Windows Server 2019 ステップバイステップ: PowerShell を使った Active Directory 環境のセットアップ (Ja-JP)
前書き
この記事は、PowerShell / PowerShell config ファイルを使って Windows Server 2019 の Active Directory 環境をインストール/セットアップするのに役立ちます。
前提条件
- Windows Server 2019 Standard / Data Center をハードウェアにインストールします。
- Active Directory トポロジ
- Active Directory ポートが開いていることを確認してください。
- 最新の Windows アップデートとホットフィックスでサーバにパッチを当ててください。
- 静的IPアドレスをドメインコントローラに割り当てる
- サーバーにActive Directoryドメインサービス(ADDS)の役割をインストールします。
- 要件に従ってADDSを設定します。
- Windowsイベントログを評価して、ADDSのインストールと設定の状態を確認します。
- サービスとパフォーマンスの監視を設定する
- ADDSバックアップ/ DR設定
Active Directory トポロジ
https://gallery.technet.microsoft.com/site/view/file/221068/1/topology.png
私のサンプル環境では、example.comがフォレストルートドメインになります。フォレストに最初にインストールされたドメインコントローラは、5つのFSMOの役割をすべて保持します。追加のドメインコントローラを配置したら、それらを適切な場所に配置できます。
Active Directory ポートの詳細
Active Directory通信はいくつかのポートで構成されています。下の表にポートとその詳細を示します。
Active Directory のデフォルトポート
| ポート | タイプ | 説明 |
| 135 | TCP/UDP | RPCエンドポイントマッパー |
| 137 | TCP/UDP | NetBIOSネームサービス |
| 138 | UDP | NetBIOSデータグラムサービス |
| 139 | TCP | NetBIOSセッションサービス |
| 445 | TCP/UDP | SMB over IP(マイクロソフトDS) |
| 389 | TCP/ UDP | LDAP |
| 636 | TCP | SSLを介したLDAP |
| 3268 | TCP | グローバルカタログLDAP |
| 3269 | TCP | グローバルカタログLDAP over SSL |
| 88 | TCP/ UDP | ケルベロス |
| 53 | TCP/ UDP | DNS |
| 1512 | TCP/ UDP | WINSの解像度 |
| 42 | TCP/ UDP | WINSの複製 |
| Dynamically-assigned ports, unless restricted | TCP | RPC |
Active Directoryのレプリケーション
| ポート | タイプ | 説明 |
| 135 | TCP | RPCエンドポイントマッパー |
| 389 | TCP/UDP | LDAP |
| 636 | TCP | SSLを介したLDAP |
| 3268 | TCP | グローバルカタログLDAP |
| 3269 | TCP | グローバルカタログLDAP over SSL |
| 53 | TCP/UDP | DNS |
| 88 | TCP/UDP | ケルベロス |
| 445 | TCP | SMB over IP(マイクロソフトDS) |
| RPC | TCP | 動的に割り当てられたポート(制限されていない限り)) |
Active Directory 認証
| ポート | タイプ | 説明 |
| 445 | TCP/UDP | SMB over IP(マイクロソフトDS) |
| 88 | TCP/UDP | ケルベロス |
| 389 | UDP | LDAP |
| 53 | TCP/UDP | DNS |
| RPC | TCP | 動的に割り当てられたポート(制限されていない限り) |
| 445 | TCP/UDP | SMB over IP(マイクロソフトDS) |
| 88 | TCP/UDP | ケルベロス |
| 389 | UDP | LDAP |
| 53 | TCP/UDP | DNS |
インストール手順
ステップ1:ローカル管理者としてログイン
設定を開始するために、ローカル管理者として Windows Server 2019 Standard にログインします。
https://gallery.technet.microsoft.com/site/view/file/221069/1/ad2.JPG
ステップ2:IP設定
サーバーの名前を意味のある名前に変更しました。それからIP設定をチェックする必要があります。私の初期設定では DHCP IP が表示されています。
まず PowererShell を使って静的に変更する必要があります。
Get-NetIPAddress
https://gallery.technet.microsoft.com/site/view/file/221070/1/ad3.jpg
ステップ3:静的IP
静的IPを設定するには、下記の PowerShell コマンドを使用します。
New-NetIPAddress` -InterfaceIndex 4 -IPAddress 192.168.61.100 -PrefixLength 24 DefaultGateway 192.168.61.2`
https://gallery.technet.microsoft.com/site/view/file/221071/1/ad4.jpg
注:ここではネットワーク要件に基づいてIPを割り当てました。そのため、インフラストラクチャに従ってIPアドレスを使用してください。
https://gallery.technet.microsoft.com/site/view/file/221073/1/ad5.jpg
ステップ4:InterfaceIndexを見つける
上記では、InterfaceIndex は Get-NetIPAddress コマンドを使って見つけることができます。
ステップ5:DNS
次のステップはDNS IPアドレスを設定することです。プライマリDCもDCとして機能するため、優先DNSとして設定する必要があります。下記のコマンドを使用してこれを行うことができます。
Set-DnsClientServerAddress -InterfaceIndex 4 -ServerAddresses( "192.168.61.100"、 "8.8.8.8")
設定後、ipconfig / allを使って確認できます。
https://gallery.technet.microsoft.com/site/view/file/221074/1/ad6.jpg
ステップ6:AD-DSの役割をインストールする
AD設定プロセスの前に、特定のサーバにAD-DSロールをインストールする必要があります。そうするためには、Followコマンドを使うことができます。
Install-WindowsFeature –Name AD-Domain-Services –IncludeManagementTools`
注:役割サービスのインストールを完了するために再起動は必要ありません。
https://gallery.technet.microsoft.com/site/view/file/221075/1/ad7.jpg
これでAD-DSの役割がインストールされました。次のステップは、設定を進めることです。
ステップ7:AD-DSの設定
以下はADDSを設定するための PowerShell 設定ファイル/スクリプトです。
Install-ADDSForest `
-DomainName "example.com" `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "7" `
-DomainNetbiosName "example" `
-ForestMode "7" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$True `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
以下にPower-Shellの引数とそれが何をするのかを説明します。
Install-WindowsFeature
このコマンドレットを使用すると、ローカルサーバーまたはリモートサーバーにWindowsの役割、役割サービス、またはWindowsの機能をインストールできます。それはそれらをインストールするためにwindows server managerを使うのに似ています。
IncludeManagementTools
このコマンドレットを使用すると、ローカルサーバーまたはリモートサーバーにWindowsの役割、役割サービス、またはWindowsの機能をインストールできます。それはそれらをインストールするためにwindows server managerを使うのに似ています.
