そういうのがいいブログ

SIerで働く30代サラリーマンSEがインフラエンジニアに憧れてLinux・クラウド・AWSの勉強をするブログ

トップ > WindowsServer > Windowser Server 2019でActive Direcory構築(7)2台目ドメインコントローラー追加

Windowser Server 2019でActive Direcory構築(7)2台目ドメインコントローラー追加

WindowsServer
※[PR]当ブログの記事の中にはプロモーションが含まれています。

Windows Server 2019でActive Directory環境を構築したい。
・既存のドメインに2台目のドメインコントローラーを追加したい。
・具体的な手順を教えてほしい。

こういった疑問に答えます。

本記事の内容

  1. Windows Server 2019のActive Direcoryに2台目のドメインコントローラーを追加する手順

この記事を書いている私は、某SIerに勤務しながら、
WEB系エンジニア・インフラエンジニアに憧れて、プログラミングおよびインフラ技術の勉強をしています。

こういった私が、解説していきます。

私が実機で試したコマンドや画像を載せて書いています。
記事の信頼性担保に繋がると思います。

souiunogaii.hatenablog.com

Windowser Server 2019でActive Direcory構築する手順(7)2台目のドメインコントローラーを追加する手順

前回の記事

下記の記事の手順で、Active Directory環境を構築して、
2台目のドメインコントローラーにしたサーバーは、既にドメインのメンバーになっている状態です。

souiunogaii.hatenablog.com

souiunogaii.hatenablog.com

souiunogaii.hatenablog.com

ドメインコントローラーはプライマリーとセカンダリーの2台構成が推奨

Active Directory環境では、ドメインコントローラーを2台以上配置しておくのがおすすめです。
理由は、ドメインコントローラーが1台だけだと、その1台が故障・障害が起きるとドメイン全体に影響してしまう、単一障害点になってしまうからです。

手順①:2台目のドメインコントローラーに昇格させたいサーバーにドメインAdministratorでログオン

手順②:Active Directoryドメインサービスのインストール

サーバーマネージャー>役割と機能の追加

役割と機能の追加ウィザード画面が開く

役割ベースまたは機能ベースのインストール

対象サーバーの選択

サーバーの役割の選択>Active Directoryドメインサービスを選択

確認画面が表示される。

Active Directoryドメインサービスにチェックを入れて「次へ」

機能は何も選ばずに「次へ」

Active Directoryドメインサービスの注意事項が表示される

インストールオプションの確認

インストールが開始する

手順③:ドメインコントローラーに昇格させる

インストールが完了したら「このサーバーをドメインコントローラーに昇格する」をクリック。

構成配置

ドメインコントローラーオプション

  • ドメインネームシステム(DNS)サーバー
  • グローバルカタログ(GC)
  • サイト名:Default-First-Site-Name
  • ディレクトリサービス復元モード(DSRM)のパスワード:自分で決めたパスワードを入力

DNSオプション

「権限のある親ゾーンが見つからないか、・・・」の警告が表示されますが、無視しして「次へ」

追加オプション

  • レプリケート元:任意のドメインコントローラー

AD DS データベース、ログファイル、SYSVOLの場所

デフォルトのままで「次へ」

オプションの確認

前提条件のチェック

警告メッセージが表示されますが、
「すべての前提条件のチェックに合格しました」が表示されれば大丈夫なので、
「インストール」をクリック。

完了後、一度OS再起動

手順④:再起動後、ドメインのAdministratorでログオン

サーバーマネージャー>AD DS に2台目のドメインコントローラー名が表示されていることを確認

手順⑤:Active Directoryユーザーとコンピューターの確認

Active Directoryユーザーとコンピューター>ドメイン名>Domain Controllersに2台目のドメインコントローラーが表示されていることを確認

手順⑥:Dcdiagを実行してテスト

サーバーマネージャー>AD DS>サーバー名の上で右クリック>Dcdiag.exe

Dcdiagコマンドを実行してテスト

Dcdiag

C:\Windows\system32>Dcdiag

ディレクトリ サーバー診断

初期セットアップを実行しています:
   ホーム サーバーの検索を試みています...
   ホーム サーバー = AD-MOON
   * AD フォレストが識別されました。
   初期情報の収集が完了しました。

