サイトアイコン 協栄情報ブログ

EC2(Windows Server2019)で2台目のADサーバ構築手順


この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので十分ご注意ください。

背景

以前、ADの動作確認のため、ADサーバを構築しました。忘録として残していきたいと思います。

前提

.検証用EC2(AMI名:Windows_Server-2019-Japanese-Full-Base-2023.03.15)が構築済みであること
.1台目のADサーバが構築済みであること(下記のリンクを参照)
EC2(Windows Server2019)で1台目のADサーバ構築手順

手順

1.DNSを設定します。

2台目のサーバの優先DNSサーバーのアドレスは Active Directory インストール手順開始前に1台目のドメインコントローラーを指定する必要がありますのでご注意ください。

コントロール パネル\ネットワークとインターネット\ネットワークと共有センター



PowerShellを開き、ipconfig /allコマンドを入力します。ネットワークインターフェースの[DNS Servers]がAdServer1のIPアドレスになっていることを確認します。
またnslookupコマンドで"AdServer1.ドメイン名"で名前解決が出来ることを確認します。

2.ドメインコントローラの設定

[役割と機能の追加ウィザード]画面が開きます。[次へ]ボタンをクリックします。

[インストールの種類の選択]画面が開きます。[役割ベースまたは機能ベースのインストール]が選択されている事を確認し、[次へ]ボタンをクリックします。

[対象サーバーの選択]画面が表示されます。[サーバープールからサーバーを選択]が選択されていることを確認し、サーバープール枠からAdServer2を選択します。[次へ]ボタンをクリックします。

[サーバーの役割の選択]画面が表示されます。[Active Directory ドメインサービス]をクリックします。

[Active Directory ドメインサービスに必要な機能を追加しますか?]という画面が表示されます。全部追加しますので、そのまま[機能の追加]をクリックします。

[Active Directory ドメインサービス]にチェックが入ったことを確認し、[次へ]ボタンをクリックします。なおAdServer1と同様に、DNSサーバはドメインコントーラの構成時に一緒にインストールしてくれるので、ここでは選択しません。

[機能の選択]画面が表示されますが、何も選択せず[次へ]をクリックします。

[Active Directory ドメインサービス]画面が表示されます。[次へ]ボタンをクリックします。

[インストールオプションの確認]画面が表示されます。[必要に応じて対象サーバーを自動的に再起動する]をチェックしておくと後は勝手に必要な再起動処理をしてくれるので、チェックしておきます。

以下の画面が表示されますので[はい]をクリックします。

[インストール]ボタンをクリックします。

インストールの進捗状況が表示されます。

インストールが進行し、最後に以下の画面になります。[このサーバーをドメインコントローラーに昇格する]をクリックします。

[配置構成]画面が表示されます。[既存のドメインにドメインコントローラーを追加する]が選択されていることを確認し、[ドメイン]の横にある[選択]ボタンをクリックします。

[Windowsセキュリティ]画面が表示されます。上の欄(ユーザー名)に、"ドメイン名¥administorator"(ここではad.cpi-dev.com\administrator)と入力します。
また下の欄(パスワード)には、AdServer1のadministratorのパスワードを入力します。何故ならAdServer1というWindowsサーバのローカルにいたadministratorのパスワードが、
そのままドメインアドミニストレーターのパスワードになっているからです。入力後、[OK]ボタンをクリックします。

[フォレストからのドメインの選択]画面が表示されます。ドメインコントローラを追加したいドメインが表示されていると思いますので、クリックして選択し、[OK]ボタンをクリックします。

[配置構成]画面に戻りますので[次へ]ボタンをクリックします。

[ドメインコントローラーオプション]画面が表示されます。[ドメインネームシステム(DNS)サーバー]と[グローバルカタログ(GC)]がチェックされていることを確認します。
[ディレクトリ復元モード(DSRM)のパスワード]を設定し、[次へ]ボタンをクリックします。
ディレクトリサービス復元モードのパスワード:複雑なものを設定

[DNSオプション]画面が表示されます。AdServer1と同様の警告が表示されますが、そのまま[次へ]ボタンをクリックします。

[追加オプション]画面が表示されます。そのまま[次へ]ボタンをクリックします。

[パス]画面が表示されます。そのまま[次へ]ボタンをクリックします。

[オプションの確認]画面が表示されます。そのまま[次へ]ボタンをクリックします。

[前提条件のチェック]画面が表示されます。AdServer1と同様の警告が表示されますが特に問題ありませんので、そのまま[インストール]ボタンをクリックします。

インストールが終わると自動的に再起動されます。

3.インストール後の確認

では確認してみましょう。リモートデスクトップで接続しますが、ここで接続するユーザーは、ドメインアドミニストレーター(ドメイン名¥administorator)を指定します。パスワードは前述の通りAdServer1のadministratorのパスワードだったものです。

インストール後再度リモートデスクトップ接続でログインし、[サーバーマネージャー]を開くと、"AD DS"と"DNS"の2つの役割が追加されています。

またシステムのプロパティを見ると、ワークグループからドメインに変更されていることが分かります。

DNSサフィックスも自動的に設定されています。

もう1つ、自動的に設定が変わるところがあります。事前に参照先DNSサーバをAdServer1に設定していましたが、ドメインコントローラに設定変更することで、ループバックアドレス(127.0.0.1)が代替DNSサーバに設定されます。

この状態だと名前解決のパフォーマンスが悪いので、優先DNSサーバをループバックアドレスに、代替DNSサーバをAdServer1に変更しておきましょう。

また、[Active Directory サイトとサービス]画面を起動し、[Sites]-[Default-first-site-name]-[Server]を開くと、AdServer1と並んでAdServer2が追加されていることが分かります。
また[AdServerc2]-[NTDS Settings]を右クリックしてプロパティを開くと、以下のようにグローバルカタログになっていることが分かります。

4.参照DNSサーバの設定変更

今回の作業で、Active DirectoryのDNSサーバはAdServer1とAdServer2の2台になりましたが、AdServer1を設定したタイミングではまだAdServer1のみがDNSサーバであったため、AdServer1の参照先DNSサーバはループバックアドレス(AdServer1自身)になっています。耐障害性を考慮して、代替DNSサーバをAdServer2に変更しておきましょう。

まとめ

次はEC2(Windows Server2019)をADに参加させる手順を紹介したいと思います。
下記のリンクを参照
EC2(Windows Server2019)をADに参加させる手順

モバイルバージョンを終了