Active Directory ドメインを作ってみよう

その 5 ：フォレストに新しいツリーのドメインを追加

小山 三智男mitchin

Microsoft MVP for Directory Services

2

ドメインの作成・設定手順

1. ドメインコントローラーを作成して、フォレスト ルートのドメインを作成• TCP/IP の設定• Active Directory ドメイン サービス（ AD DS ）と DNS

サーバーのインストール• ドメイン コントローラーへの昇格• DNS サーバーの設定• タイムサーバーの設定（推奨）• 組織単位（ OU ）、グループ、ユーザーなどの作成• コンピューターをドメインに参加• グループポリシーの設定（ユーザー用をちょっとだけ）

3

ドメインの作成・設定手順

2. ドメインにドメイン コントローラーを追加（任意）• TCP/IP の設定• Active Directory ドメイン サービス（ AD DS ）と DNS

サーバーのインストール• ドメイン コントローラーへの昇格（既存のドメイン）• TCP/IP の設定（ DNS サーバー）• DNS サーバーの設定（フォワーダー）• サイトの設定（サブネットの追加）

4

ドメインの作成・設定手順

3. フォレストにドメインを追加（任意）• サイトの設定（サイト・サブネット・サイトリンク）• TCP/IP の設定• Active Directory ドメイン サービス（ AD DS ）と DNS

サーバーのインストール• ドメイン コントローラーへの昇格（新しいドメイン）• DNS サーバーの設定• サイトの設定（サーバー）• FSMO の設定（ルートドメイン）

5

サイトの設定

今回はルートドメイン（既存のドメイン）とは物理的に離れた場所にドメインを追加する想定にしています。ドメイン追加時にドメインコントローラーが新しいサイトに配置されるようにするために事前にサイトを設定します。内容は サイトの追加、サブネットの追加、サイトリンクの設定（確認）です。次のページの図でいうと、今は TokyoSite に DC1 と DC2 があって 192.168.0.0/24 がある状態です。そこに OsakaSite を作って 172.27.0.0/24 を作ります。

6

Active Directory サイト構造

サイト

DC1

TokyoSite

DC2

DC3

サイト内複製

サイト内複製

サイト

DC5

OsakaSite

DC4

サイト内複製サイト間複製

サイトリンクサブネット192.168.0.0/24192.168.1.0/24192.168.2.0/24

サブネット172.16.0.0/24172.16.1.0/24

Tokyo-OsakaLink

7

サイトの追加

サーバー マネージャーで「ツール」メニューから「 Active Directory サイトとサービス」をクリックして管理ツールを起動します。サイトは既定の「 Default-First-Site-Name 」だけがあります。「 Sites 」を右クリックして「新しいサイト」を選択します。

8

サイトの追加

サイトの名前を入力してサイトリンクを選択します。

9

サイトの追加

ダイアログが表示されるので「 OK 」をクリックします。

10

サブネットの追加

「 Subnets 」を右クリックして「新しいサブネット」を選択します。

11

サブネットの追加

例に倣ってプレフィックスを入力し、追加したサイトを選択します。プレフィックスはネットワークアドレスとサブネットマスク（ビット長）をスラッシュで連結したものを入力します。

12

サイトリンクの確認

サブネットが追加されました。次にサイトリンクを確認します。

13

サイトリンクの確認

「このサイト リンクにあるサイト」に 2 つのサイトが追加されているのを確認します。レプリケートの間隔はデフォルトで 180 分です。必要であれば変更します。

次はサーバーを新しいドメインのドメインコントローラーにしてドメインを追加します。

14

Active Directory ドメイン構造

フォレスト

ドメインツリー

ドメイン

test.local

ドメイン

west.test.local

ドメイン

east.test.local

ドメインツリー

ドメイン

test2.local

ドメイン

sub.test2.local

15

TCP/IP の設定

IP アドレス部分を設定して、優先 DNS サーバーには既存のドメインのドメインコントローラーの IP アドレスを指定します。

注）事前にネットワーク機器を設定して、既存のドメインのドメインコントローラーと通信できるようにしておいてください。

16

役割と機能の追加

サーバー マネージャーで「役割と機能の追加」を選択して、 Active Directory ドメイン サービスと DNS サーバーを追加します。追加する機能とそのやりかたは既存のドメインのドメインコントローラーの時と同じなので省略します。詳細はこちらの資料を参照してください。Active Directory ドメインを作る準備 ～ AD DS と DNS サーバーのインストール～http://www.slideshare.net/mitchin227/prepare-createdomain

17

ドメインコントローラーへの昇格

サーバー マネージャーの画面上「管理」メニュー左の旗のアイコンをクリックし「このサーバーをドメイン コントローラーに昇格する」を選択

18

AD ドメイン サービス構成ウィザード

「新しいドメインを既存のフォレストに追加する」と「ツリー ドメイン」を選択して、フォレスト名と新しいドメイン名を入力し 資格情報の「変更」をクリック

19

AD ドメイン サービス構成ウィザード

資格情報を入力して「 OK 」をクリック

資格情報は既存のドメインの管理者のユーザー（ドメイン名 \ユーザー名）とパスワードを入力します。

20

AD ドメイン サービス構成ウィザード

ドメインの機能レベルとサイト名を選択し、ディレクトリ サービス復元モードのパスワードを入力して「次へ」をクリック

21

AD ドメイン サービス構成ウィザード

そのまま「次へ」をクリック

22

AD ドメイン サービス構成ウィザード

NetBIOS ドメイン名は自動的に設定されるので、特に変更する必要がなければそのまま「次へ」をクリック

23

AD ドメイン サービス構成ウィザード

AD DS データベース、ログファイル、 SYSVOL のパスを入力または選択して「次へ」をクリック

24

AD ドメイン サービス構成ウィザード

オプションを確認して「次へ」をクリック

25

AD ドメイン サービス構成ウィザード

前提条件を確認して「インストール」をクリック

26

インストール完了後再起動、 TCP/IP の確認

自分自身が DNS サーバーになったので、 TCP/IP の設定で自分自身を優先 DNS サーバーに変更します。

27

DNS サーバーの設定

ルートドメイン（既存のドメイン）と追加したドメイン 両方の DNS サーバーに条件付フォワーダーを追加します。まずはルートドメインの方です。「条件付フォワーダー」を右クリックして「新規条件付きフォワーダー」を選択します。

