AD DS インストール ウィザードおよび削除ウィザードのページの説明AD DS Installation and Removal Wizard Page Descriptions

適用先:Windows Server 2016 では、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

このトピックでは、サーバー マネージャーでの AD DS サーバーの役割のインストールと削除を構成する以下のウィザード ページのコントロールについて説明します。This topic provides descriptions for the controls on the following wizard pages that comprise the AD DS server role installation and removal in Server Manager.

配置構成Deployment Configuration

サーバー マネージャーは、すべてのドメイン コントローラーのインストールを [配置構成] ページで開始します。Server Manager begins every domain controller installation with the Deployment Configuration page. このページおよび以降のページの他のオプションおよび必須フィールドは、選択した展開操作によって異なります。The remaining options and required fields change on this page and subsequent pages, depending on which deployment operation you select. たとえば、新しいフォレストを作成した場合、 [準備オプション] ページは表示されませんが、既存のフォレストまたはドメインで Windows Server 2012 を実行する最初のドメインコントローラーをインストールした場合に表示されます。For example, if you create a new forest, the Preparation Options page does not appear, but it does if you install the first domain controller that runs Windows Server 2012 in an existing forest or domain.

一部の検証テストは、このページで実行され、後で前提条件確認の一部として再度実行されます。Some validations tests are performed on this page, and again later as part of prerequisite checks. たとえば、Windows 2000 の機能レベルがあるフォレストに最初の Windows Server 2012 ドメインコントローラーをインストールしようとすると、このページにエラーが表示されます。For example, if you try to install the first Windows Server 2012 domain controller in a forest that has Windows 2000 functional level, an error appears on this page.

新しいフォレストを作成するときは、次のオプションが表示されます。The following options appear when you create a new forest.

AD DS インストール

  • 新しいフォレストを作成するときは、フォレストのルート ドメインの名前を指定する必要があります。When you create a new forest, you must specify a name for the forest root domain. フォレストルートドメイン名を単一ラベルにすることはできません (たとえば、"contoso" ではなく "contoso.com" である必要があります)。The forest root domain name cannot be single-labeled (for example, it must be "contoso.com" instead of "contoso"). 許可されている DNS ドメイン命名規則を使用する必要があります。It must use allowed DNS domain naming conventions. 国際化ドメイン名 (IDN) を指定できます。You can specify an Internationalized Domain Name (IDN). DNS ドメインの名前付け規則の詳細については、「 KB 909264」を参照してください。For more information about DNS domain naming conventions, see KB 909264.

  • 新しい Active Directory フォレストは、既存の DNS 名と同じ名前で作成しないでください。Do not create new Active Directory forests with the same name as your external DNS name. たとえば、インターネット DNS URL が http: @no__t 0/contoso .com の場合、今後の互換性の問題を回避するには、内部フォレストに別の名前を選択する必要があります。For example, if your Internet DNS URL is http://contoso.com, you must choose a different name for your internal forest to avoid future compatibility issues. その名前は、一意で、Web トラフィックにはありそうもないものにする必要があります (corp.contoso.com など)。That name should be unique and unlikely for web traffic, such as corp.contoso.com.

  • 新しいフォレストを作成するサーバーの Administrators グループのメンバーである必要があります。You must be a member of Administrators group on the server where you want to create a new forest.

フォレストを作成する方法の詳細については、「 Install a New Windows Server 2012 (Active Directory forest)Level 200」を参照してください。For more information about how to create a forest, see Install a New Windows Server 2012 Active Directory Forest (Level 200).

新しいドメインを作成するときは、次のオプションが表示されます。The following options appear when you create a new domain.

AD DS インストール

注意

新しいツリー ドメインを作成する場合は、親ドメインの代わりにフォレストのルート ドメインの名前を指定する必要がありますが、それ以外のウィザードのページとオプションは同じです。If you create a new tree domain, you need to specify the name of the forest root domain instead of the parent domain, but the remaining wizard pages and options are the same.

  • [選択] をクリックして親ドメインまたは Active Directory のツリーを参照するか、有効な親ドメインまたはツリー名を入力します。Click Select to browse to the parent domain or Active Directory tree, or type a valid parent domain or tree name. 次に、 [新しいドメイン名] に新しいドメインの名前を入力します。Then type the name of the new domain in New domain name.

  • ツリー ドメイン: 有効な完全修飾ルート ドメイン名を指定します。単一ラベルは使用できず、DNS ドメイン名の要件を満たす必要があります。Tree domain: provide a valid, fully qualified root domain name; the name cannot be single-labeled and must use DNS domain name requirements.

  • 子ドメイン: 有効な単一ラベルの子ドメイン名を指定します。DNS ドメイン名の要件を満たす必要があります。Child domain: provide a valid, single-label child domain name; the name must use DNS domain name requirements.

  • 現在の資格情報がドメインのものではない場合、Active Directory Domain Services 構成ウィザードではドメイン資格情報の入力を求められます。The Active Directory Domain Services Configuration Wizard prompts you for domain credentials if your current credentials are not from the domain. [変更] をクリックしてドメインの資格情報を指定します。Click Change to provide domain credentials.

ドメインを作成する方法の詳細については、「 Install a New Windows Server 2012 Active Directory Child また(は Tree)domain Level 200」を参照してください。For more information about how to create a domain, see Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).

既存のドメインに新しいドメイン コントローラーを追加するときは、次のオプションが表示されます。The following options appear when you add a new domain controller to an existing domain.

AD DS インストール

  • [選択] をクリックしてドメインを参照するか、有効なドメイン名を入力します。Click Select to browse to the domain, or type a valid domain name.

  • 必要な場合、サーバー マネージャーでは有効な資格情報の入力を求められます。Server Manager prompts you for valid credentials if needed. ドメイン コントローラーを追加インストールするには、Domain Admins グループのメンバーである必要があります。Installing an additional domain controller requires membership in the Domain Admins group.

