EC2(Windows Server2019)で2台目のADサーバ構築手順

背景

以前、ADの動作確認のため、ADサーバを構築しました。忘録として残していきたいと思います。

前提

.検証用EC2(AMI名:Windows_Server-2019-Japanese-Full-Base-2023.03.15)が構築済みであること
.1台目のADサーバが構築済みであること(下記のリンクを参照)
EC2(Windows Server2019)で1台目のADサーバ構築手順

手順

1.DNSを設定します。

2台目のサーバの優先DNSサーバーのアドレスは Active Directory インストール手順開始前に1台目のドメインコントローラーを指定する必要がありますのでご注意ください。

コントロール パネル\ネットワークとインターネット\ネットワークと共有センター
file
file
file
file

file

file

PowerShellを開き、ipconfig /allコマンドを入力します。ネットワークインターフェースの[DNS Servers]がAdServer1のIPアドレスになっていることを確認します。
またnslookupコマンドで"AdServer1.ドメイン名"で名前解決が出来ることを確認します。
file

2.ドメインコントローラの設定

file

file

[役割と機能の追加ウィザード]画面が開きます。[次へ]ボタンをクリックします。
file

[インストールの種類の選択]画面が開きます。[役割ベースまたは機能ベースのインストール]が選択されている事を確認し、[次へ]ボタンをクリックします。
file

[対象サーバーの選択]画面が表示されます。[サーバープールからサーバーを選択]が選択されていることを確認し、サーバープール枠からAdServer2を選択します。[次へ]ボタンをクリックします。
file

[サーバーの役割の選択]画面が表示されます。[Active Directory ドメインサービス]をクリックします。
file

[Active Directory ドメインサービスに必要な機能を追加しますか?]という画面が表示されます。全部追加しますので、そのまま[機能の追加]をクリックします。
file

[Active Directory ドメインサービス]にチェックが入ったことを確認し、[次へ]ボタンをクリックします。なおAdServer1と同様に、DNSサーバはドメインコントーラの構成時に一緒にインストールしてくれるので、ここでは選択しません。
file

[機能の選択]画面が表示されますが、何も選択せず[次へ]をクリックします。
file

[Active Directory ドメインサービス]画面が表示されます。[次へ]ボタンをクリックします。
file

[インストールオプションの確認]画面が表示されます。[必要に応じて対象サーバーを自動的に再起動する]をチェックしておくと後は勝手に必要な再起動処理をしてくれるので、チェックしておきます。
file

以下の画面が表示されますので[はい]をクリックします。
file

[インストール]ボタンをクリックします。
file

インストールの進捗状況が表示されます。
file

インストールが進行し、最後に以下の画面になります。[このサーバーをドメインコントローラーに昇格する]をクリックします。
file

[配置構成]画面が表示されます。[既存のドメインにドメインコントローラーを追加する]が選択されていることを確認し、[ドメイン]の横にある[選択]ボタンをクリックします。

file

[Windowsセキュリティ]画面が表示されます。上の欄(ユーザー名)に、"ドメイン名¥administorator"(ここではad.cpi-dev.com\administrator)と入力します。
また下の欄(パスワード)には、AdServer1のadministratorのパスワードを入力します。何故ならAdServer1というWindowsサーバのローカルにいたadministratorのパスワードが、
そのままドメインアドミニストレーターのパスワードになっているからです。入力後、[OK]ボタンをクリックします。
file

[フォレストからのドメインの選択]画面が表示されます。ドメインコントローラを追加したいドメインが表示されていると思いますので、クリックして選択し、[OK]ボタンをクリックします。
file

[配置構成]画面に戻りますので[次へ]ボタンをクリックします。
file

[ドメインコントローラーオプション]画面が表示されます。[ドメインネームシステム(DNS)サーバー]と[グローバルカタログ(GC)]がチェックされていることを確認します。
[ディレクトリ復元モード(DSRM)のパスワード]を設定し、[次へ]ボタンをクリックします。
ディレクトリサービス復元モードのパスワード:複雑なものを設定
file

[DNSオプション]画面が表示されます。AdServer1と同様の警告が表示されますが、そのまま[次へ]ボタンをクリックします。
file

[追加オプション]画面が表示されます。そのまま[次へ]ボタンをクリックします。
file

[パス]画面が表示されます。そのまま[次へ]ボタンをクリックします。
file

[オプションの確認]画面が表示されます。そのまま[次へ]ボタンをクリックします。
file

[前提条件のチェック]画面が表示されます。AdServer1と同様の警告が表示されますが特に問題ありませんので、そのまま[インストール]ボタンをクリックします。
file

インストールが終わると自動的に再起動されます。
file
file

3.インストール後の確認

では確認してみましょう。リモートデスクトップで接続しますが、ここで接続するユーザーは、ドメインアドミニストレーター(ドメイン名¥administorator)を指定します。パスワードは前述の通りAdServer1のadministratorのパスワードだったものです。
file

インストール後再度リモートデスクトップ接続でログインし、[サーバーマネージャー]を開くと、"AD DS"と"DNS"の2つの役割が追加されています。
file

またシステムのプロパティを見ると、ワークグループからドメインに変更されていることが分かります。
file

DNSサフィックスも自動的に設定されています。
file

もう1つ、自動的に設定が変わるところがあります。事前に参照先DNSサーバをAdServer1に設定していましたが、ドメインコントローラに設定変更することで、ループバックアドレス(127.0.0.1)が代替DNSサーバに設定されます。
file

この状態だと名前解決のパフォーマンスが悪いので、優先DNSサーバをループバックアドレスに、代替DNSサーバをAdServer1に変更しておきましょう。
file

また、[Active Directory サイトとサービス]画面を起動し、[Sites]-[Default-first-site-name]-[Server]を開くと、AdServer1と並んでAdServer2が追加されていることが分かります。
また[AdServerc2]-[NTDS Settings]を右クリックしてプロパティを開くと、以下のようにグローバルカタログになっていることが分かります。
file
file

4.参照DNSサーバの設定変更

今回の作業で、Active DirectoryのDNSサーバはAdServer1とAdServer2の2台になりましたが、AdServer1を設定したタイミングではまだAdServer1のみがDNSサーバであったため、AdServer1の参照先DNSサーバはループバックアドレス(AdServer1自身)になっています。耐障害性を考慮して、代替DNSサーバをAdServer2に変更しておきましょう。
file

まとめ

次はEC2(Windows Server2019)をADに参加させる手順を紹介したいと思います。
下記のリンクを参照
EC2(Windows Server2019)をADに参加させる手順

Last modified: 2023-05-23

Author