28

条件付フォワーダーの追加

追加したドメインの DNS ドメイン名とドメインコントローラーの IP アドレスを入力します。「この Active Directory に～」をチェックし、「このドメインのすべての DNS サーバー」を選択して「 OK 」をクリックします。

29

条件付フォワーダーの追加

条件付フォワーダーが追加されました。Active Directory の複製対象なので、ドメイン内の他のドメインコントローラーの DNS サーバーは設定不要です。

30

条件付フォワーダーの追加

次は追加したドメインの方です。「条件付フォワーダー」を右クリックして「新規条件付きフォワーダー」を選択します。

31

条件付フォワーダーの追加

ルートドメインの DNS ドメイン名とドメインコントローラーの IP アドレスを入力します。「この Active Directory に～」をチェックし、「このドメインのすべての DNS サーバー」を選択して「 OK 」をクリックします。

32

条件付フォワーダーの追加

条件付フォワーダーが追加されました。

33

フォワーダーの設定

追加したドメインの方はフォワーダーも設定します。設定のしかたはルートドメインと同じなので省略します。詳細はこちらの資料を参照してください。（ P17 ～ 20 ）Active Directory ドメインを作ってみよう ～ドメインの作成とDNS サーバーの設定～http://www.slideshare.net/mitchin227/create-domain

34

サイトの設定

「 Active Directory サイトとサービス」を起動します。事前にサイトを追加しておいたので、追加したドメインのドメインコントローラーは追加したサイトに配置されています。

35

複製するための接続の確認

接続は KCC （知識整合性チェッカー）が自動生成してくれる

36

ブリッジヘッドの設定

NXMEPS と SAIAM にサイト間複製をしてもらいたいので、これらをブリッジヘッドサーバーにします。「 NXMEPS 」を右クリックして「プロパティ」を選択します。

37

ブリッジヘッドの設定

「このサーバーが優先ブリッジヘッド サーバーとなるトランスポート」に IP を追加します。

38

ブリッジヘッドの設定

SAIAM の方も同様に「このサーバーが優先ブリッジヘッド サーバーとなるトランスポート」に IP を追加します。

39

設定後

NXMEPS と SAIAM のブリッジヘッドの項目に「 IP 」と表示されるようになりました。

40

FSMO （操作マスター）

FSMO は次の 5 つがあります。• スキーマ マスター• ドメイン名前付けマスター• RID マスター• PDC エミュレーター• インフラストラクチャ マスター

スキーマ マスターとドメイン名前付けマスターはフォレスト内の 1 台がこの役割を担います。既定ではルートドメインの 1 台目のドメインコントローラーです。RID マスター、 PDC エミュレーター、インフラストラクチャ マスターはドメイン内の 1 台がこの役割を担います。既定ではドメインの 1 台目のドメインコントローラーです。

41

FSMO の設定

ドメインが複数になったので、ドメインコントローラーが複数あるルートドメインの FSMO の設定をします。やることは 1 つで、インフラストラクチャ マスターを nxmeps から vpdc1 に変更します。nxmeps は GC （グローバルカタログ）かつ vpdc1 は GC ではないので、インフラストラクチャ マスターを他のドメインコントローラーにする必要があります。というのも 情報の更新を行うインフラストラクチャ マスターは GC 上にあると機能しないので最新ではない情報を見つけることができず、ドメイン内の他のドメインコントローラーに複製しないからです。すべてのドメインコントローラーが GC であれば設定不要です。

42

インフラストラクチャ マスターの変更

管理ツール「 Active Directory ユーザーとコンピューター」をvpdc1 上で起動し、左のペインからドメインを右クリックして「操作マスター」を選択します。

43

インフラストラクチャ マスターの変更

「インフラストラクチャ」タブを開いて「変更」をクリックします。

44

インフラストラクチャ マスターの変更

確認ダイアログが表示されるので「はい」をクリックします。

結果ダイアログが表示されるので「 OK 」をクリックします。

45

詳細や関連情報はブログ等で

Active Directory ドメインを作ってみよう ～その 1 ：ドメインの作成と DNSサーバーの設定～http://www.slideshare.net/mitchin227/create-domain

サイトの追加http://blogs.wankuma.com/mitchin/archive/2015/05/04/515232.aspx

フォレストに新しいドメインを追加http://blogs.wankuma.com/mitchin/archive/2015/05/05/515269.aspx

ドメイン追加後の DNS サーバーの設定http://blogs.wankuma.com/mitchin/archive/2015/05/06/515296.aspx

ドメイン追加後のサイトの設定http://blogs.wankuma.com/mitchin/archive/2015/05/07/515374.aspx

ドメイン追加後の FSMO の設定http://blogs.wankuma.com/mitchin/archive/2015/05/08/515599.aspx

Active Directory 関連ブログの一覧http://www.pbyk.com/blog/bloglist.html