    また、フォレスト内で Windows Server 2012 を実行する最初のドメインコントローラーをインストールするには、Enterprise Admins グループと Schema Admins グループの両方にグループメンバーシップを含む資格情報が必要です。In addition, installing the first domain controller that runs Windows Server 2012 in a forest requires credentials that include group memberships in both the Enterprise Admins and Schema Admins groups. 現在の資格情報に適切なアクセス許可またはグループ メンバーシップがない場合、Active Directory Domain Services 構成ウィザードでは後で入力を求められます。The Active Directory Domain Services Configuration Wizard prompts you later if your current credentials do not have adequate permissions or group memberships.

既存のドメインにドメインコントローラーを追加する方法の詳細については、「既存の(ドメインレベル)200 にレプリカ Windows Server 2012 ドメインコントローラーをインストールする」を参照してください。For more information about how to add a domain controller to an existing domain, see Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

ドメインコントローラーオプションDomain Controller Options

新しいフォレストを作成している場合、[ドメイン コントローラー オプション] ページには次のオプションが表示されます。If you are creating a new forest, the Domain Controller Options page has these options:

AD DS インストール

  • 既定では、フォレストおよびドメインの機能レベルは Windows Server 2012 に設定されています。The forest and domain functional levels are set to Windows Server 2012 by default.

    Windows Server 2012 ドメインの機能レベルで利用可能な新機能が1つあります。動的 Access Control と Kerberos 防御の KDC 管理用テンプレートポリシーのサポートには2つの設定があります (常に要求を提供し、防御認証に失敗します)。要求)。 Windows Server 2012 ドメインの機能レベルが必要です。There is one new feature available at the Windows Server 2012 domain functional level: the Support for Dynamic Access Control and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. 詳細については、「 Kerberos 認証の新機能」の「信頼性情報、複合認証、および kerberos 防御のサポート」を参照してください。For more information, see "Support for claims, compound authentication and Kerberos armoring" in What's new in Kerberos Authentication.
    Windows Server 2012 フォレストの機能レベルでは新しい機能は提供されませんが、フォレスト内に作成された新しいドメインは、Windows Server 2012 ドメインの機能レベルで自動的に動作するようになります。The Windows Server 2012 forest functional level does not provide any new features, but it ensures that any new domain created in the forest will automatically operate at the Windows Server 2012 domain functional level. Windows Server 2012 ドメインの機能レベルでは、動的 Access Control と Kerberos 防御のサポートの横に新しい機能はありませんが、ドメイン内のすべてのドメインコントローラーが Windows Server 2012 を実行していることが保証されます。The Windows Server 2012 domain functional level does not provide any new other features beside support for Dynamic Access Control and Kerberos armoring, but it ensures that any domain controller in the domain runs Windows Server 2012 . 別の機能レベルで使用できる他の機能の詳細については、「 AD DS の機能レベルとは」を参照してください。For more information about other features that are available at different functional levels, see Understanding Active Directory Domain Services (AD DS) Functional Levels.

    Windows Server 2012 を実行するドメインコントローラーは、機能レベル以外にも、以前のバージョンの Windows Server を実行しているドメインコントローラーでは使用できない追加機能を提供します。Beyond functional levels, a domain controller that runs Windows Server 2012 provides additional features that are not available on a domain controller that runs an earlier version of Windows Server. たとえば、Windows Server 2012 を実行するドメインコントローラーは仮想ドメインコントローラーの複製に使用できますが、以前のバージョンの Windows Server を実行するドメインコントローラーは使用できません。For example, a domain controller that runs Windows Server 2012 can be used for virtual domain controller cloning, whereas a domain controller that runs an earlier version of Windows Server cannot.

  • 新しいフォレストを作成するときは、DNS サーバーが既定で選択されます。DNS server is selected by default when you create a new forest. フォレストの最初のドメイン コントローラーはグローバル カタログ (GC) サーバーである必要があり、読み取り専用のドメイン コントローラー (RODC) にはできません。The first domain controller in the forest must be a global catalog (GC) server, and it cannot be a read only domain controller (RODC).

  • AD DS が実行されていないドメイン コントローラーにログオンするには、ディレクトリ サービス復元モード (DSRM) のパスワードが必要です。The Directory Services Restore Mode (DSRM) password is needed in order to log on to a domain controller where AD DS is not running. 指定するパスワードはサーバーに適用されるパスワード ポリシーに準拠する必要がありますが、既定では強力なパスワードである必要はなく、空白パスワードではないことだけが必要です。The password you specify must adhere to the password policy applied to the server, which by default does not require a strong password; only a non-blank password. 常に強力で複雑なパスワードを、または可能であればパスフレーズを選択します。Always choose a strong, complex password or preferably, a passphrase. DSRM パスワードとドメインユーザーアカウントのパスワードを同期する方法については、「 KB 961320」を参照してください。For information about how to synchronize the DSRM password with the password of a domain user account, see KB 961320.

フォレストを作成する方法の詳細については、「 Install a New Windows Server 2012 (Active Directory forest)Level 200」を参照してください。For more information about how to create a forest, see Install a New Windows Server 2012 Active Directory Forest (Level 200).

子ドメインを作成している場合、[ドメイン コントローラー オプション] ページには次のオプションが表示されます。If you are creating a child domain, the Domain Controller Options page has these options:

AD DS インストール

  • 既定では、ドメインの機能レベルは Windows Server 2012 に設定されています。The domain functional level is set to Windows Server 2012 by default. フォレスト機能レベル以上の他の任意の値を指定できます。You can specify any other value that is at least the value of the forest functional level or higher.

