2台目を構築する

1台目のドメインコントローラのセットアップが終了したら、2台目の
ドメインコントローラをセットアップします。
※もちろん、1台のみということも可能ではありますが
事前準備として、2台目のドメインコントローラにしたいサーバには
1台目のドメインコントローラのIPアドレスをプライマリDNSサーバとして設定
しておきます。
なお、構築時は2台目以降のサーバのDNSには、1台目のみ設定しておき
すべての構成が終わった時点で、全サーバのセカンダリDNSを設定
しておくことがお勧めです。
また、設定するセカンダリDNSは、2台のみの場合は2台目のサーバ、3台目
以降が存在する場合は、すべてのサーバのセカンダリDNSのアドレスはいずれかの
ドメインコントローラの値に統一します。
これについては、理由はいろいろあるのですが、別の機会に記述することと
します。


1.コマンドプロンプトを起動して「dcpromo」を実行します。



2.ウィザード[Active Directoryドメインサービスインストールウィザードの開始]が
起動します。



3.[Active Directoryドメインサービスインストールウィザードの開始]
ウィザード画面で「詳細モードインストールを使用する」にチェックします。
チェックができたら、「次へ」をクリックします。
ここでチェックすることで、追加のインストール オプションを表示することができます。





4.[オペレーティング システムの互換性] ページが表示されたら、Windows Server 2008
ドメイン コントローラの既定のセキュリティ設定についての警告内容を確認し[次へ] をクリックします。





5.[展開の構成の選択]が表示されたら、ここでは1台目のドメインコントローラの構築とは異なり
既存のドメイン(先ほど構築した物)環境に2台目のドメインコントローラを追加するため
「既存のフォレスト」→「既存のドメインドメインコントローラを追加する」を選択する。
※なお、シングルフォレスト内に2つ目のドメインを構築する場合は、ここで「既存のフォレスト
に新しいドメインを選択する」を選択します。
また、新しいフォレストを作成し、マルチフォレスト環境とする場合には、「新しいフォレスト
に新しいドメインを作成する」を選択します。





6.[ネットワークの資格情報]では、1台目に作成したドメイン名を指定します。
「このドメインコントローラをインストールするフォレスト内のドメイン名を入力してください」
項目には、今回は「space.local」と入力します。
インストールを実施するアカウントを選択します。なお、ここでは警告の通りドメインの管理者
権限を保有するアカウントを入力する必要があります。
「代替の資格」をチェックし、「設定」ボタンをクリックします。





7.[ネットワーク資格情報]のアカウント入力枠が表示されたら、「ドメイン:space.local」
となっていることを確認し、アカウントを「Administrator」、パスワード「ドメイン
Administratorのパスワード」を入力して「OK]をクリックします。
※もしくは、ドメインの管理者権限を持つアカウントをあらかじめ作成したなら、そのアカウント
を設定します。





8.項番6の画面に戻り、「代替の資格情報」に「space.local\Administrator」と入力されているのを
確認して、「次へ」をクリックします。
※「Administrator」としなかった場合は、そのアカウントが指定されているのを確認します。





9.「ドメインを列挙しています」という表示がでるので、しばらくその状態で待ちます。





10.[ドメインの選択]にて、追加したいドメインが表示されていることを確認します。
確認ができたら、「次へ」をクリックします。





11.[サイトの選択]では、複数のサイトを構成する場合に新規に追加するドメインコントローラは
どのサイトに関連付けるかを設定します。
あとで、設定を変える方法もありますし、今回はシングルフォレストのシングルドメインであり
2台環境、同一のNW内という構成にしているため、特にサイトを分割することはしません。
後ほど、サイトについての説明や関連付けについての手順なども紹介してゆきたいと思います。





12.[追加のドメインコントローラのオプション]では、「DNSサーバ」「グローバルカタログ」のみ
を選択します。
GCにしたサーバの複製トラフィックやデータベースのサイズは正直ベースでそこまで大したことが
ないため、個人的にはすべてのドメインコントローラをGCにしてしまって良いと思います。
実際に大きなシステムで構成する際にもそのように構成しています。
グローバルカタログを複数のサーバに持たせる場合についての説明は、別途実施いたしますが
ここでは特にふれないこととします。
Windows Server 2008からは、読み取り専用ドメインコントローラ(RODC)も選択できますが、ここでは
通常のドメインコントローラとして構成するため、特に選択はおこないません。
※RODCについては、読み取り専用ドメイン コントローラ (RODC)
に若干記述しましたのでそちらを参照ください。[記述は、RC1で行っていますが大筋は、そのままなので)





