すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:WindowsインスタンスでADドメインを構築し、クライアントをADドメインに参加させる

最終更新日:Dec 05, 2024

Active Directory (AD) は、Microsoftによって開発されたディレクトリサービス技術です。 ADを使用して、ネットワーク内のユーザー、コンピューター、およびその他のオブジェクトを管理および整理し、認証、承認、およびディレクトリサービスを提供できます。 ADドメインは、ADの基本単位となる論理グループである。 ADドメイン内のすべてのコンピューター、ユーザー、およびその他のオブジェクトは、ポリシー構成やセキュリティポリシーなどの同じ設定を共有します。 このトピックでは、ADドメインを構築し、クライアントをADドメインに参加させる方法について説明します。 この例では、Windows Server 2016 Datacenterを実行するElastic Compute Service (ECS) インスタンスが使用されています。

前提条件

2つのECSインスタンスが作成されます。 一方のECSインスタンスはADドメインのADドメインコントローラーとして機能し、もう一方のECSインスタンスはADドメインに参加するクライアントとして機能します。 ECSインスタンスの作成方法については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

このトピックでは、次の設定を使用します。

  • ネットワーク情報: ECSインスタンスは仮想プライベートクラウド (VPC) にデプロイされ、CIDRブロック172.31.0.0/16に関連付けられているvSwitchに接続されています。

  • ドメイン情報: ADドメインのルートドメイン名が使用されます。 (例:example.com)。

  • ECSインスタンスのIPアドレス: IPアドレス172.31.106.88は、ADドメインコントローラーとして使用されるECSインスタンスに割り当てられています。 IPアドレス172.31.106.87は、ADドメインクライアントとして使用されるECSインスタンスに割り当てられています。

    重要

    ADドメインを構築するときは、インスタンスへの通常のアクセスを確保するために、各ECSインスタンスのIPアドレスが変更されていないことを確認してください。

手順1: ADドメインコントローラーのデプロイ

重要

ADドメインコントローラーがデプロイされているECSインスタンスからカスタムイメージを作成し、そのカスタムイメージからADドメインコントローラーがデプロイされている新しいECSインスタンスを作成する操作を実行して、ADドメインコントローラーをデプロイしないことをお勧めします。 上記の操作を実行してADドメインコントローラーをデプロイする場合は、インスタンスの作成時に新しいインスタンスの元のインスタンスのホスト名を指定します。

. または、新しいインスタンスの作成後に、新しいインスタンスのホスト名を元のインスタンスのホスト名に変更します。

  1. ADドメインコントローラーとして使用するECSインスタンスに接続します。

    詳細については、「ECSインスタンスへの接続方法」をご参照ください。

  2. サーバーマネージャーを起動します。

    デスクトップの左下隅にある搜索.jpgアイコンをクリックし、検索ボックスに [サーバーマネージャー] と入力し、検索結果にある [サーバーマネージャー] をクリックします。打开服务器管理器.png

  3. では、サーバーマネージャーウィンドウで、役割と機能を追加します。

    この例では、ADサービスとDNSサービスが同じサーバーにデプロイされています。 次の手順を実行します。

    重要

    このセクションでは、特定のステップについては説明しません。 このセクションで説明していない手順を実行する場合は、デフォルト設定を使用して [次へ] をクリックします。

    1. [ロールと機能の追加] をクリックします。添加角色和功能.png

    2. インストールタイプを選択します。安装类型.png

    3. 役割と機能をインストールするサーバーを選択します。

      选择服务器.png

    4. ロールリストで、Active DirectoryドメインサービスDNSサーバー.

      勾选服务器角色.png

    5. インストールが完了したら、[閉じる] をクリックします。

      安装成功.png

  4. ECSインスタンスをADドメインコントローラーとして設定します。

    重要

    このセクションでは、特定のステップについては説明しません。 このセクションで説明していない手順を実行する場合は、デフォルト設定を使用して [次へ] をクリックします。

    1. [サーバーマネージャー] ウィンドウの右上隅にある警告图标.pngアイコンをクリックし、[このサーバーをドメインコントローラーに昇格させる] を選択します。提升为域控制器.png