  • 構成可能なドメイン コントローラー オプションは [DNS サーバー][グローバル カタログ] であり、読み取り専用ドメイン コントローラーを新しいドメインの最初のドメイン コントローラーとして構成することはできません。The configurable domain controller options include DNS server and Global Catalog; you cannot configure read-only domain controller as the first domain controller in a new domain.

    分散環境での高可用性のため、すべてのドメイン コントローラーで DNS サービスとグローバル カタログ サービスを提供することをお勧めします。新しいドメインを作成するときにウィザードにおいてこれらのオプションが既定で有効になるのはそのためです。Microsoft recommends that all domain controllers provide DNS and global catalog services for high availability in distributed environments, which is why the wizard enables these options by default when creating a new domain.

  • [ドメイン コントローラー オプション] ページでは、フォレストの構成から適切な Active Directory 論理サイト名を選択することもできます。The Domain Controller Options page also enables you to choose the appropriate Active Directory logical site name from the forest configuration. 既定では、最も適切なサブネットのサイトが選択されます。By default, it selects the site with the most correct subnet. サイトが 1 つだけの場合は、そのサイトが自動的に選択されます。If there is only one site, it selects that site automatically.

    重要

    サーバーが Active Directory サブネットに属しておらず、複数のサイトが存在する場合は、何も選択されておらず、一覧からサイトを選択するまで [次へ] ボタンは使用できません。If the server does not belong to an Active Directory subnet and there is more than one site, nothing is selected and the Next button is unavailable until you choose a site from the list.

ドメインを作成する方法の詳細については、「 Install a New Windows Server 2012 Active Directory Child また(は Tree)domain Level 200」を参照してください。For more information about how to create a domain, see Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).

ドメインにドメイン コントローラーを追加する場合は、[ドメイン コントローラー オプション] ページに次のオプションが表示されます。If you are adding a domain controller to a domain, the Domain Controller Options page has these options:

AD DS インストール

  • 構成可能なドメイン コントローラー オプションは、 [DNS サーバー][グローバル カタログ][読み取り専用ドメイン コントローラー] です。The configurable domain controller options include DNS server and Global Catalog, and Read-only domain controller.

    分散環境での高可用性のため、すべてのドメイン コントローラーで DNS サービスとグローバル カタログ サービスを提供することをお勧めします。ウィザードにおいてこれらのオプションが既定で有効になるのはそのためです。Microsoft recommends that all domain controllers provide DNS and global catalog services for high availability in distributed environments, which is why the wizard enables these options by default. Rodc の展開の詳細については、「読み取り専用ドメインコントローラーの計画と展開ガイド」を参照してください。For more information about deploying RODCs, see Read-Only Domain Controller Planning and Deployment Guide.

既存のドメインにドメインコントローラーを追加する方法の詳細については、「既存の(ドメインレベル)200 にレプリカ Windows Server 2012 ドメインコントローラーをインストールする」を参照してください。For more information about how to add a domain controller to an existing domain, see Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

DNS オプションDNS Options

DNS サーバーをインストールする場合は、 [DNS オプション] ページが表示されます。If you install DNS server, the following DNS Options page appears:

AD DS インストール

DNS サーバーをインストールするときは、ゾーンに対する権限を持つドメイン ネーム システム (DNS) サーバーを示す委任レコードを、親の DNS ゾーンに作成する必要があります。When you install DNS server, delegation records that point to the DNS server as authoritative for the zone should be created in the parent Domain Name System (DNS) zone. 委任レコードによって、名前解決の権限が転送され、新しいゾーンに対する権限の付与先となる新しいサーバーのクライアントと他の DNS サーバーへの適切な紹介が提供されます。Delegation records transfer name resolution authority and provide correct referral to other DNS servers and clients of the new servers that are being made authoritative for the new zone. これらのリソース レコードは次のとおりです。These resource records include the following:

  • 委任を実現するネーム サーバー (NS) リソース レコード。A name server (NS) resource record to effect the delegation. このリソース レコードを使用して、ns1.na.example.microsoft.com という名前のサーバーが、委任されたサブドメインに対する権限を持つサーバーであることをアドバタイズします。This resource record advertises that the server named ns1.na.example.microsoft.com is an authoritative server for the delegated subdomain.

  • ネームサーバー (NS) リソースレコードで指定されているサーバーの名前を IP アドレスに解決するには、ホスト (A または AAAA) リソースレコードがグルーレコードとしても知られている必要があります。A host (A or AAAA) resource record also known as a glue record must be present to resolve the name of the server that is specified in the name server (NS) resource record to its IP address. このリソース レコード内のホスト名をネーム サーバー (NS) リソース レコード内の委任された DNS サーバーに解決するプロセスは、"連結追跡" とも呼ばれます。The process of resolving the host name in this resource record to the delegated DNS server in the name server (NS) resource record is sometimes referred to as "glue chasing."

これらは Active Directory Domain Services 構成ウィザードで自動的に作成できます。You can have the Active Directory Domain Services Configuration Wizard create them automatically. ウィザードでは、 [ドメイン コントローラー オプション] ページで [次へ] をクリックした後に、該当するレコードが親の DNS ゾーンに存在するかどうかが確認されます。The wizard verifies that the appropriate records exist in the parent DNS zone after you click Next on the Domain Controller Options page. レコードが親ドメインに存在することが確認できなかった場合は、ウィザードの自動的に新しいドメインの新しい DNS 委任を作成する (または既存の委任を更新する) オプションを使用して、新しいドメイン コントローラーのインストールを続行できます。If the wizard cannot verify that the records exist in the parent domain, the wizard provides you with the option to create a new DNS delegation for a new domain (or update the existing delegation) automatically and continue with the new domain controller installation.