必須の初期テストを実行しています

   サーバーをテストしています: Default-First-Site-Name\AD-MOON
      テストを開始しています: Connectivity
         ......................... AD-MOON はテスト Connectivity に合格しました

プライマリ テストを実行しています

   サーバーをテストしています: Default-First-Site-Name\AD-MOON
      テストを開始しています: Advertising
         ......................... AD-MOON はテスト Advertising に合格しました
      テストを開始しています: FrsEvent
         ......................... AD-MOON はテスト FrsEvent に合格しました
      テストを開始しています: DFSREvent
         SYSVOL の共有後、この 24 時間以内に発生した警告またはエラー イベントがあります。 SYSVOL レプリケーション失敗の 問題があると、グループ ポリシーの問題が発生する場合 があります。
         ......................... AD-MOON はテスト DFSREvent に失敗しました
      テストを開始しています: SysVolCheck
         ......................... AD-MOON はテスト SysVolCheck に合格しました
      テストを開始しています: KccEvent
         警告イベントが発生しました。イベント ID: 0x80000B46
            生成日時: 12/19/2020   10:02:40
            イベント文字列:
            このディレクトリ サーバーのセキュリティは、署名 (整合性の確認) を要求しない SASL (ネゴシエート、Kerberos、NTLM または ダイジェスト) LDAP バインド、およびクリア テキスト (SSL/TLS 暗号化がされていない) 接続上で実行される LDAP 簡易 バインドを拒否するようサーバーを設定することで、大幅に強化することができます。これらのバインドを使用する クライアントが 1 つもない場合でも、拒否するようにサーバーを構成することで、サーバーのセキュリティが強化されます。
         警告イベントが発生しました。イベント ID: 0x80000BE1
            生成日時: 12/19/2020   10:02:40
            イベント文字列:
            LDAPS 接続経由で送信された LDAP バインド要求で受け取ったチャネル バインド トークンの検証を強制するように サ ーバーを構成することによって、このディレクトリ サーバーのセキュリティを大幅に向上させることができます。 LDAPS 経由で LDAP バインド要求を発行するクライアントがない場合でも、 チャネル バインド トークンを検証するようにサーバーを構成すると、こ のサーバーのセキュリティが向上します。
         ......................... AD-MOON はテスト KccEvent に合格しました
      テストを開始しています: KnowsOfRoleHolders
         ......................... AD-MOON はテスト KnowsOfRoleHolders に合格しました
      テストを開始しています: MachineAccount
         ......................... AD-MOON はテスト MachineAccount に合格しました
      テストを開始しています: NCSecDesc
         ......................... AD-MOON はテスト NCSecDesc に合格しました
      テストを開始しています: NetLogons
         ......................... AD-MOON はテスト NetLogons に合格しました
      テストを開始しています: ObjectsReplicated
         ......................... AD-MOON はテスト ObjectsReplicated に合格しました
      テストを開始しています: Replications
         ......................... AD-MOON はテスト Replications に合格しました
      テストを開始しています: RidManager
         ......................... AD-MOON はテスト RidManager に合格しました
      テストを開始しています: Services
         ......................... AD-MOON はテスト Services に合格しました
      テストを開始しています: SystemLog
         警告イベントが発生しました。イベント ID: 0x000003F6
            生成日時: 12/19/2020   09:52:26
            イベント文字列: 名前 space.com の名前解決は、構成されたどの DNS サーバーからも応答がなく、タイムアウトしました。
         警告イベントが発生しました。イベント ID: 0x80040022
            生成日時: 12/19/2020   10:01:15
            イベント文字列: ドライバーは、デバイス \Device\Harddisk0\DR0 の書き込みキャッシュを無効にしました。
         警告イベントが発生しました。イベント ID: 0x000727A5
            生成日時: 12/19/2020   10:02:05
            イベント文字列: WinRM サービスは、WS-Management 要求をリッスンしていません。
         警告イベントが発生しました。イベント ID: 0x80050022
            生成日時: 12/19/2020   10:02:28
            イベント文字列:
            ローカル アダプターは、周辺モードをサポートするための重要な低エネルギー コントローラー状態をサポートしていません。サポートされている最低限必要な状態マスクは 0x2491f7fffff ですが、0x1fffffff を取得しました。低エネルギー周辺ロール機能は無効になります。
         警告イベントが発生しました。イベント ID: 0x000003F6
            生成日時: 12/19/2020   10:02:33
            イベント文字列: 名前 _ldap._tcp.dc._msdcs.planet.space.com. の名前解決は、構成されたどの DNS サーバーからも 応答がなく、タイムアウトしました。
         エラー イベントが発生しました。イベント ID: 0xC0FF05DC
            生成日時: 12/19/2020   10:02:42
            イベント文字列:
            レジストリ キー SYSTEM\CurrentControlSet\Services\SNMP\Parameters\TrapConfiguration をアクセスしているときに SNMP サービスはエラーを検出しました。
         エラー イベントが発生しました。イベント ID: 0x00002720
            生成日時: 12/19/2020   10:03:25
            イベント文字列: アプリケーション固有 のアクセス許可の設定では、CLSID
         エラー イベントが発生しました。イベント ID: 0x00002720
            生成日時: 12/19/2020   10:03:25
            イベント文字列: アプリケーション固有 のアクセス許可の設定では、CLSID
         ......................... AD-MOON はテスト SystemLog に失敗しました
      テストを開始しています: VerifyReferences
         ......................... AD-MOON はテスト VerifyReferences に合格しました