13.[Active Directoryドメインサービスインストールウィザード]で以下のメッセージが
表示されますが、ここでは「はい」を選択します。
2台目以降でも同じメッセージが表示されますが、これはドメインコントローラとして
現在構成が完了しておらず、現在構成中のサーバに権限がないため表示されます。
特に問題ないため、気にせずに先へ進みます。





14.[データベース、ログ、およびSYSVOLの場所]選択画面が表示されたら、
Active Directoryのデータベースなどを保存する場所を選択します。
この時に注意する点もありますが、これについては後ほど別途説明します。
ここでは、デフォルトのまま「次へ」をクリックして先へ進みます。
※1台目の時に手順(画像抜け)している気がするので、後ほど
そこは確認の上、アップデートします。





15.「ディレクトリサービス復旧モードAdministratorパスワード」の設定画面では、
ディレクトリサービス復旧時のパスワード設定をします。任意のパスワードを設定し
「次へ」をクリックします。
ここで設定するパスワードは、ドメインのパスワードとは異なり、誤って削除した
ディレクトリサービスの一部オブジェクト「OU」などを復旧させたい場合に使用します。





16.[概要]が表示されたら、これから作成しようとしているドメイン情報が正しいかを
確認し、「次へ」をクリックします。
ここで、「設定のエクスポート」をクリックすると今作成した設定を設定ファイルと
してエクスポートし、次のドメインコントローラを作成する際に使用できます。


16-1.[概要]画面で、「設定のエクスポート」を選択すると本画面が表示されます。








17.[Active Directoryのインストールウィザード]が表示されインストールが実施されます。
構成が完了するまでひたすら待ちます。





18.各種設定を実施した後、[Active Directoryドメインサービスインストールウィザードの完了]が
表示されたら、「完了」をクリックして終了させます。
ここまでで無事1台目のドメインコントローラの作成は完了です。





19.再起動して完了です。


1台目を構築する

Windows Serverのインストールが完了したら、Active Directoryを導入します。



1.コマンドプロンプトを起動して「dcpromo」を実行します。



2.ウィザード[Active Directoryドメインサービスインストールウィザードの開始]が
起動します。



3.[Active Directoryドメインサービスインストールウィザードの開始]
ウィザード画面で「詳細モードインストールを使用する」にチェックします。
チェックができたら、「次へ」をクリックします。
ここでチェックすることで、追加のインストール オプションを表示することができます。
例としては、手順8の表示など。





4.[オペレーティング システムの互換性] ページが表示されたら、Windows Server 2008
ドメイン コントローラの既定のセキュリティ設定についての警告内容を確認し[次へ] をクリックします。





5.[展開の構成の選択]が表示されたら、ここでは1台目のドメインコントローラを構築するため
「新しいフォレストに新しいドメインを作成する」にチェックを入れて「次へ」をクリックします。
既存のフォレストやドメインがある環境へのインストールの場合は、ここでそれぞれの
項目を選択します。





6.[フォレストルートドメイン名]を決定し、「次へ」をクリックします。
新規に作成したフォレストのルート(親のようなもの?)のドメイン名を設定します。
設定は、FQDNで実施します。このドメイン名がDNS名にもなるので、以下のような場合
注意が必要です。

  1. 外部公開サーバのFQDN名と同じ名前とする
  2. 保持していないドメイン名だが、どこかで取得される可能性がある

上記のような場合、DNSの仕組みとして同じゾーンを持つ場合には、名前解決を
行わないため、名前解決が必要なすべてのAレコード等をActive Directory
DNSにレコード登録する必要があります。
比較的多い事例としては、自社がもっているドメイン名を内部にも使用して
そのまま自社の外部Webページが参照(名前解決ができない)できないといった
事例もそこそこありますので、気をつける必要があります。

なお、特に内部用のドメインを用意していない場合や検証環境の場合は、
本Web画像の例である「space.local」のように「*.local」といったアドレスを
使用すると外部で取得されている心配がないため、自由に使用することが
できます。





7.先ほど設定した[フォレストルートドメイン名]がすでに使われていないかを確認
します。
これは、Netbios名は同じネットワーク上に一意である必要があるため、他のクライアントや
サーバが同じ名前を使っていないのかを確認する必要があるからです。
Netbiosについての詳しい説明は、NetBIOS名とは何か?googleで「Netbios名」を検索してみてください。