または、DNS サーバーをインストールする前にこれらの DNS 委任レコードを作成することもできます。Alternatively, you can create these DNS delegation records before you install DNS server. ゾーンの委任を作成するには、DNS マネージャーを開き、親ドメインを右クリックして、 [新しい委任] をクリックします。To create a zone delegation, open DNS Manager, right-click the parent domain, and then click New Delegation. 新しい委任ウィザードの手順に従って、委任を作成します。Follow the steps in the New Delegation Wizard to create the delegation.

インストール プロセスは、他のドメイン内のコンピューターがホスト (DNS サブドメイン内のドメイン コントローラー、メンバー コンピューターなど) の DNS クエリを解決できるようにする委任の作成を試行します。The installation process tries to create the delegation to ensure that computers in other domains can resolve DNS queries for hosts, including domain controllers and member computers, in the DNS subdomain. 委任レコードを自動的に作成できるのは Microsoft DNS サーバーだけであることに注意してください。Note that the delegation records can be automatically created only on Microsoft DNS servers. 親 DNS ドメイン ゾーンが BIND などのサード パーティの DNS サーバーにある場合は、DNS 委任レコード作成の失敗に関する警告が [前提条件のチェック] ページに表示されます。If the parent DNS domain zone resides on third party DNS servers such as BIND, a warning about the failure to create DNS delegation records appears on the Prerequisites check page. 警告の詳細については、「 AD DS のインストールに関する既知の問題」を参照してください。For more information about the warning, see Known issues for installing AD DS.

親ドメインと昇格されるサブドメインの間の委任は、インストールの前または後に作成して検証できます。Delegations between the parent domain and the subdomain being promoted can be created and validated before or after the installation. DNS 委任を作成または更新することはできないので、新しいドメイン コントローラーのインストールを遅延する必要はありません。There is no reason to delay the installation of a new domain controller because you cannot create or update the DNS delegation.

委任の詳細については、「ゾーンの委任について」 (https://go.microsoft.com/fwlink/?LinkId=164773) を参照してください。For more information about delegation, see Understanding Zone Delegation (https://go.microsoft.com/fwlink/?LinkId=164773). ご使用の状況で委任が不可能な場合は、他のドメインから現在のドメイン内のホストへの名前解決を指定する別の方法を検討してください。If zone delegation is not possible in your situation, you might consider other methods for providing name resolution from other domains to the hosts in your domain. たとえば、別のドメインの DNS 管理者は、現在のドメイン内の名前を解決するために、条件付き転送、スタブ ゾーン、またはセカンダリ ゾーンを構成できます。For example, the DNS administrator of another domain could configure conditional forwarding, stub-zones, or secondary zones in order to resolve names in your domain. 詳細については、次の各トピックを参照してください。For more information, see the following topics:

RODC オプションRODC Options

読み取り専用ドメイン コントローラー (RODC) をインストールするときは、次のオプションが表示されます。The following options appear when you install a read-only domain controller (RODC).

AD DS インストール

  • 委任される管理者アカウントには、RODC に対するローカル管理アクセス許可が与えられます。Delegated administrator accounts gain local administrative permissions to the RODC. これらのユーザーは、ローカルコンピューターの Administrators グループに相当する特権を使用して操作できます。These users can operate with privileges equivalent to the local computer's Administrators group. これらのユーザーは、Domain Admins グループまたはドメインの組み込みの Administrator グループのメンバーではありません。They are not members of the Domain Admins or the domain built-in Administrators groups. このオプションは、ドメインの管理アクセス許可を与えることなく支社の管理を委任する場合に便利です。This option is useful for delegating branch office administration without giving out domain administrative permissions. 管理の委任の構成は必要ありません。Configuring delegation of administration is not required. 詳細については、「管理者の役割の分離」を参照してください。For more information, see Administrator Role Separation.

  • パスワード レプリケーション ポリシーはアクセス制御リスト (ACL) として機能します。The Password Replication Policy acts as an access control list (ACL). パスワード レプリケーション ポリシーによって、RODC がパスワードをキャッシュできるかどうかが決まります。It determines if an RODC should be permitted to cache a password. RODC は、認証済みのユーザーまたはコンピューターのログオン要求を受け取った後、パスワード レプリケーション ポリシーを参照して、アカウントのパスワードをキャッシュする必要があるかどうかを判別します。After the RODC receives an authenticated user or computer logon request, it refers to the Password Replication Policy to determine if the password for the account should be cached. 同じアカウントによる以降のログオンをいっそう効率よく実行できます。The same account can then perform subsequent logons more efficiently.

    パスワード レプリケーション ポリシー (PRP) には、パスワードをキャッシュできるアカウント、およびパスワードのキャッシュを明示的に拒否されているアカウントが列記されています。The Password Replication Policy (PRP) lists the accounts whose passwords are allowed to be cached, and accounts whose passwords are explicitly denied from being cached. キャッシュできるアカウントのリストにユーザーおよびコンピューターが含まれていたとしても、RODC がそのアカウントのパスワードを実際にキャッシュしているとは限りません。The list of user and computer accounts that are permitted to be cached does not imply that the RODC has necessarily cached the passwords for those accounts. たとえば、管理者は事前に RODC がキャッシュするアカウントを指定できます。An administrator can, for example, specify in advance any accounts that an RODC will cache. これにより、RODC はハブ サイトへの WAN リンクがオフラインであっても、それらのアカウントを認証できます。This way, the RODC can authenticate those accounts, even if the WAN link to the hub site is offline.

