//2003.3.14 やまにょん 作成開始 !!!やりたいこと 新規に Windows 2000 Server をインストールした状態で、Active Directory を構築したい。 !!!環境 *Windows 2000 Server **Service Pack 4 **その他のパッチは適応なし !!!構築手順 !!TCP/IP の設定 DNS をこのサーバーに構築しますので、DNS の参照先アドレスをこのサーバーの IP アドレスに変更します。 まず、マイ ネットワークのプロパティを開きます。 {{ref_image 0033.edit.png}} 次にローカル エリア接続のプロパティを開きます。 {{ref_image 0034.edit.png}} インターネット プロトコル (TCP/IP) のプロパティを開きます。 {{ref_image 0035.png}} 優先 DNS サーバーの値に、自分の IP アドレス (この場合だと、192.168.124.16) を設定し、「OK」をクリックします。 {{ref_image 0036.png}} その後、インターネット プロトコル (TCP/IP) のプロパティ、ローカル エリア接続のプロパティ画面を「OK」をクリックして閉じます。 最後に、ネットワークとダイアルアップ接続の画面を閉じます。 !!Active Directory のインストール ウィザードの設定 !dcpromo.exe の実行 「スタート メニュー」から「ファイル名を指定して実行」を選択します。 出てきたダイアログ ボックスに [dcpromo.exe] と入力し、「OK」をクリックします。 {{ref_image 0002.png}} 「Active Directory のインストール ウィザード」が表示されるので、まず「次へ」をクリックします。 {{ref_image 0003.png}} !ドメイン コントローラの種類を設定 今回は、既存のネットワークに別のドメインが一切ないので、構築するドメインは「新しいドメイン ツリー」であり、かつ「新しいフォレスト」となります。なので、「新しいドメインのドメイン コントローラ」を選択し、「次へ」をクリックします。 {{ref_image 0004.png}} 新しいドメイン ツリーを構築する (すなわち、新しい「親」ドメインを構築する) ことが目的なので、「新しいドメイン ツリーを作成」を選択し、「次へ」をクリックします。 {{ref_image 0005.png}} 新しいフォレストを構築しますので、「ドメイン ツリーの新しいフォレストを作成」を選択し、「次へ」をクリックします。 {{ref_image 0006.png}} !ドメイン名の入力 構築したいドメインの名称を入力し、「次へ」をクリックします。 Windows ドメイン名 (このページで言う「ドメイン名」はこのことを指しています) は一意のもので構いませんが、会社が登録しているドメインと同一の設定にする場合、インターネット ドメインの知識が必要になりますので、注意してください。 たとえばあなたの会社名が「株式会社 hoge」であり、会社のインターネット ドメイン名が hoge.co.jp であれば、Windows ドメイン名は hoge.local などとすれば良いでしょう。 画面上では「constellations.local」と設定しています。 {{ref_image 0007.png}} NetBIOS ドメイン名を入力し、「次へ」をクリックします。 あらかじめ設定されている値で問題なければ、その値を使用してください。何らかの問題で、NetBIOS ドメイン名 (これを使用する OS は Windows 9x/NT 4.0 や一部の Samba などです) を変更しなければならない場合、その値を入力してください。しかし、ドメインを新規で構築する場合、変更する必要はありません。むしろ絶対に変更しないでください。 また、NetBIOS ドメイン名は最大で 15 文字という制限があります。そのため、Windows ドメイン名が 16 文字以上の場合、それ以降が省略されます。当然、NetBIOS ドメイン名を変更する場合でも、16 文字以上の名称はつけられません。 今回は「CONSTELLATIONS」と設定しています。デフォルトで入力されている値で、特に変更はしていません。 {{ref_image 0008.png}} !各情報の保存先を指定 Active Directory データベース、Active Directory ログの保存先を決定し、「次へ」をクリックします。 デフォルトでは「%SystemRoot%\NTDS」が指定されています。しかし、%SystemRoot% にデータベースを作成することは、パフォーマンスの面から望ましくありません。 別のパーティションがあるのであれば、そこに保存するべきです。また、それぞれの情報を別のパーティションに保存できるのであればそうするべきです。それらのディスクが物理的に分割されていれば、さらに良いでしょう。 今回は「D:\AD\NTDS」を設定します。 {{ref_image 0009.png}} Sysvol フォルダを決定し、「次へ」をクリックします。 Sysvol フォルダとは、ドメインのパブリック ファイル (たとえば Group Policy Object の情報ファイルやログオン スクリプト ファイルなど) を保存しておく領域になります。 このフォルダは、自動的に共有名 SYSVOL で共有されます。 今回は「D:\AD\SYSVOL」を設定します。 {{ref_image 0010.png}} !DNS の構築 DNS を構築していない場合、以下のダイアログ ボックスが表示されます。今回は DNS を事前に構築せずに Active Directory を構築していますので、この動作が正常な動作になります。 「OK」をクリックし、次へ進みます。 事前に DNS を構築しているにもかかわらず、このメッセージが表示される場合、DNS が正常に稼動していないか誤った設定がされています。