Active Directory (AD) は、Microsoftサービスのコアコンポーネントです。 ADは、効率的な管理を実装し、アカウントとコンピューターの管理、アプリケーションのデプロイ、パッチの更新、ファイルとリソースへのアクセスの管理などのバッチ操作を実行するのに役立ちます。 ADドメインは、Exchangeやフェールオーバークラスターなど、多くのMicrosoftコンポーネントで必要です。 このトピックでは、ADドメインを構築し、クライアントをADドメインに参加させる方法について説明します。 この例では、Windows Server 2016 Datacenterを実行するElastic Compute Service (ECS) インスタンスが使用されています。
前提条件
2つのECSインスタンスが作成されます。 ECSインスタンスの作成方法については、「カスタム起動タブでインスタンスを作成する」をご参照ください。 ECSインスタンスは次の要件を満たしています。
ECSインスタンスのディスク上のパーティションは、Windows NTファイルシステム (NTFS) パーティションです。
ECSインスタンスは、ドメインネームシステム (DNS) サービスをサポートしています。
ECSインスタンスはTCP/IPプロトコルをサポートしています。
このトピックでは、Windows Server 2016 Datacenterを実行する2つのECSインスタンスを、ADドメインコントローラーおよびADドメインクライアントとして使用します。
ネットワーク情報: ECSインスタンスは仮想プライベートクラウド (VPC) にデプロイされ、CIDRブロック172.31.0.0/16に関連付けられているvSwitchに接続されています。
ドメイン情報: ドメイン名e example.comが使用されます。 IPアドレス172.31.106.88は、ADドメインコントローラーとして使用されるECSインスタンスに割り当てられています。 IPアドレス172.31.106.87は、ADドメインクライアントとして使用されるECSインスタンスに割り当てられています。
重要ADドメインを構築するときは、インスタンスへの通常のアクセスを確保するために、各ECSインスタンスのIPアドレスが変更されていないことを確認してください。
手順1: ADドメインコントローラーのデプロイ
ADドメインコントローラーがデプロイされているECSインスタンスからカスタムイメージを作成し、そのカスタムイメージからADドメインコントローラーがデプロイされている新しいECSインスタンスを作成する操作を実行して、ADドメインコントローラーをデプロイしないことをお勧めします。 上記の操作を実行してADドメインコントローラーをデプロイする場合は、インスタンスの作成時に新しいインスタンスの元のインスタンスのホスト名を指定します。. または、新しいインスタンスの作成後に、新しいインスタンスのホスト名を元のインスタンスのホスト名に変更します。
ADドメインコントローラーとして使用するECSインスタンスに接続します。
サーバーマネージャーを起動します。
デスクトップの左下隅にある
アイコンをクリックし、検索ボックスに [サーバーマネージャー]と入力し、検索結果にある [サーバーマネージャー] をクリックします。
[サーバーマネージャー] ウィンドウで、ロールと機能を追加します。
この例では、ADサービスとDNSサービスが同じサーバーにデプロイされています。 次の手順を実行します。
重要このセクションでは、特定のステップについては説明しません。 このセクションで説明していない手順を実行する場合は、デフォルト設定を使用して [次へ] をクリックします。
[ロールと機能の追加] をクリックします。
インストールタイプを選択します。
ロールと機能をインストールするサーバーを選択します。
ロールリストで、[Active Directoryドメインサービス] および [DNSサーバー] を選択します。
インストールが完了したら、[閉じる] をクリックします。
ECSインスタンスをADドメインコントローラーとして設定します。
重要このセクションでは、特定のステップについては説明しません。 このセクションで説明していない手順を実行する場合は、デフォルト設定を使用して [次へ] をクリックします。
[サーバーマネージャー] ウィンドウの右上隅にある
アイコンをクリックし、[このサーバーをドメインコントローラーに昇格させる] を選択します。
Active Directoryドメインサービス構成ウィザードで、[展開操作の選択] パラメーターを [新しいフォレストの追加] に設定し、[ルートドメイン名] フィールドにドメイン名を入力します。
この例では、
example.comはフィールドに入力されます。
ドメインコントローラーのオプションを設定し、[次へ] をクリックします。
DNSオプションを設定し、[次へ] をクリックします。
NetBIOSドメイン名を設定し、[次へ] をクリックします。
設定を確認し、[次へ] をクリックします。
前提条件の検証が完了したことを確認し、[インストール] をクリックします。
アイテムがインストールされるのを待ってから、ECSインスタンスを再起動し、インスタンスに再接続して、システム設定のインストール結果を確認します。 Active Directoryドメインサービスがインストールされている場合、指定したドメインコントローラ情報は次の図のように表示されます。
(条件付きで必要) 手順2: ADドメインクライアントとして使用されるECSインスタンスのSIDを変更する
ADドメインコントローラーの設定を含むカスタムイメージからECSインスタンスを作成してADドメインコントローラーをデプロイする場合は、次の操作を実行して、ADドメインクライアントとして使用されるECSインスタンスのセキュリティ識別子 (SID) を変更します。 クライアントのSIDを既に変更している場合は、このセクションで説明する手順をスキップしてください。