   パーティション テストを実行しています: ForestDnsZones
      テストを開始しています: CheckSDRefDom
         ......................... ForestDnsZones はテスト CheckSDRefDom に合格しました
      テストを開始しています: CrossRefValidation
         ......................... ForestDnsZones はテスト CrossRefValidation に合格しました

   パーティション テストを実行しています: DomainDnsZones
      テストを開始しています: CheckSDRefDom
         ......................... DomainDnsZones はテスト CheckSDRefDom に合格しました
      テストを開始しています: CrossRefValidation
         ......................... DomainDnsZones はテスト CrossRefValidation に合格しました

   パーティション テストを実行しています: Schema
      テストを開始しています: CheckSDRefDom
         ......................... Schema はテスト CheckSDRefDom に合格しました
      テストを開始しています: CrossRefValidation
         ......................... Schema はテスト CrossRefValidation に合格しました

   パーティション テストを実行しています: Configuration
      テストを開始しています: CheckSDRefDom
         ......................... Configuration はテスト CheckSDRefDom に合格しました
      テストを開始しています: CrossRefValidation
         ......................... Configuration はテスト CrossRefValidation に合格しました

   パーティション テストを実行しています: planet
      テストを開始しています: CheckSDRefDom
         ......................... planet はテスト CheckSDRefDom に合格しました
      テストを開始しています: CrossRefValidation
         ......................... planet はテスト CrossRefValidation に合格しました

   エンタープライズ テストを実行しています: planet.space.com
      テストを開始しています: LocatorCheck
         ......................... planet.space.com はテスト LocatorCheck に合格しました
      テストを開始しています: Intersite
         ......................... planet.space.com はテスト Intersite に合格しました

手順⑥:DNSサーバーの確認

サーバーマネージャー>DNS>右クリックして「DNSマネージャー」

1台目のドメインコントローラーと同じ内容の設定になっていることを確認します。

DNSマネージャー>前方参照ゾーンの設定を確認

DNSマネージャー>逆引き参照ゾーンの確認

手順⑦:DNSサーバのIPアドレスの確認

ネットワークのプロパティ画面で、
「代替DNSサーバー」に2台目のドメインコントローラーの自分自身(127.0.0.1)が登録されていることを確認します。

手順⑧:1台目のドメインコントローラーの方のDNSサーバーの代替DNSを追加

1台目のドメインコントローラーの方の代替DNSサーバーに、2台目のドメインコントローラーのIPアドレスを追加しておきます。