Windows2022で新規にActiveDirectoryを構築する

Windows Server 2022で新規にActiveDirectoryサーバーを構築するところから始めたいと思います。

※事前にOSのインストールは完了済み状態からスタート

インストール手順

・サーバーマネージャーから「役割と機能の追加」を押す。

 

・開始する前には「次へ」を押す

 

・インストールの種類と選択は「役割ベースまたは機能ベースのインストール」を選択し「次へ」を押す

 

・対象サーバーの選択は自動選択されたままで「次へ」を押す。

 

・ActiveDirectoryドメインサービスにチェックを入れ、「次へ」を押す

 

・「機能の追加」を押す

 

・「次へ」を押す

 

・次へを押す

 

・「次へ」を押す。

 

・「必要に応じて対象サーバーを自動的に再起動する」にチェックを入れ、「インストール」を押す

 

・「閉じる」をクリックする

 

ActiveDirectoryの初期セットアップを行う

・サーバーマネージャーのビックリマークから、「このサーバーをドメインコントローラーに昇格する」をクリックする。

 

・「新しいフォレストを追加する」を選択し、ドメイン名を入れて、「次へ」をクリックする。

 

・パスワードを設定し、「次へ」を押す

 

・次へを押す

 

・次へを押す

 

・「次へ」を押す

 

・「次へ」を押す

 

・「インストール」を押す

 

・再起動したら、インストール完了です。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ひさびさにWindows2019でACTIVEDirectoryを構築してみた

WindowsServerから離れて久しいですが、久々にWindows Server2019でActiveDirectoryを構築してみました。

ひさびさなのでインストールからの作業です。

Windows Server 2019のインストール

・Windowsセットアップで「次へ」を押す。その後、「インストール」をクリックする。

  

 

・「Windows Server 2019 Standard Evalution (デスクトップ…)」を選択し、「同意」して「カスタム:Windowsのみをインストールする」を選択する

 

・ドライブは適当に推奨のままでインストールしていきます。

 

あ、コアだけにしていしまった。間違えた…。

 

今度はちゃんとGUIになって完了。

 

 

ActiveDirectoryの構築

・まずは、ネットワークを動的IPアドレスから固定IPアドレスに変更する

・サーバーマネージャーから「役割と機能の追加」をクリックします。

 

・「次へ」ボタンをクリックします。

 

・「役割ベースまたは機能ベースのインストール」を選択して、「次へ」をクリックする

 

・「次へ」をクリックする

 

・ActiveDirectoryドメインサービスを選択する

 

・機能の追加をクリックする

 

・次へをクリックする

 

・次へをクリックする

 

・次へをクリックする

 

・「必要に応じて対象サーバーを自動的に再起動する」にチェックを入れて「インストール」をクリックする

 

・閉じるをクリックする

 

・サーバーマネージャーの展開後構成のところから「このサーバーをドメインコントローラーに昇格する」をクリックする

 

・「新しいフォレストに追加する」を選択し、「ルートドメイン名」を入力し、「次へ」を押す

 

・パスワードを入力して「次へ」をクリックする

 

・そのまま次へをクリックする

 

・次へをクリックする

 

・次へをクリックする(変更するとトラブルになりやすいからそのまま)

 

・次へをクリックする

 

・インストールをクリックする

 

・再起動になります。

 

これでADの初期インストールは完了です。

 

Autologonツールを利用してWindows Server 2012に自動ログオンさせるようにする

あまり実施しませんが、Windows Server2012に自動ログオンさせてほしいということで調べたところ、autologonを利用して自動的にActiveDirectoryの機能が有効であってもログオンできましたのでまとめました。

 

Autologonのダウンロード

https://technet.microsoft.com/ja-jp/sysinternals/bb963905.aspx

 

設定手順

1.Autologon.zipの中の「Autologon.exe」をC:\Windowsへコピーする

2.フォルダへ入れた「Autologon.exe」を実行してパスワード類を設定する。「Enable」で有効。「Disable」で無効

autologon

3.再起動して自動ログオンするかのテストを行う。

 

 

ActiveDirectory操作マスター系移動ポイント

ActiveDirectoryでメインとバックアップのADを入れ替えるときに操作マスター移動するのだが、どんだけ移動するのか忘れないように記録としてまとめてみました。

 

■ADコンピューターとユーザー
・RID
・PDC
・インフラストラクチャ

■ADドメインと信頼関係
・ドメイン名前付け操作マスター

■ADスキーマ
・スキーママスタ

※「regsvr32 schmmgmt.dll」で管理コンソールに追加。MMCを起動してスナップインを追加する。
※移行先のドメインコントローラを指定する。そのあとに操作マスターで移動する

ActiveDirectoryのドメイン名を変更する

ActiveDirectoryのドメイン名を変更するときが来ましたのでその時の作業方法をまとめましたのでメモ的に残しておきます。

※検証したOSは、Windows Server 2008 R2

手順は下記の通りです。

■ドメイン名の変更

例:sample-domain.co.jp→sample-domain.co.jp.local

1.管理者権限アカウントでADサーバーへログオンする

2.DNSに前方参照ゾーンを追加する
(1)DNSマネージャーを起動する
(2)「前方参照」を右クリックして、「新しいゾーン」をクリックする
(3)ゾーンの種類:プライマリゾーン
※Active Directoryにゾーンを格納するのチェックを外す。

