・Windows Server 2019でActive Directory環境を構築したい。
・既存のドメインに2台目のドメインコントローラーを追加したい。
・具体的な手順を教えてほしい。
こういった疑問に答えます。
本記事の内容
この記事を書いている私は、某SIerに勤務しながら、
WEB系エンジニア・インフラエンジニアに憧れて、プログラミングおよびインフラ技術の勉強をしています。
こういった私が、解説していきます。
私が実機で試したコマンドや画像を載せて書いています。
記事の信頼性担保に繋がると思います。
- 本記事の内容
- Windowser Server 2019でActive Direcory構築する手順(7)2台目のドメインコントローラーを追加する手順
- 前回の記事
- ドメインコントローラーはプライマリーとセカンダリーの2台構成が推奨
- 手順①:2台目のドメインコントローラーに昇格させたいサーバーにドメインAdministratorでログオン
- 手順②:Active Directoryドメインサービスのインストール
- 手順③:ドメインコントローラーに昇格させる
- 手順④:再起動後、ドメインのAdministratorでログオン
- 手順⑤:Active Directoryユーザーとコンピューターの確認
- 手順⑥:Dcdiagを実行してテスト
- 手順⑥:DNSサーバーの確認
- 手順⑦:DNSサーバのIPアドレスの確認
- 手順⑧:1台目のドメインコントローラーの方のDNSサーバーの代替DNSを追加
Windowser Server 2019でActive Direcory構築する手順(7)2台目のドメインコントローラーを追加する手順
前回の記事
下記の記事の手順で、Active Directory環境を構築して、
2台目のドメインコントローラーにしたサーバーは、既にドメインのメンバーになっている状態です。
ドメインコントローラーはプライマリーとセカンダリーの2台構成が推奨
Active Directory環境では、ドメインコントローラーを2台以上配置しておくのがおすすめです。
理由は、ドメインコントローラーが1台だけだと、その1台が故障・障害が起きるとドメイン全体に影響してしまう、単一障害点になってしまうからです。
手順①:2台目のドメインコントローラーに昇格させたいサーバーにドメインAdministratorでログオン
手順②:Active Directoryドメインサービスのインストール
サーバーマネージャー>役割と機能の追加
役割と機能の追加ウィザード画面が開く
役割ベースまたは機能ベースのインストール
対象サーバーの選択
サーバーの役割の選択>Active Directoryドメインサービスを選択
確認画面が表示される。
Active Directoryドメインサービスにチェックを入れて「次へ」
機能は何も選ばずに「次へ」
Active Directoryドメインサービスの注意事項が表示される
インストールオプションの確認
インストールが開始する
手順③:ドメインコントローラーに昇格させる
インストールが完了したら「このサーバーをドメインコントローラーに昇格する」をクリック。
構成配置
ドメインコントローラーオプション
- ドメインネームシステム(DNS)サーバー
- グローバルカタログ(GC)
- サイト名:Default-First-Site-Name
- ディレクトリサービス復元モード(DSRM)のパスワード:自分で決めたパスワードを入力
DNSオプション
「権限のある親ゾーンが見つからないか、・・・」の警告が表示されますが、無視しして「次へ」
追加オプション
- レプリケート元:任意のドメインコントローラー
AD DS データベース、ログファイル、SYSVOLの場所
デフォルトのままで「次へ」
オプションの確認
前提条件のチェック
警告メッセージが表示されますが、
「すべての前提条件のチェックに合格しました」が表示されれば大丈夫なので、
「インストール」をクリック。
完了後、一度OS再起動
手順④:再起動後、ドメインのAdministratorでログオン
サーバーマネージャー>AD DS に2台目のドメインコントローラー名が表示されていることを確認
手順⑤:Active Directoryユーザーとコンピューターの確認
Active Directoryユーザーとコンピューター>ドメイン名>Domain Controllersに2台目のドメインコントローラーが表示されていることを確認
手順⑥:Dcdiagを実行してテスト
サーバーマネージャー>AD DS>サーバー名の上で右クリック>Dcdiag.exe
Dcdiagコマンドを実行してテスト
Dcdiag