    許可されていない (暗黙を含みます)、または拒否されているユーザーまたはコンピューターのパスワードはキャッシュされません。Any users or computers who are not allowed (including implicit) or denied do not cache their password. このようなユーザーまたはコンピューターは、書き込み可能なドメイン コントローラーにアクセスできない場合、AD DS が提供するリソースまたは機能にアクセスできません。If those users or computers do not have access to a writable domain controller, they cannot access AD DS-provided resources or functionality. PRP の詳細については、「パスワードレプリケーションポリシー」を参照してください。For more information about the PRP, see Password Replication Policy. PRP の管理の詳細については、「パスワードレプリケーションポリシーの管理」を参照してください。For more information about managing the PRP, see Administering the Password Replication Policy.

Rodc のインストールの詳細については、「 Windows Server 2012 Active Directory 読み取り専用ドメインコントローラー (の) (RODC レベル)200 をインストールする」を参照してください。For more information about installing RODCs, see Install a Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200).

その他のオプションAdditional Options

新しいドメインを作成している場合、 [追加オプション] ページには次のオプションが表示されます。The following option appears on the Additional Options page if you are creating a new domain:

AD DS インストール

既存のドメインに追加のドメイン コントローラーをインストールしている場合、 [追加オプション] ページには次のオプションが表示されます。The following options appear on the Additional Options page if you install an additional domain controller in an existing domain:

AD DS インストール

  • レプリケーション ソースとしてのドメイン コントローラーを自分で指定することも、ウィザードに任意のドメイン コントローラーをレプリケーション ソースとして選択させることもできます。You can either specify a domain controller as the replication source, or allow the wizard to choose any domain controller as the replication source.

  • また、メディアからのインストール (IFM) オプションを使用して、バックアップされているメディアからドメイン コントローラーをインストールすることもできます。You can also choose to install the domain controller using backed up media using the Install from media (IFM) option. インストール メディアがローカルに格納されている場合は、 [メディアからのインストール パス] オプションを使用してファイルの場所を指定できます。If the installation media is stored locally, the Install from media Path option allows you to browse to the file location. リモート インストールの場合、参照オプションは使用できません。The browse option is not available for a remote installation. [確認] をクリックして、指定したパスが有効なメディアであることを確認できます。You can click Verify to ensure the provided path is valid media. IFM オプションによって使用されるメディアは、Windows Server バックアップまたは Ntdsutil.exe で、別の既存の Windows Server 2012 コンピューターからのみ作成する必要があります。windows server 2008 R2 以前のオペレーティングシステムを使用して、Windows Server 2012 ドメインコントローラー用のメディアを作成することはできません。Media used by the IFM option must be created with Windows Server Backup or Ntdsutil.exe from another existing Windows Server 2012 computer only; you cannot use a Windows Server 2008 R2 or previous operating system to create media for a Windows Server 2012 domain controller. メディアが SYSKEY で保護されている場合、サーバー マネージャーは確認の間にイメージのパスワードの入力を求めます。If the media is protected with a SYSKEY, Server Manager prompts for the image's password during verification.

ドメインを作成する方法の詳細については、「 Install a New Windows Server 2012 Active Directory Child また(は Tree)domain Level 200」を参照してください。For more information about how to create a domain, see Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200). 既存のドメインにドメインコントローラーを追加する方法の詳細については、「既存の(ドメインレベル)200 にレプリカ Windows Server 2012 ドメインコントローラーをインストールする」を参照してください。For more information about how to add a domain controller to an existing domain, see Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

パスPaths

[パス] ページには次のオプションが表示されます。The following options appear on the Paths page.

AD DS インストール

  • [パス] ページでは、AD DS データベース、データベース トランザクション ログ、および SYSVOL 共有の既定のフォルダーの場所を上書きできます。The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. 既定の場所は常に %systemroot% 内です。The default locations are always in %systemroot%.

AD DS データベース (NTDS.DIT)、ログ ファイル、SYSVOL の場所を指定します。Specify the location for the AD DS database (NTDS.DIT), log files, and SYSVOL. ローカル インストールの場合は、ファイルを保存する場所を指定できます。For a local installation, you can browse to the location where you want to store the files.

準備オプションPreparation Options

AD DS インストール

現在のログオンで使用している資格情報が adprep.exe コマンドを実行するには十分ではなく、AD DS のインストールを完了するために adprep を実行する必要がある場合は、adprep.exe を実行するための資格情報の入力を求められます。If you are not currently logged on with sufficient credentials to run adprep.exe commands and adprep is required to run in order to complete the AD DS installation, you are prompted to supply credentials to run adprep.exe. Windows Server 2012 を実行する最初のドメインコントローラーを既存のドメインまたはフォレストに追加するには、Adprep を実行する必要があります。Adprep is required to run in order to add the first domain controller that runs Windows Server 2012 to an existing domain or forest. 具体的な機能は次のとおりです。More specifically:

  • Windows Server 2012 を実行する最初のドメインコントローラーを既存のフォレストに追加するには、Adprep/forestprep を実行する必要があります。Adprep /forestprep must be run to add the first domain controller that runs Windows Server 2012 to an existing forest. このコマンドは、Enterprise Admins グループ、Schema Admins グループ、およびスキーマ マスターをホストするドメインの Domain Admins グループのメンバーが実行する必要があります。This command must be run by a member of the Enterprise Admins group, the Schema Admins group, and the Domain Admins group of the domain that hosts the schema master. このコマンドが正常に完了するには、コマンドを実行するコンピューターとフォレストのスキーマ マスターが接続されている必要があります。For this command to complete successfully, there must be connectivity between the computer where you run the command and the schema master for the forest.

  • Windows Server 2012 を実行する最初のドメインコントローラーを既存のドメインに追加するには、Adprep/domainprep を実行する必要があります。Adprep /domainprep must be run to add the first domain controller that runs Windows Server 2012 to an existing domain. このコマンドは、Windows Server 2012 を実行するドメインコントローラーをインストールするドメインの domain Admins グループのメンバーが実行する必要があります。This command must be run by a member of the Domain Admins group of the domain where you are installing the domain controller that runs Windows Server 2012 . このコマンドが正常に完了するには、コマンドを実行するコンピューターとドメインのインフラストラクチャ マスターが接続されている必要があります。For this command to complete successfully, there must be connectivity between the computer where you run the command and the infrastructure master for the domain.