(4)動的更新:非セキュリティ保護およびセキュリティ保護の両方による動的更新を許可する
3.RENDOMコマンドでドメイン名の変更(作業用のテンポラリフォルダを用意しておくとよい)
(1)コマンドプロンプトで「rendom /list」を入力し「Domainlist.xml」を出力する。また、バックアップも取得する
(2)Domainlist.xmlをメモ帳で開く。
(3)DNSname要素とNetBiosName要素を変更したものにする。

例:
(旧)
<DNSname>DomainDnsZones.sample-domain.co.jp</DNSname>

(新)
<DNSname>DomainDnsZones.sample-domain.co.jp.local</DNSname>
(旧)
<NetBiosName>sample-domain</NetBiosName>

(新)↓sample-domainの部分が変わっていないので特に変更しなかった。
<NetBiosName>sample-domain</NetBiosName>

(4)メモ帳を閉じる

(5)「rendom /showforest」を入力して、内容を検証する。
※操作は正常に終了しましたと表示されていることを確認する

(6)「rendom /upload」を入力してドメイン名称を変更する

(7)動作検証用のファイル「dclist.xml」を生成しているか確認する。(同じ場所にある)その中に変更前のドメイン名が書かれているか確認する

(8)FSMOの機能を担当しているサーバを確認コマンド「dsquery server -hasfsmo name」を実行する。そしてメモをしておく。
(9)「repadmin /syncall /d /e /P /q <DomainNamingMaster>」
※AD1台の場合は<DomainNamingMaster>は省略可能。DomainNamingMasterは、コンピュータのFQDNを指定する。
※例えば、インターネットに存在するドメインがAD名になっている場合は、インターネットの接続を切断してから実施するとエラーが起きない。
(10)ドメインコントローラが名前変更できるか確認するコマンド「rendom /prepare」を実行する
※エラーがないことを確認
(11)ドメイン名変更を実行する。「rendom /execute」と入力して実行する
(12)変更に成功したかチェックする。自動的に再起動がかかる。
変更に成功すると、「dclist.xml」ファイルのState要素に「Done」と書かれる
※エラーが発生したときには、このテキストが「Error」となる。
■最終設定
(1)「Active Directoryユーザーとコンピュータ」でドメイン名が認識しているのか確認する。

(2)「rendom /end」を入力し、フォレストのフリーズ状態を解除する。(作業フォルダは作業していたフォルダを指定)
※「操作は正常に終了しました。」と表示されることを確認
(3)DNSマネージャーを起動し、作成したゾーンのプロパティを開く。
「全般」タブの「変更」ボタンをクリックし「ゾーン種類」で「ActiveDirectoryにゾーンを格納する」にチェックを入れる。

それで「このゾーンをActiveDirectory統合にしますか?」とメッセージが表示されるので「はい」ボタンをクリックする。

また、「動的更新」欄を「セキュリティ保護のみ」にする。
(4)必要に応じて、グループポリシーなども確認する。

 

まあ、リスクと面倒さとあるのでこのような作業はご依頼いただけるとよいですね・・・。

ActiveDirectoryで個別のパスワードルールを適用する

ActiveDirectoryでパソコンのユーザー管理を行っていることが多々あると思います。

昨今、パスワードを強化せよ!ってお達しも多いかと思いますが、AD上では、一律なルールしか設定できない思っておりました。時代は進化して、WindowsServer2008から、個々のパスワードルールを設定できるようになったとのことで、ちょっと試してみました。(試したのはWindowsServer2012)

 

ということで~さっそく・・・。

 

まず何をするかというとActiveDirectory管理センターを開きます。

「ドメイン名」>「System」>「Password Settings Container」を開きます。

「新規」>「パスワードの設定」をクリックする。

個別パスワード設定

 

上記の設定画面が表示されるのでルールを設定します。

また、ここでポイントは、「直接の適用先」を指定することができ、指定先はグループやユーザーに対して設定することができます。

 

これによりAさんは超厳しいルール、Bさんはあまあまなルールなど個別に設定できるので非常にシステム的には重要なポイントです。

 

あと、ADのグループポリシーで設定したパスワードルールなどは無視状態みたいなので運用上でどのようなポリシーを設定したかクライアント側で確認するすべが私の調べたところではわかりませんでした。

例えば「net accounts /domain」でアカウントポリシーの適用状況がクライアント側でも見ることができますが上記の設定を反映した結果は見ることができません。

それなので忘れないように設定方法を覚えておくしかないのかもしれないです。

 

[イベントID:1988]Active Directoryでレプリケーションの有効期間が経過した場合

対応OS

Windows Server 2008,Windows Server 2012
※こちらで試したもの

ログ

イベントID:1988が発生する。

Active Directory ドメイン サービス レプリケーションは、ローカル ドメイン コントローラー (DC) Active Directory ドメイン サービス データベースから 削除されたオブジェクトを次のパーティションで見つけました。直接 または推移性のレプリケーション パートナーのすべてが、廃棄 (Tombstone) の有効期間が経過する前に削除でレプリケートされたわけではありません。削除されて Active Directory ドメイン サービス パーティションからガベージ コレクションされたオブジェクトで、同じドメインの 他の DC の書き込み可能パーティション、またはフォレストの他のドメインのグローバル カタログ サーバーの 読み取り専用パーティションに存在するものは、”残留オブジェクト” と 呼ばれています。

….(続く)

対処

すべてのActiveDirectoryのドメインコントローラで
下記のレジストリキーの値を「1」→「0」に変更し、「サイトとサービス」から「今すぐレプリケーション」を実施しエラーが出なくなることを確認する。

その後、レジストリキーを元の値に戻す。

レジストリ キー:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency