ActiveDirectory構築方法

 ActiveDirectory構築方法

説明になっていない説明

ドメコン構築して昇格してハイおしまい。
…んな訳あるかー！（ｗ

って事で今回テストした際の構築方法を以下にまとめる

準備

最低限サーバー側で立ち上げるのが必要になる物は次の３つ

• ActiveDirectoryドメインサービス
• DHCP
• DNS

ADを入れる前にDHCPは立ち上がっていた方が良いと思う
DNSはADとの同時構築でもよさげ？

構築手順（ADとDNS）

次の手順で行う（DHCPが既に構築されている前提）

１　サーバーマネージャー→役割と機能の追加→役割ベースまたは機能ベースのインストール→サーバープールからサーバーを選択→「ActiveDirectoryドメインサービス」にチェック
　※この際DNSが構築されていなければ同時にチェック
２　説明が出るので次へ→インストールオプションの確認で「必要に応じて対象サーバーを自動的に再起動する」にチェック
３　自動的にインストールされて行くので完了まで待つ
４　インストール終了後サーバーマネージャー画面から右上の通知（旗マーク）に恐らく「！」マークが出ているのでクリックして「このサーバーをドメインコントローラーに昇格する」をクリック
５　「ActiveDirectoryドメインサービス構成ウィザード」が立ち上がってくる→「新しいフォレストを追加する」にチェックしてルートドメイン名（例：hogehoge.net）を入力→「ディレクトリサービス復元モード」のパスワードを入力
　→NetBIOSはいじらない（恐らくドメイン名のトップ（ここの例だとhogehoge）が出てくる、少し時間がかかる）→データベースのパスは必要に応じて変更→オプションを確認→インストール開始（再起動にチェックを入れていた場合ここで自動的に再起動する）
６　再起動後、ログイン画面が「(ドメイン名の頭、ここの例：hogehoge）\administrator」になる（パスワードは変わっていない）
７　ログイン後、「サーバーマネージャー→ツール→DNS」をクリック→「Server」「逆引き参照ゾーン」を右クリックして「新しいゾーン」をクリック
　→新しいゾーンウィザードが開始→プライマリゾーンをチェック→「このドメインが全てのドメインコントローラー」をチェック→IPv4逆引き参照ゾーンをチェック
　→ネットワークIDにIPの第３オクテットまでを入力→セキュリティで保護された動的更新のみを許可するにチェック→参照ゾーンに「192.168.x.y subnet」が構成されている

構築手順（DHCPの追加手順）

１　「サーバーマネージャー→ツール→DHCP」をクリック→コンピューター名を右クリックして出てくるメニューの中にある「承認（Authorize）」をクリック→IPv4とV6の矢印が緑の上向きになっていればOK

サーバーのバックアップの構成

１　サーバーマネージャーの「役割と機能の追加」をクリック
２　「Windows Server バックアップ」をインストール
３　「サーバーマネージャー→ツール→Windows Server バックアップ」をクリック→「ローカルバックアップ」をクリック→「操作」ペインから「一度限りのバックアップ」を選択（継続する場合は適宜変更）
　→「カスタム」を選択して「項目の選択」をクリック→「システムの状態」をクリック→保存先を選択（これを例えばバックアップNASのバックアップ専用フォルダにする等）→実行をする

これでADの設定などはまとめてバックアップされる

バックアップの復元について

ADデータベースの整合性を維持しながら復元するため、「システム状態のバックアップ」から復元する際は、Windows Serverをディレクトリ サービス復元モード（DSRM: Directory Services Restore Mode）で起動し、バックアップ時に設定したDSRMパスワードを使用してログオンする必要があるので、このDSRMパスワードを必ず覚えておくこと

ドメイン参加用アカウントの作成と運用

クライアントPC側からドメインに参加するための専用アカウントを作成する（セキュリティ向上の為）

１　ドメインコントローラー（DC）上で「Active Directory ユーザーとコンピューター（ADUC）」管理ツールを開く
２　「適切なOU（組織単位）」を選択し、右クリックして「新規作成」→「ユーザー」を選択
３　ユーザー名（例：DomainJoiner）とパスワードを設定
　※このアカウントは通常のドメインユーザーのままで問題なし（デフォルトの権限でドメイン参加が可能なため）
４　クライアントPCでドメイン参加操作を行う際、この専用アカウントのユーザー名とパスワードを入力する

