAD DSと同じサーバーにインストールするのが王道です
次回は、ドメインコントローラーの正常性確認を行い、冗長化のために2台目のドメインコントローラーを追加する手順を解説する予定です。ドメインコントローラーは最低2台構成が必須であることを覚えておいてください。