初めてのWindows Server 2008R2(Active Directory編):AD DS(Active Directory Domain Service)のセットアップ

WindowsServer2008R2

ファイル共有を目的としてWindows Serverを導入した場合、Active Directory(AD)を利用しないということはまずありえない。

ここまでは、WORKGROUPサーバーとしての簡単な設定手順を書いたが、全ての役割と機能を削除して、ADを入れてみた。
ADは、Windows Server 2008R2では、複数の役割に分割されている。最初にAD DSを導入しなくてはならない。

ネットワークの設定変更

コンピュータ名(hq-fs01)の設定、静的IPアドレスの設定(以下の例では、192.168.11.2)は済ませてあるとする。

DNS(正確には、ADの情報を格納するためのDynamicDNS)が一緒にインストールされるので、サーバーのDNSを変える。
「ネットワークと共有センター」を開く。

「アダプターの設定変更」で「ネットワーク」を選択して右クリック。プロパティーを表示する。

IPv4の「プロパティー」を選び、DNSに自分自身のアドレスを設定する。

AD DSのインストール

「役割の追加」から「Active Directoryドメインサービス」を選択する。

「次へ」を押してインストールする(途中で「.NET framework3.5の機能の追加」を聞かれるので、それもインストールする)。

「サーバーマネージャー」で「役割」を開く。

ここで、「Active Directory ドメインサービス」をクリックする。

Active directoryドメインサービス ウィザード(dcpromo.exe)を実行してください」と表示されるので、コマンドプロンプトでdcpromoを実行する。すると、以下の画面が出てくる。

「次へ」を押していくと以下の画面が出るので、「新しいフォレストに新しいドメインを作成する」を選択する。

「フォレスト ルート ドメイン名」には、ルートのFQDN(eranger.local)を入れ、「次へ」を押す。

「フォレストの機能レベル」では、デフォルトのwindows server2003を設定したが、案件ごと(周辺のADとの関係を考慮して)に決める必要がある。

ドメインの機能レベル」では、Windows2008R2を選択したが、これも案件ごとに決める必要がある。

「追加ドメインコントローラーのオプション」では、DNSがチェックされていることを確認する。

以下の確認がくるので、「はい」を選択する。

以下はデフォルトのままとした。

次に、ADを復元する際のパスワードを聞かれる。サーバーのAdminのパスと同じでもOKなので、それを設定した。

これでインストールは終了。設定をエクスポートできるので、適当にエクスポートする。
ここで、ドメインのNetBIOS名が設定される。

設定には、数分間かかる。

設定が完了すると以下の画面になる。

完了ボタンを押すと再起動を聞かれるので、再起動する。

再起動すると、以下の嫌なエラーが表示されるが、とりあえず無視。(確認後に再起動すると出なくなる)

NTPの設定

ここでは、外のサーバーに対して設定する(ファイアウォールがある場合には注意する)。
コマンドプロンプトから以下のコマンドを実行

w32tm /config /manualpeerlist:ntp.jst.mfeed.ad.jp /syncfromflags:manual /reliable:yes /update

WindowsTimeサービスを再起動する。

net stop w32time & net start w32time

Windows Time サービスを停止中です.
Windows Time サービスは正常に停止されました。

Windows Time サービスを開始します.
Windows Time サービスは正常に開始されました。

OUの追加

ここでは、OU=HQを作成し、そこに、satoruとodakaを追加する。

その前に、デフォルトで適用されているセキュリティーポリシーを確認・変更しておく。
「管理ツール」=>「グループポリシーの管理」を開き、ドメイン=eranger.localのところにある「Default Domain Policy」の設定タブを開く。

パスワードの複雑さ(英数大文字小文字、数字、記号の3種類以上を使ったパスワードを設定しなくてはならない)が有効になっているので、これを無効にする。
左ペインでDefault Domain Policyを右クリックし、編集を選択する。
「コンピュータの構成」- 「windowsの設定」- 「セキュリティーの設定」を選択する。

ここで、「アカウントポリシー」をダブルクリックする。

そして、「パスワードのポリシー」をダブルクリックする。

「複雑さの用件を満たす必要があるパスワードのプロパティー」を無効にする。

適用後にOKを押す。

OUの追加に戻る。サーバーマネージャーでeranger.localを選び右クリック。新規作成 - 組織単位(OU)を選ぶ。
OU名を入れてOKを押す。

次にユーザーを登録する。サーバーマネージャーで、追加したOUであるHQを選択する。

HQを右クリック。「新規作成」−「ユーザー」を選択し、必要な項目をいれていく。


「完了」ボタンを押すとOU=HQの下にユーザーが作成される。

ついでに、(共有権限の付与のために)グループを設定する。
サーバーマネージャーで、HQを選択する。右クリックで「新規作成」−「グループ」を選択し、必要な項目をいれる。

これでグループが作成される。

このグループにユーザーを追加するには、サーバーマネージャーで、そのユーザーを選択して右クリックし、「グループに追加」を選択する。

「選択するオブジェクト名をいれてください」の欄にグループ名をいれて「名前の確認」ボタンを押す。

OKを押すとグループに追加される。
追加したグループを選択して右クリック。プロパティーのメンバータブをみると、そのグループに属するメンバーを見ることができる。

ドメインの管理者は、UsersにあるDomain Adminsに追加しておく。Domain Adminsを選び、メンバータブを開く。

追加ボタンを押すと、追加画面がでるので、「選択する…」に管理ユーザーIDをいれて「名前の確認」ボタンを押す。

OKを押すと追加される。