ワークフォルダの設定

ワークフォルダとはファイルサーバー側で管理する事が可能な、クライアントPCとのフォルダ同期機能の事（ざっくりとした説明）
これを準備しておけば、例えば各クライアントのデスクトップ画面（これもPCでは「Desktop」というフォルダで管理されている」に置くショートカットを同期・管理する事が可能となる
その設定は以下の通り
・役割サービスのインストール

１　サーバーマネージャー→「管理→役割と機能の追加」を選択
２　「サーバーの役割」に進み、「ファイルサービスおよび記憶域サービス」を展開→その下にある「ファイルおよびiSCSIサービス」を展開
３　「ワークフォルダー」のチェックボックスをオンにし、必要な管理ツールも追加してインストール

・セキュリティグループの作成 (Active Directory)

１　「Active Directory ユーザーとコンピューター」を開く
２　ワークフォルダーを利用するユーザーをメンバーとするセキュリティグループを作成（例：SG_WorkFoldersUsers）

・同期共有の作成と設定

１　サーバーマネージャーの左側ナビゲーションペインから「ファイルサービスおよび記憶域サービス」→「ワークフォルダー」を選択
２　右側の「操作」ペインで「新しい同期共有」を選択し、ウィザードを開始
　　各種設定は以下の通り
　　場所の選択：ユーザーファイルを格納するフォルダーを選択（例：D:\WorkFoldersData）
　　ユーザー構造：ユーザーフォルダーの作成方法を選択、通常は「ユーザー エイリアス」を選択、これによりユーザーごとに専用のフォルダーが自動的に作成される
　　ユーザーアクセス：ステップ2で作成したセキュリティグループ（例：SG_WorkFoldersUsers）を選択、これによりこのグループのメンバーのみがワークフォルダーを利用可能になる
　　PC およびデバイスのポリシー：セキュリティポリシーを設定、通常は「ワークフォルダーをロックするには、パスワードが必要」や「ワークフォルダーを暗号化する」にチェックを入れる
　　同期共有名とローカルパス：サーバー上のパスと、外部からアクセスする際の共有名を確認し、「作成」をクリックして設定を完了

・参加可能なADメンバーとなるユーザーの作成

１　「サーバーマネージャー→ツール→Active Directory ユーザーとコンピューター」を開く
２　「ユーザーを作成する組織単位 (OU)」 を選択
　　コンソールツリーで、ユーザーを格納したい組織単位（例: Users または独自のOU）を右クリック
３　新規ユーザーの作成：「新規作成」 > 「ユーザー」を選択
　　ユーザー情報の入力：名、姓、ユーザーログオン名（例: tanaka）を入力（ログオン名はメールアドレス形式（例: tanaka@hogehoge.net）になることが多い）
　　パスワードの設定：パスワードを入力し、以下のオプションから必要なものを選択
　　※ユーザーは次回ログオン時にパスワードの変更が必要：セキュリティ上、通常はチェックする
　　※アカウントを無効にする：アカウントをすぐに有効にしたくない場合にチェック
４　「次へ」をクリックし、「完了」してユーザー作成を完了

・クライアント側の設定

１　クライアントPCのコントロールパネルを開き、「システムとセキュリティ」内の「ワークフォルダー」をクリック
２　「ワークフォルダーの設定」をクリック
３　ワークフォルダー URLを入力、これはサーバーのホスト名またはIPアドレスを入力（例：ServerHostname.hogehoge.net）
４　ADのユーザー名とパスワード（DomainJoinerなどのアカウントではなく、ワークフォルダーを使うユーザー自身のADアカウント）を入力してサインイン
５　ローカルPC上にワークフォルダーの場所（通常は C:\Users\ユーザー名\Work Folders）が表示され、同期が開始される

※なおここまで独学。ﾂｶﾚﾀ