【Windows】Windows Server 2022でActive Directory環境構築

今回は、Windows Server 2022にActive Directoryをインストールしてドメイン環境を構築していきたいと思います。

前提条件
AD1号機のインストール
AD1号機セットアップ
AD1号機 DNS設定
AD2号機インストール
AD2号機セットアップ
AD2号機セットアップ後確認
まとめ
おまけ

前提条件

今回、Active Directoryとして使用するサーバのスペックは以下の通りです。

Server 1
ホスト名 : dev-ad01
IP : 192.168.100.168
OS : Windows Server 2022 DC
vCPU : 2Core
MEM : 4GB
DISK : 60GB

Server2
ホスト名 : dev-ad02
IP : 192.168.100.169
OS : Windows Server 2022 DC
vCPU : 2Core
MEM : 4GB
DISK : 60GB

Active Directoryの共通の設定は以下の通りです。

ドメイン名 : ad.local
フォレストの機能レベル : Windows Server 2016
ドメインの機能レベル : Windows Server 2016
サイト構成 : Singleサイト

企業レベルだと物足りない感じですが、Windows Server 2022でのActive Directory検証のため、このように設定しています。

AD1号機のインストール

まずは、Active Directoryの1台目を構成するときの鉄則です。
通常通り、Windows Serverをセットアップし、IPアドレスを固定します。
今回は、[192.168.100.168]を採番しました。
1台目のADを構築する際は、DNSクライアントの宛先をループバックに設定します。

[サーバマネージャー]より、[管理]を選択します。

[管理]-[役割と機能の追加]を選択します。

[開始する前に]より、[次へ]を選択します。

[インストールの種類]より、[役割ベースまたは機能ベースのインストール]を選択して、[次へ]を押下します。

[サーバの選択]より、[サーバプールからサーバを選択]を選択し、サーバプールから対象のサーバが選択されていることを確認し、[次へ]を押下します。

[サーバの役割]より、[Active Directoryドメインサービス]を選択します。

[Active Directoryドメインサービスに必要な機能を追加しますか?]より、[管理ツールを含める]にチェックが入っていることを確認し、[機能の追加]を選択します。

[サーバの役割]より、 [Active Directoryドメインサービス]にチェックが入っていることを確認します。

Active DirectoryにはDNSサーバが必要となるため、[サーバの役割]より、[DNSサーバ]を選択します。

[DNSサーバに必要な機能を追加しますか?]より、[管理ツールを含める]にチェックが入っていることを確認し、[機能の追加]を押下します。

[サーバの役割]より、[DNSサーバ]にチェックが入っていることを確認し、[次へ]を選択します。

[機能]では特に何もインストールしないため、機能の追加を行わずに、[次へ]を選択します。

[AD DS]より、[次へ]を選択します。

[DNSサーバ]でも設定する場所は無いため、[次へ]を選択します。

[確認]より、インストールする内容を確認し、[インストール]を選択します。

機能のインストールが完了したら、[閉じる]を選択します。
以上で、Active Directory諸々のインストールは完了です。

AD1号機セットアップ

機能のインストール後、サーバマネージャーを開きます。
サーバマネージャーの[フラグ]を選択し、[展開後構成]-[このサーバをドメインコントローラに昇格する]を選択します。

[Active Directoryドメインサービス構成ウィザード]-[配置構成]より、[新しいフォレストを追加する]を選択します。
ルートドメイン名に環境で使用するドメイン名を入力します。
検証環境であれば、[hogehoge.local]など実際に使用されていないドメイン名を設定します。
本番環境であれば、将来を見越して実際に取得しているドメイン名を入力することがベターだと思います。

今回は、検証環境のため[ad.local]として設定しました。
ルートドメインの設定が完了したら、[次へ]を選択します。

[ドメインコントローラオプション]より、ドメコンの機能オプションを設定します。
今回は以下の設定を行いました。

フォレストの機能レベル : Windows Server 2016 (フォレスト内で最小のサーバに合わせて選択)
ドメインの機能レベル : Windows Server 2016 (ドメイン内で最小のサーバに合わせて選択)
ドメインネームシステムサーバ : ■
グローバルカタログ : ■
読み取り専用ドメインコントローラ : □

フォレスト及びドメインの機能レベルは、フォレスト/ドメイン内で稼働するWindows Serverのバージョンに合わせて設定してください。
例) ドメイン内にWindows Server 2012が存在する場合は、ドメインの機能レベルはWindows Server 2012とする。

また、ディレクトリサービス復元モードのパスワードは、ADが壊れた際の復元時に必要となるため、記憶できるパスワードとしてください。

全項目の設定が完了したら、[次へ]を選択します。

[DNSオプション]では、特に設定せず、[次へ]を押下します。

[追加オプション]より、ドメインに割り当てられているNetBIOS名を設定します。
ここのNetBIOS名は自動的に生成されますが、ネットワーク内で同一のNetBIOSが使用されていないことを確認し、必要に応じて変更してください。
設定が完了したら、[次へ]を押下します。

[パス]より、ADに必要なSYSVOLやDBのパスを確認し、[次へ]を選択します。
基本的にはデフォルトで問題ありませんが、必要に応じて変更してください。

[オプションの確認]より、設定するオプションを確認し、[次へ]を選択します。

[前提条件のチェック]より、結果にエラーがないことを確認し、[インストール]を押下します。

インストールが完了すると、自動的に再起動が行われるため、[閉じる]を選択し、再起動させます。

再起動後、ログイン画面で[ドメイン名\Administrator]でログインできることを確認します。
ここで、ログインするAdministratorのパスワードはAD1号機で設定したAdministratorのパスワードとなります。