  • 最初の RODC を既存のフォレストに追加するには、adprep /rodcprep を実行する必要があります。Adprep /rodcprep must be run to add the first RODC to an existing forest. このコマンドは、Enterprise Admins グループのメンバーが実行する必要があります。This command must be run by a member of the Enterprise Admins group. このコマンドが正常に完了するには、コマンドを実行するコンピューターと、フォレスト内の各アプリケーション ディレクトリ パーティションのインフラストラクチャ マスターが接続されている必要があります。For this command to complete successfully, there must be connectivity between the computer where you run the command and the infrastructure master for each application directory partition in the forest.

Adprep.exe の詳細については、「 adprep.exe の統合」および「 adprep.exe の実行」を参照してください。For more information about Adprep.exe, see Adprep.exe integration and see Running Adprep.exe.

オプションの確認Review Options

AD DS インストール

  • [オプションの確認] ページでは、インストールを開始する前に、設定を検証し、設定が要件を満たしていることを確認できます。The Review Options page enables you to validate your settings and ensure that they meet your requirements before you start the installation. これがサーバー マネージャーを使用するインストールを停止する最後の機会ではありません。This is not the last opportunity to stop the installation using Server Manager. このページでは、構成を続行する前に設定を検討して確認することだけができます。This page simply enables you to review and confirm your settings before continuing the configuration.

  • サーバー マネージャーの [オプションの確認] ページにあるオプションの [スクリプトの表示] ボタンを使用すると、現在の ADDSDeployment モジュール構成を単一の Windows PowerShell スクリプトとして含む Unicode テキスト ファイルを作成することもできます。The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. これにより、サーバー マネージャーのグラフィカル インターフェイスを Windows PowerShell 展開スタジオとして使用できます。This enables you to use the Server Manager graphical interface as a Windows PowerShell deployment studio. Active Directory ドメイン サービス構成ウィザードを使用してオプションを構成し、構成をエクスポートした後、ウィザードをキャンセルします。Use the Active Directory Domain Services Configuration Wizard to configure options, export the configuration, and then cancel the wizard. これによって有効で正しい構文のサンプルが作成されるので、それをさらに変更したり、直接使用したりできます。This process creates a valid and syntactically correct sample for further modification or direct use.

前提条件の確認Prerequisites Check

AD DS インストール

このページでは次のような警告が表示されます。Some of the warnings that appear on this page include:

  • Windows Server 2008 以降を実行するドメインコントローラーには、セキュリティで保護されたチャネルセッションを確立するときに暗号化アルゴリズムの強度を低くする "Windows NT 4 と互換性のある暗号化アルゴリズムを許可する" の既定の設定があります。Domain controllers that run Windows Server 2008 or later have a default setting for "Allow cryptography algorithms compatible with Windows NT 4" that prevents weaker cryptography algorithms when establishing secure channel sessions. 潜在的な影響と回避策の詳細については、サポート技術情報の記事942564を参照してください。For more information about the potential impact and a workaround, see KB article 942564.

  • DNS 委任を作成または更新できませんでした。DNS delegation could not be created or updated. 詳細については、「DNS のオプション」を参照してください。For more information, see DNS Options.

  • 前提条件の確認には WMI の呼び出しが必要です。The prerequisite check requires WMI calls. 呼び出しがファイアウォール ルールでブロックされている場合は、呼び出しが失敗し、RPC サーバーを使用できないというエラーが表示される可能性があります。They can fail if they are blocked firewall rules block, and return an RPC server unavailable error.

AD DS のインストールで実行される具体的な前提条件の確認の詳細については、「前提条件のテスト」を参照してください。For more information about the specific prerequisite checks that are performed for AD DS installation, see Prerequisite Tests.

生じResults

AD DS インストール

このページでは、インストールの結果を確認できます。On this page, you can review the results of the installation.

また、ウィザードが完了した後で対象のサーバーを再起動することもできますが、インストールが成功した場合は、このオプションを選択するかどうかにかかわらずサーバーは常に再起動されます。You can also select to restart the target server after the wizard completes, but if the installation succeeds, the server will always restart regardless of whether you select that option. 場合によっては、インストール前にはドメインに参加していなかった対象サーバーでウィザードが完了した後、対象サーバーのシステム状態により、ネットワーク上でサーバーに到達できないことや、リモート サーバーを管理するためのアクセス許可がユーザーに与えられないことがあります。In some cases after the wizard completes on a target server that was not joined to the domain before the installation, the system state of the target server can make the server unreachable on the network, or the system state can prevent you from having permissions to manage the remote server.

このような状態で対象サーバーの再起動が失敗した場合は、手動で再起動する必要があります。If the target server fails to restart in this case, you must manually restart it. shutdown.exe や Windows PowerShell などのツールでは再起動できません。Tools such as shutdown.exe or Windows PowerShell cannot restart it. リモート デスクトップ サービスを使用して対象サーバーにログオンし、リモートでシャットダウンできます。You can use Remote Desktop Services to log on and remotely shut down the target server.

役割の削除の資格情報Role Removal credentials

AD DS インストール

降格オプションは [資格情報] ページで構成します。You configure demotion options on the Credentials page. 次の一覧から降格の実行に必要な資格情報を指定します。Provide the credentials necessary to perform the demotion from the following list:

  • 追加ドメイン コントローラーの降格には、Domain Admin 資格情報が必要です。Demoting an additional domain controller requires Domain Admin credentials. [ドメインコントローラーの削除を強制する] を選択すると、Active Directory からドメインコントローラーオブジェクトのメタデータが削除されることなく、ドメインコントローラーが降格されます。Selecting Force removal of the domain controller demotes the domain controller without removing the domain controller object's metadata from Active Directory.