C:\Windows\system32>Dcdiag ディレクトリ サーバー診断 初期セットアップを実行しています: ホーム サーバーの検索を試みています... ホーム サーバー = AD-MOON * AD フォレストが識別されました。 初期情報の収集が完了しました。 必須の初期テストを実行しています サーバーをテストしています: Default-First-Site-Name\AD-MOON テストを開始しています: Connectivity ......................... AD-MOON はテスト Connectivity に合格しました プライマリ テストを実行しています サーバーをテストしています: Default-First-Site-Name\AD-MOON テストを開始しています: Advertising ......................... AD-MOON はテスト Advertising に合格しました テストを開始しています: FrsEvent ......................... AD-MOON はテスト FrsEvent に合格しました テストを開始しています: DFSREvent SYSVOL の共有後、この 24 時間以内に発生した警告またはエラー イベントがあります。 SYSVOL レプリケーション失敗の 問題があると、グループ ポリシーの問題が発生する場合 があります。 ......................... AD-MOON はテスト DFSREvent に失敗しました テストを開始しています: SysVolCheck ......................... AD-MOON はテスト SysVolCheck に合格しました テストを開始しています: KccEvent 警告イベントが発生しました。イベント ID: 0x80000B46 生成日時: 12/19/2020 10:02:40 イベント文字列: このディレクトリ サーバーのセキュリティは、署名 (整合性の確認) を要求しない SASL (ネゴシエート、Kerberos、NTLM または ダイジェスト) LDAP バインド、およびクリア テキスト (SSL/TLS 暗号化がされていない) 接続上で実行される LDAP 簡易 バインドを拒否するようサーバーを設定することで、大幅に強化することができます。これらのバインドを使用する クライアントが 1 つもない場合でも、拒否するようにサーバーを構成することで、サーバーのセキュリティが強化されます。 警告イベントが発生しました。イベント ID: 0x80000BE1 生成日時: 12/19/2020 10:02:40 イベント文字列: LDAPS 接続経由で送信された LDAP バインド要求で受け取ったチャネル バインド トークンの検証を強制するように サ ーバーを構成することによって、このディレクトリ サーバーのセキュリティを大幅に向上させることができます。 LDAPS 経由で LDAP バインド要求を発行するクライアントがない場合でも、 チャネル バインド トークンを検証するようにサーバーを構成すると、こ のサーバーのセキュリティが向上します。 ......................... AD-MOON はテスト KccEvent に合格しました テストを開始しています: KnowsOfRoleHolders ......................... AD-MOON はテスト KnowsOfRoleHolders に合格しました テストを開始しています: MachineAccount ......................... AD-MOON はテスト MachineAccount に合格しました テストを開始しています: NCSecDesc ......................... AD-MOON はテスト NCSecDesc に合格しました テストを開始しています: NetLogons ......................... AD-MOON はテスト NetLogons に合格しました テストを開始しています: ObjectsReplicated ......................... AD-MOON はテスト ObjectsReplicated に合格しました テストを開始しています: Replications ......................... AD-MOON はテスト Replications に合格しました テストを開始しています: RidManager ......................... AD-MOON はテスト RidManager に合格しました テストを開始しています: Services ......................... AD-MOON はテスト Services に合格しました テストを開始しています: SystemLog 警告イベントが発生しました。イベント ID: 0x000003F6 生成日時: 12/19/2020 09:52:26 イベント文字列: 名前 space.com の名前解決は、構成されたどの DNS サーバーからも応答がなく、タイムアウトしました。 警告イベントが発生しました。イベント ID: 0x80040022 生成日時: 12/19/2020 10:01:15 イベント文字列: ドライバーは、デバイス \Device\Harddisk0\DR0 の書き込みキャッシュを無効にしました。 警告イベントが発生しました。イベント ID: 0x000727A5 生成日時: 12/19/2020 10:02:05 イベント文字列: WinRM サービスは、WS-Management 要求をリッスンしていません。 警告イベントが発生しました。イベント ID: 0x80050022 生成日時: 12/19/2020 10:02:28 イベント文字列: ローカル アダプターは、周辺モードをサポートするための重要な低エネルギー コントローラー状態をサポートしていません。サポートされている最低限必要な状態マスクは 0x2491f7fffff ですが、0x1fffffff を取得しました。低エネルギー周辺ロール機能は無効になります。 