AD1号機 DNS設定

ADのセットアップが完了したら、[サーバマネージャ]より、[AD DS]のメニューが追加されていることを確認します。

[サーバマネージャ]-[ツール]-[DNS]を選択します。

[DNSマネージャー]より、自身のサーバを右クリックします。

[プロパティ]を選択します。

プロパティより、[フォワーダー]のタブを選択し、[編集]を選択します。

[フォワーダー]の編集より、DNSのフォワーダー先を追加します。
[転送サーバのIPアドレス]より、フォワーダー先のIPアドレスを入力します。
フォワーダーはAD1号機のDNSサーバが解決できないドメインやIPアドレスを解決ができる上位のDNSへ問い合わせを行う設定で、通常はネットワーク内の上位DNSサーバや各種パブリックDNSやプロバイダーから提供されているDNSサーバを設定します。

今回は、NW上位にDNSサーバが存在するので、そちらのDNSサーバをフォワーダーに設定しました。
IPアドレスを入力すると、サーバFQDNの名前解決と検証が行われます。
ここで上位のDNSサーバの設定が問題なければ[OK]を押下します。

再びプロパティに戻り、設定したフォワーダーが表示されていることを確認し、[OK]を選択します。

AD2号機インストール

AD1号機のセットアップが完了したため、AD2号機の設定を実施します。

設定を行う前に、AD2号機のDNSクラアントをAD1号機側に向けておきます。

[サーバマネージャー]-[管理]-[役割と機能の追加]を選択します。

[開始する前に]より、[次へ]を選択します。

[インストールの種類]より、[役割ベースまたは機能ベースのインストール]を選択し、[次へ]を押下します。

[サーバの選択]より、[サーバプールからサーバを選択]を選択し、サーバプールより対象のサーバが選択されていることを確認し、[次へ]を選択します。

[サーバの役割]より、[Active Directoryドメインサービス]を選択します。

[サーバの役割]より、[Active Directoryドメインサービス]にチェックが入っていることを確認します。

[サーバの役割]より、[DNSサーバ]を選択します。

[DNSサーバに必要な機能を追加しますか?]より、[管理ツールを含める]にチェックが入っていることを確認し、[機能の追加]を選択します。

[DNSサーバ]にチェックが入っていることを確認し、[次へ]を選択します。

[機能]では特にインストールを行わないため、何もせず[次へ]を選択します。

[AD DS]より、[次へ]を選択します。

[DNSサーバ]より、[次へ]を選択します。

[確認]より、インストールする内容を確認し、[インストール]を選択します。

インストールの完了後、[閉じる]を選択します。
以上でAD2号機へのActive Directoryのインストールは完了です。

AD2号機セットアップ

ADのインストールが完了したら、1号機同様にDCへ昇格させていきます。
今回は、先にドメインコントローラが存在するため、そのドメコンに追加するようなイメージとなります。

[配置構成]より、[既存のドメインにドメインコントローラを追加する]を選択します。
選択後、参加するドメインを入力します。
今回は、AD1号機で[ad.local]というドメインを使用して作成したため、そのドメインと合わせます。
[この操作を実行するには資格情報を指定してください]より、[変更]を選択します。

[配置操作の資格情報]より、作成したドメインコントローラのadministrators権限を持ったユーザを指定します。

今回は、[ad.local]のadministratorを使用しました。
設定が完了したら、[次へ]を選択します。

[ドメインコントローラオプション]より、以下の設定を行います。

ドメインネームシステムサーバ : ■
グローバルカタログ : ■
読み取り専用ドメインコントローラ : □
サイト名 : Default-First-Site-Name

今回は2台目ですが、GCの機能を持ち、1台目のADサーバが落ちた際にマスタとして機能するように設定しました。
また、サイト名は特に設定していないため、Default-First-Siteとしています。
(ADのサイト設計については、別途記事を書こうと思います。)
ディレクトリサービス復元モードのパスワードは1台目同様にADが壊れた際の復元に必要なため、設定後記憶しておきます。

[DNSオプション]では何も設定せずに、[次へ]を選択します。

[追加オプション]では、以下の設定を行い[次へ]を選択します。

メディアからインストール : □
レプリケート元 : 任意のドメインコントローラ

今回は、1サイトで2台構成のAD環境のため、レプリケート元については、任意のドメコンとしています。
複数サイトで複数ドメコンが存在する環境ではサイト内のドメコンからレプリケートさせることをおすすめします。

[パス]より、SYSVOLやデータベースのファイルパスを指定します。
基本的にはデフォルトで問題ないですが、必要に応じて変更してください。

[オプションの確認]より、オプションを確認して、[次へ]を選択します。

[前提条件のチェック]より、エラーが出ていないことを確認し、[インストール]を選択します。

インストールが完了すると、自動的に再起動が行われるため、[閉じる]を選択し、再起動させます。

AD2号機セットアップ後確認

AD2号機のセットアップが完了したら、ドメインユーザでログインします。

[Windowsスタートメニュー]より、[Windows管理ツール]-[Active Directoryサイトとサービス]を選択します。

[Active Directoryサイトとサービス]-[Sites]-[Default-First-Site-Name]-[Servers]を選択すると、ドメインコントローラに追加したDEV-AD02が存在しています。
以上で、ドメインコントローラ追加が作業は完了です。

まとめ

今回は、Windows Server 2022でドメイン環境を構築しました。
実際は、Windows Server 2016の機能レベルのため、Windows Server 2016以降のOSであれば同様の手順でドメコンへの昇格は可能です。
Windows Server 2012やWindows Server 2008等からOSだけアップグレードしてフォレストやドメイン機能レベルが低い状態の環境もあるかと思われるため、次回以降はよくあるシチュエーションを想定して検証していきたいと思います。