8.[ドメインNetbios名]を設定します。
先ほど設定したActive Directoryドメイン名の先頭のピリオドまでがNetBIOSドメイン名として利用されるため
特に設定変更をしたい場合以外は、ここはそのまま「次へ」をクリックします。
ドメインNetBIOS名」は、Windows NT や Windows 95 / 98 のPCが、Windows Server 2003以降のドメイン
通信をするときに使用するドメイン名だが、すでに同じ名前がある場合などには変更する場合があります。





9.[フォレスト機能レベルの設定]画面では、フォレストの機能レベルを指定します。
ここで選んだ機能レベルによって、利用可能な機能やサポート可能な環境、
ドメインコントローラのサポート可能なバージョンなども変わってくるため、
必要に応じて注意が必要となります。
また、下位の互換性モードから上位のには設定変更できますが、1度変えると上位の機能
レベルから下位の機能レベルへは変更することができません。
今回は、既存の環境が存在する環境を想定し「Windows Server 2003」の機能レベルを選択します。
他の機能レベルを表示した際の画面表示の違いは後述いたします。
ここで選択した機能レベルはフォレストのセキュリティレベルを示します。また、ここで
Windows Server 2003を選択したからといって、Windows 2000 ServerやClientがフォレストに
参加できないというものではありません。





10.[ドメイン機能レベルの設定]画面では、ドメインの機能レベルを指定します。
ここで選んだ機能レベルによって、利用可能な機能やサポート可能な環境、
ドメインコントローラのサポート可能なバージョンなども変わってくるのでご注意ください。
また、下位の互換性モードから上位のには設定変更できますが、1度変えると上位の機能
レベルから下位の機能レベルへは変更することができません。
今回は、既存の環境が存在する環境を想定し「Windows Server 2003」の機能レベルを選択します。
他の機能レベルを表示した際の画面表示の違いは後述いたします。
ここで選択した機能レベルはフォレストのセキュリティレベルを示します。また、ここで
Windows Server 2003を選択したからといって、Windows 2000 ServerやClientがドメイン
参加できないというものではありません。





11.[追加ドメインコントローラのオプション]画面が表示されたら、「DNSサーバ」にチェック
が入っていることを確認します。
Active Directory環境には通常DNSサーバの機能が必要なため、「DNSサーバ」のチェックは
そのままにして、「次へ」をクリックします。
「グローバルカタログ」、「読み取り専用ドメインコントローラ」のチェックが
グレーアウトされており、「グローバルカタログ」にはチェックが入っていることを
確認してください。これは、1台目であるため、「グローバルカタログ」は必須、
「読み取り専用ドメインコントローラ」にはなれないためです。
これらの機能についての詳しい説明は、別の機会に実施したいと思います。





12.[Active Directoryドメインサービスインストールウィザード]で以下のメッセージが
表示されますが、ここでは「はい」を選択します。
このメッセージは、DNSサーバが存在しないために表示されることから、このドメインの1台目
DNSサーバを今から作成するため特に気にせずに「はい」を選択して問題ありません。





13.「ディレクトリサービス復旧モードAdministratorパスワード」の設定画面では、
ディレクトリサービス復旧時のパスワード設定をします。任意のパスワードを設定し
「次へ」をクリックします。
ここで設定するパスワードは、ドメインのパスワードとは異なり、誤って削除した
ディレクトリサービスの一部オブジェクト「OU」などを復旧させたい場合に使用します。





14.[概要]が表示されたら、これから作成しようとしているドメイン情報が正しいかを
確認し、「次へ」をクリックします。
ここで、「設定のエクスポート」をクリックすると今作成した設定を設定ファイルと
してエクスポートし、次のドメインコントローラを作成する際に使用できます。





15.各種設定を実施した後、[Active Directoryドメインサービスインストールウィザードの完了]が
表示されたら、「完了」をクリックして終了させます。
ここまでで無事1台目のドメインコントローラの作成は完了です。


CCNA



そして、CCNPがなんとか取れたので。
前回のMCPの取得・・・じゃ次は。
CCDA受験するしかだよなぁ・・・と思いつつ。
勉強をはじめることにするのだった(汗)
実は、ぜんぜん自信ありません(苦笑)
設計とかデザインとか苦手なのです。
何が得意なの?
そーいわれると、実はITなことじゃないんだよなぁ・・・と書いてしまいそうになるので(笑)
ただし、某マザーボードの設計をした事がある事だけは内緒(苦笑)