初めてのWindows Server 2008R2(Active Directory編):AD DS(Active Directory Domain Service)のセットアップ
ファイル共有を目的としてWindows Serverを導入した場合、Active Directory(AD)を利用しないということはまずありえない。
ここまでは、WORKGROUPサーバーとしての簡単な設定手順を書いたが、全ての役割と機能を削除して、ADを入れてみた。
ADは、Windows Server 2008R2では、複数の役割に分割されている。最初にAD DSを導入しなくてはならない。
ネットワークの設定変更
コンピュータ名(hq-fs01)の設定、静的IPアドレスの設定(以下の例では、192.168.11.2)は済ませてあるとする。
DNS(正確には、ADの情報を格納するためのDynamicDNS)が一緒にインストールされるので、サーバーのDNSを変える。
「ネットワークと共有センター」を開く。
「アダプターの設定変更」で「ネットワーク」を選択して右クリック。プロパティーを表示する。
IPv4の「プロパティー」を選び、DNSに自分自身のアドレスを設定する。
AD DSのインストール
「役割の追加」から「Active Directoryドメインサービス」を選択する。
「次へ」を押してインストールする(途中で「.NET framework3.5の機能の追加」を聞かれるので、それもインストールする)。
「サーバーマネージャー」で「役割」を開く。
ここで、「Active Directory ドメインサービス」をクリックする。
「Active directoryドメインサービス ウィザード(dcpromo.exe)を実行してください」と表示されるので、コマンドプロンプトでdcpromoを実行する。すると、以下の画面が出てくる。
「次へ」を押していくと以下の画面が出るので、「新しいフォレストに新しいドメインを作成する」を選択する。
「フォレスト ルート ドメイン名」には、ルートのFQDN(eranger.local)を入れ、「次へ」を押す。
「フォレストの機能レベル」では、デフォルトのwindows server2003を設定したが、案件ごと(周辺のADとの関係を考慮して)に決める必要がある。
「ドメインの機能レベル」では、Windows2008R2を選択したが、これも案件ごとに決める必要がある。
「追加ドメインコントローラーのオプション」では、DNSがチェックされていることを確認する。
以下の確認がくるので、「はい」を選択する。
以下はデフォルトのままとした。
次に、ADを復元する際のパスワードを聞かれる。サーバーのAdminのパスと同じでもOKなので、それを設定した。
これでインストールは終了。設定をエクスポートできるので、適当にエクスポートする。
ここで、ドメインのNetBIOS名が設定される。
設定には、数分間かかる。
設定が完了すると以下の画面になる。
完了ボタンを押すと再起動を聞かれるので、再起動する。
再起動すると、以下の嫌なエラーが表示されるが、とりあえず無視。(確認後に再起動すると出なくなる)
NTPの設定
ここでは、外のサーバーに対して設定する(ファイアウォールがある場合には注意する)。
コマンドプロンプトから以下のコマンドを実行
w32tm /config /manualpeerlist:ntp.jst.mfeed.ad.jp /syncfromflags:manual /reliable:yes /update
WindowsTimeサービスを再起動する。
net stop w32time & net start w32time Windows Time サービスを停止中です. Windows Time サービスは正常に停止されました。 Windows Time サービスを開始します. Windows Time サービスは正常に開始されました。
OUの追加
ここでは、OU=HQを作成し、そこに、satoruとodakaを追加する。
その前に、デフォルトで適用されているセキュリティーポリシーを確認・変更しておく。
「管理ツール」=>「グループポリシーの管理」を開き、ドメイン=eranger.localのところにある「Default Domain Policy」の設定タブを開く。
パスワードの複雑さ(英数大文字小文字、数字、記号の3種類以上を使ったパスワードを設定しなくてはならない)が有効になっているので、これを無効にする。
左ペインでDefault Domain Policyを右クリックし、編集を選択する。
「コンピュータの構成」- 「windowsの設定」- 「セキュリティーの設定」を選択する。
ここで、「アカウントポリシー」をダブルクリックする。
そして、「パスワードのポリシー」をダブルクリックする。
「複雑さの用件を満たす必要があるパスワードのプロパティー」を無効にする。
適用後にOKを押す。
OUの追加に戻る。サーバーマネージャーでeranger.localを選び右クリック。新規作成 - 組織単位(OU)を選ぶ。
OU名を入れてOKを押す。
次にユーザーを登録する。サーバーマネージャーで、追加したOUであるHQを選択する。
HQを右クリック。「新規作成」−「ユーザー」を選択し、必要な項目をいれていく。
「完了」ボタンを押すとOU=HQの下にユーザーが作成される。
ついでに、(共有権限の付与のために)グループを設定する。
サーバーマネージャーで、HQを選択する。右クリックで「新規作成」−「グループ」を選択し、必要な項目をいれる。
これでグループが作成される。
このグループにユーザーを追加するには、サーバーマネージャーで、そのユーザーを選択して右クリックし、「グループに追加」を選択する。
「選択するオブジェクト名をいれてください」の欄にグループ名をいれて「名前の確認」ボタンを押す。
OKを押すとグループに追加される。
追加したグループを選択して右クリック。プロパティーのメンバータブをみると、そのグループに属するメンバーを見ることができる。
ドメインの管理者は、UsersにあるDomain Adminsに追加しておく。Domain Adminsを選び、メンバータブを開く。
追加ボタンを押すと、追加画面がでるので、「選択する…」に管理ユーザーIDをいれて「名前の確認」ボタンを押す。
OKを押すと追加される。