これにより、選択した役割サービス用の管理ツールがインストールされます。
Install-ADDSForest
このコマンドレットを使用すると、新しいActive Directoryフォレストを設定できます。
- DomainName:このパラメータは、Active DirectoryドメインのFQDNを定義します。
- CreateDnsDelegationこのパラメータを使用して、Active Directory統合DNSを参照するDNS委任を作成するかどうかを定義できます。
- DatabasePath;このパラメータは、Active Directoryデータベースファイル(Ntds.dit)を格納するためのフォルダパスを定義するために使用されます。
- DomainMode:このパラメータは、Active Directoryドメインの機能レベルを指定します。上記では、Windows Server 2016であるモード7を使用しました。WindowsServer 2019には、ドメイン機能レベルがありません。
- DomainNetbiosNameこれは、フォレストルートドメインのNetBIOS名を定義します。
- ForestMode;このパラメータは、Active Directoryフォレストの機能レベルを指定します。上記では、Windows Server 2016であるモード7を使用しました。WindowsServer 2016には、個別のフォレスト機能レベルはありません。
- InstallDns:これを使用して、DNSロールをActive Directoryドメインコントローラと共にインストールする必要があるかどうかを指定できます。新しいフォレストの場合は、$ trueに設定することが既定の要件です。
- LogPath:ログパスは、ドメインログファイルを保存する場所を指定するために使用できます
- SysvolPath
- SysvolPath |これはSYSVOLフォルダパスを定義するためのものです。デフォルトの場所はC:\ Windowsです。
- NoRebootOnCompletion:デフォルトでは、ドメインコントローラの設定後、システムはサーバーを再起動します。このコマンドを使用すると、システムの自動再起動が妨げられる可能性があります。
- Force:このパラメータは、警告を無視してコマンドを強制的に実行します。システムがベストプラクティスと推奨事項に関する警告を渡すのは一般的です。
ステップ8:セーフモード管理者パスの入力を求める
コマンドを実行すると、セーフモード管理者パスワードの入力を求められます。これはディレクトリサービス復元モード(DSRM)で使用することです。
複雑なパスワードを使用するようにしてください(Windowsのパスワードの複雑さの推奨によると)。そうしないと、構成を停止します。
ステップ9:再起動してログインする
設定が完了したら、ドメインコントローラを再起動し、ドメイン管理者としてログインします。
ステップ10:インストールを確認する
サービスのインストールが成功したことを確認します。
Get-Service adws、KDC、Netlogon、DNS
上記のコマンドは、ドメインコントローラ上で実行されているActive Directory関連サービスのステータスを一覧表示します。
https://gallery.technet.microsoft.com/site/view/file/221076/1/ad8.jpg
ステップ11:Get-ADDomainControllerを実行する
ドメインコントローラのすべての構成詳細が一覧表示されます。
ステップ12:Get-ADDomain example.comを実行する
Active Directoryドメインに関する詳細が一覧表示されます。
ステップ13:ADフォレストの詳細を一覧表示する
同様に、Get-ADForest example.comはアクティブディレクトリフォレストの詳細をリストします。
手順14:DCがSYSVOLフォルダを共有しているかどうかを確認する
Get-smbshare SYSVOLは、ドメインコントローラがSYSVOLフォルダを共有しているかどうかを表示します。
結論
ご覧のとおり、AD DSコンポーネントは正常にインストールおよび構成されています。これでこの記事の終わりを迎えます。この記事を評価してください。
参考文献
用語集
| 項目 | 項目 |
| SYSVOL | SYSTEM VOLUME |
| DC | ドメインコントローラ |
| AD DS | Active Directoryドメインサービス |
| DNS | ドメインネームシステム |
| FQDN | 完全修飾ドメイン名 |
| DSRM | ディレクトリサービス復元モード |
| KDC | 鍵配布センター |
| LDAP | ライトウェイトディレクトリアクセスプロトコル |
| NTDS | NTディレクトリサービス |
| IP | インターネットプロトコル |
| FSMO | 柔軟なシングルマスター操作 |
Other Languages
This article is available in other languages.