    2. Active Directoryドメインサービス構成ウィザードで、[展開操作の選択] パラメーターを [新しいフォレストの追加] に設定し、[ルートドメイン名] フィールドにドメイン名を入力します。

      この例では、example.comはルートドメイン名として入力されます。根域名.png

    3. ドメインコントローラーのオプションを設定し、[次へ] をクリックします。配置域服务器参数.png

    4. DNSオプションを設定し、次へ.配置DNS选项.png

    5. NetBIOSドメイン名を設定し、次へ.配置NetBIOS域名.png

    6. 設定を確認し、次へ.确认选择.png

    7. 前提条件の検証が完了したことを確認し、インストール.单击安装.png

      アイテムがインストールされるのを待ってから、ECSインスタンスを再起動し、インスタンスに再接続して、システム設定のインストール結果を確認します。 Active Directoryドメインサービスがインストールされている場合、次の図に示すように、指定したドメインコントローラ情報が表示されます。查看DC安装结果.png

ステップ2: クライアントをADドメインに参加させる

重要
  • クライアントとして使用されるECSインスタンスをADドメインに参加させた後、インスタンスを使用してカスタムイメージを作成しないことを推奨します。

    . ECSインスタンスからカスタムイメージを作成する前に、ADドメインからインスタンスを削除することを推奨します。

  • 非パブリックイメージから作成されたECSインスタンスは、同じセキュリティ識別子 (SID) を持ちます。 ADドメインクライアントとADドメインコントローラーが同じカスタムイメージから作成されている場合は、クライアントのSIDを変更する必要があります。 詳細については、このトピックの「ADドメインクライアントのSIDの変更」をご参照ください。

  1. ADドメインクライアントとして使用されているECSインスタンスに接続します。

    詳細については、「ECSインスタンスへの接続方法」をご参照ください。

  2. ADドメインクライアントのDNSサーバーアドレスを変更します。

    ADドメインクライアントのDNSサーバーアドレスを、DNSサーバーがデプロイされているECSインスタンスのIPアドレスに変更します。 たとえば、手順1: ADドメインコントローラーのデプロイで、IPアドレスが172.31.106.88である同じECSインスタンスにADドメインコントローラーとDNSサーバーをデプロイしたとします。 この場合、DNSサーバアドレスとして172.31.106.88を指定します。填写DNS服务器地址.png

  3. DNSサーバーのIPアドレスがpingできるかどうかを確認します。

    関連するパラメーターを含む次のコマンド出力が表示されます。これは、DNSサーバーにpingを実行できることを示します。Ping通DNS.png

  4. ADドメインクライアントをADドメインに参加させます。

    1. コントロールパネルのシステムページに移動します。

      1. デスクトップの左下隅にある搜索.jpgアイコンをクリックし、検索ボックスにコントロールパネルと入力して、検索結果で [コントロールパネル] をクリックします。

      2. [システムとセキュリティ] > [システム] を選択します。

    2. [コンピュータ名、ドメイン、ワークグループの設定] セクションの右上隅にある [設定の変更] をクリックします。更改设置.png

    3. [システムのプロパティ] ダイアログボックスで、[変更] をクリックします。单击更改.png

    4. [コンピューター名 /ドメインの変更] ダイアログボックスで、ADドメインに関する情報を追加します。

      [手順1: ADドメインコントローラーのデプロイ] で指定したルートドメイン名を入力します。 この例では、example.comはADドメインのルートドメイン名として使用されます。添加AD域信息.png

    5. 変更を有効にするには、サーバーを再起動します。

    クライアントとして使用されるECSインスタンスをADドメインに参加させると、インスタンスのコンピューター情報にADドメインのルートドメイン名が表示されます。成功加入AD域.png

関連する API 操作

ADドメインクライアントのSIDの変更

Windowsの組み込みSysprepツールを使用して、ADドメインクライアントのSIDを変更します。

  1. Sysprep.exeという名前のプログラムを見つけます。 ほとんどの場合、プログラムはC:\Windows\System32\Sysprepディレクトリに保存されます。

  2. 管理者としてSysprep.exeを実行し、[一般化] を選択し、[OK] をクリックします。

  3. ADドメインクライアントが再起動された後、クライアントのSIDが変更されます。 その後、クライアントをADドメインに再参加させることができます。