AD DS ドメイン コントローラーを展開する

  • 9 分

ドメイン コントローラーでは、ドメイン内のすべてのユーザーとコンピューターが認証されます。 したがって、あらゆる AD DS 環境、特に Contoso が移行している環境のような大規模な分散環境においては、ドメイン コントローラーの最適な数と配置を確保することが重要です。

オンプレミス環境で AD DS ドメイン コントローラーを展開する

ドメイン コントローラーの展開プロセスには、2 つの手順があります。 まず、ドメイン コントローラーの役割を実装するために必要なバイナリをインストールします。 これには、Windows Admin Center またはサーバー マネージャーが使用できます。 初回インストール プロセスの終了時点で、AD DS のファイルがインストールされていますが、サーバーではまだ AD DS は構成されていません。 2 番目の手順では AD DS 役割を構成します。 この構成を実行する最も簡単な方法は、Active Directory Domain Services 構成ウィザードを使用することです。 ウィザードを開始するには、サーバー マネージャーの [AD DS] リンクを選択します。

AD DS 役割の構成の一環として、次の表の質問に対する回答を提供する必要があります。

質問

コメント

新しいフォレスト、新しいツリー、または既存のドメイン用の追加のドメイン コントローラーをインストールしますか?

この質問に答えると、親ドメイン名など、必要になる可能性のある追加情報が決定されます。

AD DS ドメインのドメイン ネーム システム (DNS) 名は何ですか?

ドメインの最初のドメイン コントローラーを作成するときは、完全修飾ドメイン名 (FQDN) を指定する必要があります。 ドメイン コントローラーを既存のドメインまたはフォレストに追加する場合は、既存のドメイン名を使用します。

フォレストの機能レベルに対してどのレベルを選択しますか?

フォレストの機能レベルに応じて、使用できるフォレストの機能とサポートされているドメイン コントローラーのオペレーティング システム (OS) が決まります。 これにより、フォレスト内のドメインに対するドメインの最小機能レベルも設定されます。

ドメインの機能レベルに対してどのレベルを選択しますか?

ドメインの機能レベルに応じて、使用できるドメインの機能とサポートされているドメイン コントローラーのオペレーティング システムが決まります。

ドメイン コントローラーは DNS サーバーになりますか?

DNS 役割は、ドメイン コントローラーの展開の一部としてインストールできます。

ドメイン コントローラーはグローバル カタログをホストしますか?

既定では、このオプションはオンです。

ドメイン コントローラーは読み取り専用ドメイン コントローラー (RODC) ですか?

このオプションは、フォレスト内の最初のドメイン コントローラーでは使用できません。

ディレクトリ サービス復元モード (DSRM) のパスワードは何ですか?

これは、AD DS データベース オブジェクトをバックアップから復元する際に必要です。

AD DS ドメインの NetBIOS 名は何ですか?

ドメインの最初のドメイン コントローラーを作成するときに、ドメインの NetBIOS 名を指定する必要があります。

データベース、ログ ファイル、および SYSVOL フォルダーをどこに作成しますか?

既定では、データベースとログ ファイルのフォルダーは C:\Windows\NTDS に配置されます。 既定では、SYSVOL フォルダーは C:\Windows\SYSVOL に配置されます。

A screenshot of the Active Directory Domain Services Configuration Wizard Deployment Configuration page is set to add a domain controller to an existing domain.

Windows Server のサーバー コア インストールにドメイン コントローラーをインストールする

サーバー コア インストールを実行している Windows Server コンピューターには、サーバー マネージャーのグラフィカル ユーザー インターフェイス (GUI) がありません。 そのため、ドメイン コントローラーの役割用のファイルをインストールしてドメイン コントローラーの役割自体をインストールするには、別の方法を使用する必要があります。 デスクトップ エクスペリエンス機能がインストールされているサポート対象バージョンのWindows Server またはサポート対象の Windows クライアント上 (Windows 10 など) にインストールされている、Windows Admin Center、サーバー マネージャー、Windows PowerShell、またはリモート サーバー管理ツール (RSAT) を使用できます。