ADドメインクライアントとして使用されているECSインスタンスに接続します。
詳細については、「接続方法の概要」をご参照ください。
ADドメインクライアントのSIDを変更するために使用されるPowerShellスクリプトをダウンロードします。
ダウンロードリンク: AutoSysprep.ps1
スクリプトソース: Alibaba Cloud
コマンドプロンプトを開き、
powershellと入力してWindows PowerShellセッションを開始します。説明ECSインスタンスが64ビットオペレーティングシステムを実行している場合は、32ビットPowerShell (Windows PowerShell (x86)) スクリプトを使用しないでください。 そうしないと、エラーが発生します。
スクリプトが保存されているパスに移動し、次のコマンドを実行してスクリプトツールの説明を表示します。
.\AutoSysprep.ps1 -help
次のコマンドを実行して、サーバーのSIDを再初期化します。
.\AutoSysprep.ps1 -ReserveHostname -ReserveNetwork -SkipRearm -PostAction "reboot"
SIDを再初期化すると、ADドメインクライアントとして使用されているECSインスタンスが自動的に再起動します。 以下の点にご注意ください。
ECSインスタンスのIPアドレスは、DHCP (Dynamic Host Configuration Protocol) IPアドレスから静的IPアドレスに変更される場合があります。 インスタンスの再起動の前後で、ECSインスタンスのIPアドレスが変更されないことを確認してください。 または、ECSインスタンスのIPアドレス割り当てタイプをDHCPに設定できます。 これにより、ECSコンソールのインスタンスには、プライマリプライベートIPアドレスとしてDHCPに基づいてIPアドレスが自動的に割り当てられます。
重要ECSコンソールでECSインスタンスのプライマリプライベートIPアドレスを変更しないでください。 それ以外の場合、アクセス例外が発生します。
SIDを再初期化すると、ECSインスタンスのファイアウォールの設定がMicrosoftのデフォルト設定に変更されます。 その結果、インスタンスにpingを実行することはできません。 ゲストまたはパブリックネットワークプロファイルのWindowsファイアウォールを無効にするか、必要なポートを開く必要があります。 次の図では、ゲストまたはパブリックネットワークプロファイルが接続状態になっています。これは、Windowsファイアウォールがネットワークプロファイルに対して有効になっていることを示しています。
コントロールパネルでゲストまたはパブリックネットワークプロファイルのWindowsファイアウォールを無効にします。
ゲストまたはパブリックネットワークプロファイルのWindowsファイアウォールを無効にすると、サーバーにpingを送信できます。
ステップ3: クライアントをADドメインに参加させる
ADドメインクライアントとして使用されているECSインスタンスに接続します。
詳細については、「接続方法の概要」をご参照ください。
DNSサーバーアドレスを変更します。
ADドメインクライアントのDNSサーバーアドレスを、DNSサーバーがデプロイされているECSインスタンスのIPアドレスに変更します。 たとえば、手順1: ADドメインコントローラーのデプロイで、IPアドレスが172.31.106.88である同じECSインスタンスにADドメインコントローラーとDNSサーバーをデプロイしたとします。 DNSサーバーアドレスとして172.31.106.88を指定します。
DNSサーバーのIPアドレスがping可能かどうかを確認します。
関連するパラメーターを含む次のコマンド出力が表示されます。これは、DNSサーバーにpingを実行できることを示します。
ADドメインクライアントをADドメインに参加させます。
コントロールパネルのシステムページに移動します。
デスクトップの左下隅にある
アイコンをクリックし、検索ボックスにコントロールパネルと入力し、検索結果でコントロールパネルを選択します。を選択します。
[コンピュータ名、ドメイン、ワークグループの設定] セクションの右上隅にある [設定の変更] をクリックします。
[システムのプロパティ] ダイアログボックスで、[変更] をクリックします。
[コンピューター名 /ドメインの変更] ダイアログボックスで、ADドメインに関する情報を追加します。
ビジネス要件に基づいてコンピュータ名を変更できます。 [手順1: ADドメインコントローラーのデプロイ] で指定したADドメイン名を入力します。 この例では、次の図に示すように、
example.comがADドメイン名として使用されます。
サーバーを再起動して変更を有効にします。
説明クライアントとして使用されるECSインスタンスをADドメインに参加させた後、インスタンスを使用してカスタムイメージを作成しないことを推奨します。 ECSインスタンスからカスタムイメージを作成する前に、ADドメインからインスタンスを削除することを推奨します。
クライアントとして使用されるECSインスタンスをADドメインに参加させると、インスタンスのコンピューター情報にADドメイン名が表示されます。
関連する操作
ECSインスタンス上にADドメインを構築し、クライアントとして別のECSインスタンスをADドメインに結合した後、ユーザーやグループの作成など、ビジネス要件に基づいて操作を実行できます。 詳細については、「Active Directoryドメインサービスの概要」をご参照ください。