警告イベントが発生しました。イベント ID: 0x000003F6 生成日時: 12/19/2020 10:02:33 イベント文字列: 名前 _ldap._tcp.dc._msdcs.planet.space.com. の名前解決は、構成されたどの DNS サーバーからも 応答がなく、タイムアウトしました。 エラー イベントが発生しました。イベント ID: 0xC0FF05DC 生成日時: 12/19/2020 10:02:42 イベント文字列: レジストリ キー SYSTEM\CurrentControlSet\Services\SNMP\Parameters\TrapConfiguration をアクセスしているときに SNMP サービスはエラーを検出しました。 エラー イベントが発生しました。イベント ID: 0x00002720 生成日時: 12/19/2020 10:03:25 イベント文字列: アプリケーション固有 のアクセス許可の設定では、CLSID エラー イベントが発生しました。イベント ID: 0x00002720 生成日時: 12/19/2020 10:03:25 イベント文字列: アプリケーション固有 のアクセス許可の設定では、CLSID ......................... AD-MOON はテスト SystemLog に失敗しました テストを開始しています: VerifyReferences ......................... AD-MOON はテスト VerifyReferences に合格しました パーティション テストを実行しています: ForestDnsZones テストを開始しています: CheckSDRefDom ......................... ForestDnsZones はテスト CheckSDRefDom に合格しました テストを開始しています: CrossRefValidation ......................... ForestDnsZones はテスト CrossRefValidation に合格しました パーティション テストを実行しています: DomainDnsZones テストを開始しています: CheckSDRefDom ......................... DomainDnsZones はテスト CheckSDRefDom に合格しました テストを開始しています: CrossRefValidation ......................... DomainDnsZones はテスト CrossRefValidation に合格しました パーティション テストを実行しています: Schema テストを開始しています: CheckSDRefDom ......................... Schema はテスト CheckSDRefDom に合格しました テストを開始しています: CrossRefValidation ......................... Schema はテスト CrossRefValidation に合格しました パーティション テストを実行しています: Configuration テストを開始しています: CheckSDRefDom ......................... Configuration はテスト CheckSDRefDom に合格しました テストを開始しています: CrossRefValidation ......................... Configuration はテスト CrossRefValidation に合格しました パーティション テストを実行しています: planet テストを開始しています: CheckSDRefDom ......................... planet はテスト CheckSDRefDom に合格しました テストを開始しています: CrossRefValidation ......................... planet はテスト CrossRefValidation に合格しました エンタープライズ テストを実行しています: planet.space.com テストを開始しています: LocatorCheck ......................... planet.space.com はテスト LocatorCheck に合格しました テストを開始しています: Intersite ......................... planet.space.com はテスト Intersite に合格しました
手順⑥:DNSサーバーの確認
サーバーマネージャー>DNS>右クリックして「DNSマネージャー」
1台目のドメインコントローラーと同じ内容の設定になっていることを確認します。
DNSマネージャー>前方参照ゾーンの設定を確認
DNSマネージャー>逆引き参照ゾーンの確認
手順⑦:DNSサーバのIPアドレスの確認
ネットワークのプロパティ画面で、
「代替DNSサーバー」に2台目のドメインコントローラーの自分自身(127.0.0.1)が登録されていることを確認します。
手順⑧:1台目のドメインコントローラーの方のDNSサーバーの代替DNSを追加
1台目のドメインコントローラーの方の代替DNSサーバーに、2台目のドメインコントローラーのIPアドレスを追加しておきます。