    重要

    ドメイン コントローラーが他のドメイン コントローラーに接続できず、そのネットワークの問題を解決するために他に有効な方法がない場合にのみ、このオプションを選択してください。Do not select this option unless the domain controller cannot contact other domain controllers and there is no reasonable way to resolve that network issue. 強制的に降格を行うと、フォレスト内の他のドメイン コントローラーの Active Directory に孤立したメタデータが残ります。Forced demotion leaves orphaned metadata in Active Directory on the remaining domain controllers in the forest. さらに、そのドメイン コントローラーで複製されていないすべての変更 (パスワードや新しいユーザー アカウントなど) が失われます。In addition, all un-replicated changes on that domain controller, such as passwords or new user accounts, are lost forever. 孤立したメタデータは、AD DS、Exchange、SQL、他のソフトウェアに関する Microsoft カスタマー サポートへの問い合わせの根本原因として大きな割合を占めます。Orphaned metadata is the root cause in a significant percentage of Microsoft Customer Support cases for AD DS, Exchange, SQL, and other software. ドメイン コントローラーを強制的に降格する場合は、手動でメタデータのクリーンアップをすぐに実行する 必要がありますIf you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. 手順については、「 Clean Up Server Metadata (サーバー メタデータのクリーンアップ)」をご覧ください。For steps, review Clean Up Server Metadata.

  • ドメインの最後のドメイン コントローラーを降格する場合は、ドメイン自体が削除されるので (フォレストの最後のドメインの場合は、フォレストも削除されます)、Enterprise Admins グループのメンバーシップが必要です。Demoting the last domain controller in a domain requires Enterprise Admins group membership, as this removes the domain itself (if this is the last domain in the forest, this removes the forest). 現在のドメイン コントローラーがドメインにある最後のドメイン コントローラーである場合は、サーバー マネージャーからそのことが通知されます。Server Manager informs you if the current domain controller is the last domain controller in the domain. ドメイン コントローラーがドメインの最後のドメイン コントローラーであることを確認するには、 [ドメイン内の最後のドメイン コントローラー] を選択します。Select Last domain controller in the domain to confirm the domain controller is the last domain controller in the domain.

AD DS の削除の詳細については、「 Active Directory Domain Services を削除する (レベル 100) 」および「ドメインコントローラーとドメイン(レベル 200)の降格」を参照してください。For more information about removing AD DS, see Remove Active Directory Domain Services (Level 100) and Demoting Domain Controllers and Domains (Level 200).

AD DS の削除オプションと警告AD DS Removal Options and Warnings

[オプションの確認] ページに関するヘルプが必要な場合は、「オプションの確認」を参照してください。If you need help with the Review Options page, see Review Options

ドメイン コントローラーが DNS サーバーの役割やグローバル カタログ サーバーなどの他の役割をホストしている場合、次の警告ページが表示されます。If the domain controller hosts additional roles, such as DNS server role or global catalog server, the following Warning page appears:

AD DS インストール

[削除の続行] をクリックして他の役割が使用できなくなることを確認してから、 [次へ] をクリックして続行する必要があります。You must click Proceed with removal in order to acknowledge that the additional roles will no longer be available before you can click Next to continue.

ドメイン コントローラーを強制的に削除すると、ドメイン内の他のドメイン コントローラーに複製されていない Active Directory オブジェクトの変更は失われます。If you force the removal of a domain controller, any Active Directory object changes that have not replicated to other domain controllers in the domain will be lost. さらに、ドメイン コントローラーが操作マスターの役割、グローバル カタログ、または DNS サーバーの役割をホストしている場合、ドメインおよびフォレストの重要な操作が次のような影響を受ける場合があります。Additionally, if the domain controller hosts operation master roles, the global catalog, or DNS server role, critical operations in the domain and forest may be impacted as follows. 操作マスターの役割をホストしているドメイン コントローラーを削除する前に、役割を別のドメイン コントローラーに転送してください。Before you remove a domain controller that hosts any operations master role, try to transfer the role to another domain controller. 役割を転送できない場合は、最初にそのコンピューターから Active Directory Domain Services を削除した後、Ntdsutil.exe を使用して役割を止めてください。If it is not possible to transfer the role, first remove Active Directory Domain Services from this computer, and then use Ntdsutil.exe to seize the role. 役割を止めるドメイン コントローラーで Ntdsutil を使用します。可能な場合は、そのドメイン コントローラーと同じサイトで最近のレプリケーション パートナーを使用します。Use Ntdsutil on the domain controller that you plan to seize the role to; if possible, use a recent replication partner in the same site as this domain controller. 操作マスターの役割の転送と強制の詳細については、Microsoft サポート技術情報の記事 255504を参照してください。For more information about transferring and seizing operations master roles, see article 255504 in the Microsoft Knowledge Base. ドメイン コントローラーが操作マスターの役割をホストしているかどうかをウィザードが特定できない場合は、netdom.exe コマンドを実行して、そのドメイン コントローラーが操作マスターの役割を実行しているかどうかを判別します。If the wizard cannot determine if the domain controller host an operations master role, run netdom.exe command to determine whether this domain controller performs any operations master roles.

  • グローバルカタログ:ユーザーがフォレスト内のドメインにログオンするときに問題が発生する可能性があります。Global catalog: Users might have trouble logging on to domains in the forest. グローバル カタログ サーバーを削除する前に、ユーザーのログオンに対応するのに十分なグローバル カタログ サーバーがそのフォレストおよびサイトにあることを確認してください。Before you remove a global catalog server, ensure that enough global catalog servers are in this forest and site to service user logons. 必要に応じて、別のグローバル カタログ サーバーを委任し、新しい情報でクライアントとアプリケーションを更新します。If necessary, designate another global catalog server and update clients and applications with the new information.