もう一度 DNS の設定を確認してください。 {{ref_image 0011.png}} DNS を構築しますので、「はい、DNS をこのコンピュータにインストールして構成します (推奨)」を選択し、「次へ」をクリックします。 といいますか、むしろ「いいえ、自分で DNS をインストールして構成します」の選択肢は無いのではないでしょうか・・・。この選択肢を選ぶ人は、よっぽどコアな人ですね、きっと。 {{ref_image 0012.png}} !Active Directory の詳細設定 今回構築する環境では、匿名ユーザーに Active Directory の情報を読み取らせる必要が無いため、「Windows 2000 サーバーとのみ互換性があるアクセス許可」を選択し、「次へ」をクリックします。 NT ドメインからアップグレードする場合、互換性という言葉に不安を覚える人も居るかもしれません。しかし、ファイル サーバーやバックアップ ソフトウェア、ウィルス対策ソフトウェアを使用するために「Windows 2000 以前のサーバーと互換性があるアクセス許可」は必要ありません。潔くこの設定をしてしまいましょう。(もちろん事前にテストしてくださいね・・・) {{ref_image 0013.png}} ディレクトリ サービス復元モードの Administrator パスワードを入力し、「次へ」をクリックします。 パスワードの変更は一切できませんので、ここで決めるパスワードはしっかり設計してください。また、このモードで起動した場合、ドメインの情報を自由に変更できてしまいます。パスワードの取り扱いには十分注意してください。 {{ref_image 0014.png}} !dcpromo.exe の終了 設定情報のサマリが表示されますので、「次へ」をクリックします。 {{ref_image 0015.png}} Active Directory の構成中ウィンドウが表示されますので、しばらく待ちます。 {{ref_image 0016.png}} 「DNS インストールのスキップ」というボタンが表示されますが絶対に触らないでください。 {{ref_image 0017.png}} Windows 2000 Server のメディアを要求してきますので、インストールに使用したメディアを挿入して「OK」をクリックしてください。フォルダを設定しなければならない場合は、ダイアログでメディア内の i386 フォルダを指定してください。 {{ref_image 0018.png}} DNS Server のインストール状態を示すプログレス バーが表示されます。完了までしばらく待ちます。 {{ref_image 0020.png}} 元の画面に戻ります。決して「DNS インストールのスキップ」ボタンはクリックしないでください。 {{ref_image 0022.png}} インストールが完了したら、下記の画面が表示されます。「完了」をクリックしてください。 {{ref_image 0023.png}} 再起動を要求されますので、特に何も無ければ「再起動する」をクリックしてください。 むしろ再起動されたら困る状態でドメインの構築を行わないでください・・・。 {{ref_image 0024.png}} 再起動が完了したら、ドメインの構築は完了です。次に、[[DNS サーバーの初期設定|DNS サーバーの設定]]を行いましょう。 !!!注意点 !!ドメイン名の設計 Windows 2000 以降の Active Directory ドメインにおけるドメイン名は、通常インターネット ドメイン名と同様の名前を設定することになります。そのように設定することで、DNS による名前解決を可能にし、またフォレストや子ドメインという概念を取り入れられるようになるからです。というわけで、インターネット ドメイン名の概念を正しく理解することが、ドメイン名設計の第一歩と言えるでしょう。 また、Active Directory ドメインには、レガシ OS (Windows NT 4.0 や Windows 9x など) 向けのドメイン名 (これを NetBIOS ドメイン名と呼びます) も別に保持しています。これは通常 Active Directory ドメイン名の先頭の位置にくる名称がつけられます。ただし、NetBIOS ドメイン名には、15 文字の制限があるため、それ以降の文字列は切り捨てられてしまいます。 管理上 Active Directory ドメイン名と NetBIOS ドメイン名は同一のものにしたほうが良いでしょう。また、複数のフォレストを作成することを考慮し、できる限り同じドメイン名をつけるのは止めましょう。 たとえば、constellations.constellations.local という子ドメインや、aaaaabbbbbcccccddddd.aaaaabbbbbccccc.local という子ドメインは NG です。なぜならば、NetBIOS ドメイン名が同一のものになってしまうからです。 !!ローカル アカウントの取り扱い サーバーにドメイン コントローラを構築すると、ローカル アカウントは削除されてしまいます。 しばらくスタンド アロン サーバーとして運用していたサーバーを Active Directory のドメイン コントローラに昇格する場合、ローカル アカウントが消されてしまうことによって、既存システムへ影響を与える可能性があります。 !!キャッシュの取り扱い ドメイン コントローラとなっているサーバーは、OS 上で動作するファイルの書き込みキャッシュが無効にされます。 ファイル サーバーとして運用することを考えた場合、この影響でファイルの書き込み時間が遅くなることが予想されます。 !!!書いた人 2004 年 3 月 18 日 ver.1.0 やまにょん作成 2004 年 10 月 8 日 ver.1.1 やまにょん編集 (DNS サーバーの設定へのポインタを指定)