Active Directory (AD) は、Microsoftによって開発されたディレクトリサービス技術です。 ADを使用して、ネットワーク内のユーザー、コンピューター、およびその他のオブジェクトを管理および整理し、認証、承認、およびディレクトリサービスを提供できます。 ADドメインは、ADの基本単位となる論理グループである。 ADドメイン内のすべてのコンピューター、ユーザー、およびその他のオブジェクトは、ポリシー構成やセキュリティポリシーなどの同じ設定を共有します。 このトピックでは、ADドメインを構築し、クライアントをADドメインに参加させる方法について説明します。 この例では、Windows Server 2016 Datacenterを実行するElastic Compute Service (ECS) インスタンスが使用されています。
前提条件
2つのECSインスタンスが作成されます。 一方のECSインスタンスはADドメインのADドメインコントローラーとして機能し、もう一方のECSインスタンスはADドメインに参加するクライアントとして機能します。 ECSインスタンスの作成方法については、「カスタム起動タブでインスタンスを作成する」をご参照ください。
このトピックでは、次の設定を使用します。
ネットワーク情報: ECSインスタンスは仮想プライベートクラウド (VPC) にデプロイされ、CIDRブロック172.31.0.0/16に関連付けられているvSwitchに接続されています。
ドメイン情報: ADドメインのルートドメイン名が使用されます。 (例:example.com)。
ECSインスタンスのIPアドレス: IPアドレス172.31.106.88は、ADドメインコントローラーとして使用されるECSインスタンスに割り当てられています。 IPアドレス172.31.106.87は、ADドメインクライアントとして使用されるECSインスタンスに割り当てられています。
重要ADドメインを構築するときは、インスタンスへの通常のアクセスを確保するために、各ECSインスタンスのIPアドレスが変更されていないことを確認してください。
手順1: ADドメインコントローラーのデプロイ
ADドメインコントローラーがデプロイされているECSインスタンスからカスタムイメージを作成し、そのカスタムイメージからADドメインコントローラーがデプロイされている新しいECSインスタンスを作成する操作を実行して、ADドメインコントローラーをデプロイしないことをお勧めします。 上記の操作を実行してADドメインコントローラーをデプロイする場合は、インスタンスの作成時に新しいインスタンスの元のインスタンスのホスト名を指定します。
. または、新しいインスタンスの作成後に、新しいインスタンスのホスト名を元のインスタンスのホスト名に変更します。ADドメインコントローラーとして使用するECSインスタンスに接続します。
詳細については、「ECSインスタンスへの接続方法」をご参照ください。
サーバーマネージャーを起動します。
デスクトップの左下隅にあるアイコンをクリックし、検索ボックスに
[サーバーマネージャー]
と入力し、検索結果にある [サーバーマネージャー] をクリックします。では、サーバーマネージャーウィンドウで、役割と機能を追加します。
この例では、ADサービスとDNSサービスが同じサーバーにデプロイされています。 次の手順を実行します。
重要このセクションでは、特定のステップについては説明しません。 このセクションで説明していない手順を実行する場合は、デフォルト設定を使用して [次へ] をクリックします。
[ロールと機能の追加] をクリックします。
インストールタイプを選択します。
役割と機能をインストールするサーバーを選択します。
ロールリストで、Active DirectoryドメインサービスとDNSサーバー.
インストールが完了したら、[閉じる] をクリックします。
ECSインスタンスをADドメインコントローラーとして設定します。
重要このセクションでは、特定のステップについては説明しません。 このセクションで説明していない手順を実行する場合は、デフォルト設定を使用して [次へ] をクリックします。
[サーバーマネージャー] ウィンドウの右上隅にあるアイコンをクリックし、[このサーバーをドメインコントローラーに昇格させる] を選択します。
Active Directoryドメインサービス構成ウィザードで、[展開操作の選択] パラメーターを [新しいフォレストの追加] に設定し、[ルートドメイン名] フィールドにドメイン名を入力します。
この例では、
example.com
はルートドメイン名として入力されます。ドメインコントローラーのオプションを設定し、[次へ] をクリックします。
DNSオプションを設定し、次へ.