  • DNS サーバー:Active Directory 統合ゾーンに格納されているすべての DNS データは失われます。DNS server: All of the DNS data that is stored in Active Directory-integrated zones will be lost. AD DS を削除すると、その DNS サーバーは Active Directory に統合されていた DNS ゾーンの名前解決を実行できなくなります。After you remove AD DS, this DNS server will not be able to perform name resolution for the DNS zones that were Active Directory-integrated. したがって、現在名前解決のためにその DNS サーバーの IP アドレスを参照しているすべてのコンピューターの DNS 構成を、新しい DNS サーバーの IP アドレスで更新することをお勧めします。Therefore, we recommend that you update the DNS configuration of all computers that currently refer to the IP address of this DNS server for name resolution with the IP address of a new DNS server.

  • インフラストラクチャ マスター: ドメイン内のクライアントによる他のドメインのオブジェクトの発見が困難になる場合があります。Infrastructure master: clients in the domain might have difficulty locating objects in other domains. 続行する前に、グローバル カタログ サーバーではないドメイン コントローラーにインフラストラクチャ マスターの役割を転送してください。Before you continue, transfer the infrastructure master role to a domain controller that is not a global catalog server.

  • RID マスター: 新しいユーザー アカウント、コンピューター アカウント、およびセキュリティ グループの作成で問題が発生する可能性があります。RID master: you might have problems creating new user accounts, computer accounts, and security groups. 続行する前に、そのドメイン コントローラーと同じドメイン内の別のドメイン コントローラーに RID マスターの役割を転送してください。Before you continue, transfer the RID master role to a domain controller in the same domain as this domain controller.

  • プライマリ ドメイン コントローラー (PDC) エミュレーター: PDC エミュレーターによって実行されている操作 (AD DS 以外のアカウントのグループ ポリシーの更新やパスワードのリセットなど) が、正常に機能しなくなります。Primary domain controller (PDC) emulator: operations that are performed by the PDC emulator, such as Group Policy updates and password resets for non-AD DS accounts, will not function properly. 続行する前に、そのドメイン コントローラーと同じドメイン内の別のドメイン コントローラーに PDC エミュレーター マスターの役割を転送してください。Before you continue, transfer the PDC emulator master role to a domain controller that is in the same domain as this domain controller.

  • スキーマ マスター: そのフォレストのスキーマを変更できなくなります。Schema master: you will no longer be able to modify the schema for this forest. 続行する前に、フォレストのルート ドメイン内の別のドメイン コントローラーにスキーマ マスターの役割を転送してください。Before you continue, transfer the schema master role to a domain controller in the root domain in the forest.

  • ドメイン名前付けマスター: そのフォレストへのドメインの追加およびフォレストからのドメインの削除を行うことができなくなります。Domain naming master: you will no longer be able to add domains to or remove domains from this forest. 続行する前に、フォレストのルート ドメイン内の別のドメイン コントローラーにドメイン名前付けマスターの役割を転送してください。Before you continue, transfer the domain naming master role to a domain controller in the root domain in the forest.

  • その Active Directory ドメイン コントローラーのすべてのアプリケーション ディレクトリ パーティションは削除されます。All application directory partitions on this Active Directory domain controller will be removed. ドメイン コントローラーが 1 つ以上のアプリケーション ディレクトリ パーティションの最新のレプリカを保持している場合、削除操作が完了すると、それらのパーティションは存在しなくなります。If a domain controller holds the last replica of one or more application directory partitions, when the removal operation is complete, those partitions will no longer exist.

ドメイン内の最後のドメイン コントローラーから Active Directory Domain Services をアンインストールすると、ドメインが存在しなくなることに注意してください。Be aware that the domain will no longer exist after you uninstall Active Directory Domain Services from the last domain controller in the domain.

ドメイン コントローラーが DNS ゾーンをホストするために委任された DNS サーバーである場合、次のページで DNS サーバーを DNS ゾーンの委任から削除するオプションが表示されます。If the domain controller is a DNS server that is delegated to host the DNS zone, the following page will provide the option to remove the DNS server from the DNS zone delegation.

AD DS インストール

AD DS の削除の詳細については、「 Active Directory Domain Services を削除する (レベル 100) 」および「ドメインコントローラーとドメイン(レベル 200)の降格」を参照してください。For more information about removing AD DS, see Remove Active Directory Domain Services (Level 100) and Demoting Domain Controllers and Domains (Level 200).

新しい管理者パスワードNew Administrator Password

降格が完了し、コンピューターがドメインメンバーサーバーまたはワークグループコンピューターになると、 [新しい管理者パスワード] ページでビルトインローカルコンピューターの管理者アカウントのパスワードを入力する必要があります。The New Administrator Password page requires you to provide a password for the built-in local computer's Administrator account, once the demotion completes and the computer becomes a domain member server or workgroup computer.

AD DS インストール

AD DS の削除の詳細については、「 Active Directory Domain Services を削除する (レベル 100) 」および「ドメインコントローラーとドメイン(レベル 200)の降格」を参照してください。For more information about removing AD DS, see Remove Active Directory Domain Services (Level 100) and Demoting Domain Controllers and Domains (Level 200).

オプションの確認Review Options

[オプションの確認] ページでは、他の降格を自動的に実行できるように、降格の構成設定を Windows PowerShell スクリプトにエクスポートできます。The Review Options page provides you the chance to export the configuration settings for demotion to a Windows PowerShell script so you can automate additional demotions. AD DS を削除するには [降格] をクリックします。Click Demote to remove AD DS.

AD DS インストール