メディアからドメイン コントローラーをインストールする

サイト間のネットワーク接続が低速であるか、信頼性が低いか、コストがかかる場合は、リモートの場所またはブランチ オフィスに別のドメイン コントローラーを追加すると便利な場合があります。 このシナリオでは、ワイド エリア ネットワーク (WAN) リンクを経由したトラフィックの量を大幅に削減するために AD DS バックアップを (おそらくは USB ドライブに) 作成し、このバックアップをリモートの場所に移動できます。 リモートの場所にいるときにサーバー マネージャーを実行して AD DS をインストールする場合、[メディアからインストール] オプションを選択できます。 ほとんどのコピーはローカルで行われます。 このシナリオでは、WAN リンクにおいてセキュリティ関連のトラフィックのみが転送され、バックアップ後に AD DS が変更されます。 また、WAN リンクを使用すると、メディアからのインストールのバックアップを作成した後に、中央の AD DS に加えられたあらゆる変更を新しいドメイン コントローラーが確実に受信できるようになります。

ブランチ オフィスに関する考慮事項

物理的なセキュリティを保証できないブランチ オフィスにドメイン コントローラーを展開する場合は、追加の手段を使用して、セキュリティ侵害の影響を軽減することができます。 1 つの方法は、RODC を展開することです。 RODC には AD DS データベースの読み取り専用コピーが含まれており、既定では、ユーザーのパスワードはキャッシュされません。 ただし、ブランチ オフィスのユーザーのパスワードをキャッシュするように RODC を構成することができます。 RODC のセキュリティが侵害された場合、情報が失われるリスクの可能性は、完全な読み取りおよび書き込みドメイン コントローラーの場合よりもはるかに低くなります。

以前のバージョンからドメイン コントローラーをアップグレードする

ドメイン コントローラーをアップグレードするプロセスは、Windows Server 2012 R2 から Windows Server 2022 までのどのバージョンの Windows Server でも同じです。 次のいずれかの方法を使用して、Windows Server 2022 ドメインにアップグレードできます。

  • Windows Server 2012 R2 以降を実行している既存のドメインコントローラーで OS をアップグレードする。
  • 以前の Windows Server バージョンを実行しているドメイン コントローラーが既に存在するドメインに、Windows Server 2022 を実行しているサーバーをドメイン コントローラーとして追加する。

後者の方法をお勧めします。これは、完了時に、Windows Server 2022 OS と AD DS データベースの両方がクリーン インストールされるためです。 新しいドメイン コントローラーを追加するたびに、Windows Server によってドメインの DNS レコードが自動的に更新されるため、クライアントはこのドメイン コントローラーを見つけて使用できるようになります。

Azure 仮想マシン (VM) に AD DS ドメイン コントローラーをデプロイする

Azure は、クラウドベースの仮想化プラットフォームであるサービスとしてのインフラストラクチャ (IaaS) を提供しています。 Azure IaaS に AD DS をデプロイする場合は、VM にドメイン コントローラーをインストールすることになります。そのため、ドメイン コントローラーの仮想化に適用されるすべての規則が Azure での AD DS のデプロイにも適用されます。

Azure で AD DS を実装する場合は、次の点を考慮してください。

  • ネットワーク トポロジ。 AD DS の要件を満たすには、Azure Virtual Network を作成し、それに自分の VM を接続する必要があります。 既存のオンプレミスの AD DS インフラストラクチャに参加する場合は、自分のオンプレミス環境にネットワーク接続を拡張できます。 これは、組織が必要とする速度、信頼性、およびセキュリティに応じて、仮想プライベート ネットワーク (VPN) 接続や Azure ExpressRoute 回線などのハイブリッド接続方法によって実現できます。
  • サイト トポロジ。 物理的なサイトの場合と同様に、自分の Azure Virtual Network の IP アドレス空間に対応する AD DS サイトを定義して構成する必要があります。
  • IP アドレス指定。 すべての Azure VM は、既定で動的ホスト構成プロトコル (DHCP) アドレスを受け取りますが、再起動やシャットダウン後も保持される静的アドレスを構成することもできます。
  • DNS。 Azure の組み込み DNS は、動的 DNS やサービス (SRV) リソース レコードなどの AD DS の要件を満たしていません。 Azure の AD DS 環境に DNS 機能を提供するには、Windows Server DNS サーバー ロールや、Azure プライベート DNS ゾーンなど、Azure で使用できる他の DNS ソリューションを使用できます。
  • ディスク。 Azure VM のディスク構成のキャッシュを制御できます。 AD DS を Azure VM にインストールする場合は、NTDS.DIT と SYSVOL ファイルをそのデータ ディスクの 1 つに配置し、そのディスクの [ホスト キャッシュ設定] の設定を [なし] に設定する必要があります。