NetBIOSドメイン名を設定し、次へ.
設定を確認し、次へ.
前提条件の検証が完了したことを確認し、インストール.
アイテムがインストールされるのを待ってから、ECSインスタンスを再起動し、インスタンスに再接続して、システム設定のインストール結果を確認します。 Active Directoryドメインサービスがインストールされている場合、次の図に示すように、指定したドメインコントローラ情報が表示されます。
ステップ2: クライアントをADドメインに参加させる
クライアントとして使用されるECSインスタンスをADドメインに参加させた後、インスタンスを使用してカスタムイメージを作成しないことを推奨します。
. ECSインスタンスからカスタムイメージを作成する前に、ADドメインからインスタンスを削除することを推奨します。非パブリックイメージから作成されたECSインスタンスは、同じセキュリティ識別子 (SID) を持ちます。 ADドメインクライアントとADドメインコントローラーが同じカスタムイメージから作成されている場合は、クライアントのSIDを変更する必要があります。 詳細については、このトピックの「ADドメインクライアントのSIDの変更」をご参照ください。
ADドメインクライアントとして使用されているECSインスタンスに接続します。
詳細については、「ECSインスタンスへの接続方法」をご参照ください。
ADドメインクライアントのDNSサーバーアドレスを変更します。
ADドメインクライアントのDNSサーバーアドレスを、DNSサーバーがデプロイされているECSインスタンスのIPアドレスに変更します。 たとえば、手順1: ADドメインコントローラーのデプロイで、IPアドレスが172.31.106.88である同じECSインスタンスにADドメインコントローラーとDNSサーバーをデプロイしたとします。 この場合、DNSサーバアドレスとして172.31.106.88を指定します。
DNSサーバーのIPアドレスがpingできるかどうかを確認します。
関連するパラメーターを含む次のコマンド出力が表示されます。これは、DNSサーバーにpingを実行できることを示します。
ADドメインクライアントをADドメインに参加させます。
コントロールパネルのシステムページに移動します。
デスクトップの左下隅にあるアイコンをクリックし、検索ボックスに
コントロールパネル
と入力して、検索結果で [コントロールパネル] をクリックします。を選択します。
[コンピュータ名、ドメイン、ワークグループの設定] セクションの右上隅にある [設定の変更] をクリックします。
[システムのプロパティ] ダイアログボックスで、[変更] をクリックします。
[コンピューター名 /ドメインの変更] ダイアログボックスで、ADドメインに関する情報を追加します。
[手順1: ADドメインコントローラーのデプロイ] で指定したルートドメイン名を入力します。 この例では、
example.com
はADドメインのルートドメイン名として使用されます。変更を有効にするには、サーバーを再起動します。
クライアントとして使用されるECSインスタンスをADドメインに参加させると、インスタンスのコンピューター情報にADドメインのルートドメイン名が表示されます。
関連する API 操作
ADドメインクライアントのSIDの変更
Windowsの組み込みSysprepツールを使用して、ADドメインクライアントのSIDを変更します。
Sysprep.exeという名前のプログラムを見つけます。 ほとんどの場合、プログラムは
C:\Windows\System32\Sysprep
ディレクトリに保存されます。管理者としてSysprep.exeを実行し、[一般化] を選択し、[OK] をクリックします。
ADドメインクライアントが再起動された後、クライアントのSIDが変更されます。 その後、クライアントをADドメインに再参加させることができます。
ADドメインの使用
ECSインスタンス上にADドメインを構築し、クライアントとして別のECSインスタンスをADドメインに結合した後、ユーザーやグループの作成など、ビジネス要件に基づいて操作を実行できます。 詳細については、「Active Directoryドメインサービスの概要」をご参照ください。