Windows Server 2019 に Active Directory ドメイン サービスを追加し、新しいフォレストのドメイン コントローラーとして構成する手順を整理します。
以前の記事は画面操作の記録が中心でしたが、ここではスクリーンショットではなく、AD を構築するときに何を決め、どこを確認すべきかを文章とコマンドでまとめます。
Active Directory 構築で決めること
Active Directory の初期構築では、細かい画面操作よりも先に、ドメイン名、DNS、管理用パスワード、構築後の確認方法を決めておくことが重要です。
| 項目 | 内容 | 補足 |
|---|---|---|
| フォレスト / ドメイン | 新しいフォレストを作るか、既存ドメインに追加するか | 初回構築では新しいフォレストを作成します。 |
| ルート ドメイン名 | 例: ad.example.com | .local は mDNS と衝突しやすいため、設計上は避ける方が無難です。 |
| DNS | AD DS とあわせて DNS を構成する | AD の名前解決は DNS が前提です。 |
| DSRM パスワード | Directory Services Restore Mode 用のパスワード | 通常のドメイン管理者パスワードとは別物として管理します。 |
| 構築後の確認 | ドメイン、DNS、FSMO、LDAP/LDAPS の状態 | インストール完了だけでなく、認証基盤として使える状態かを確認します。 |
AD DS の役割を追加する
サーバー マネージャーを使う場合は、役割と機能の追加 から Active Directory ドメイン サービス を選択します。この時点では、まだドメイン コントローラーにはなっていません。AD DS の役割を追加しただけです。
- サーバー マネージャーを開く
- 役割と機能の追加を選択する
- 役割ベースまたは機能ベースのインストールを選択する
- 対象サーバーを選択する
- Active Directory ドメイン サービスを選択する
- 必要な管理ツールを追加する
- インストールを実行する
PowerShell で実行する場合は、次のように AD DS の役割と管理ツールを追加できます。
Install-WindowsFeature AD-Domain-Services -IncludeManagementToolsドメイン コントローラーへ昇格する
AD DS の役割を追加した後、対象サーバーをドメイン コントローラーへ昇格します。新規環境であれば、新しいフォレストを追加する を選択し、ルート ドメイン名を指定します。
| 設定 | 指定例 | 考え方 |
|---|---|---|
| 配置構成 | 新しいフォレストを追加する | 初回の AD 構築ではこの選択になります。 |
| ルート ドメイン名 | ad.example.com など | 外部公開用 DNS 名と混同しないように設計します。 |
| フォレスト機能レベル | Windows Server 2016 以降相当 | Windows Server 2019 でも機能レベルは Windows Server 2016 が使われます。 |
| DNS サーバー | 有効 | AD の SRV レコード解決に必要です。 |
| DSRM パスワード | 別途管理 | 障害復旧用なので、通常のログオンとは切り分けます。 |
PowerShell で新しいフォレストを作成する場合の例です。実際のドメイン名とパスワードは環境に合わせて変更します。
$dsrmPassword = Read-Host -AsSecureString "DSRM Password"
Install-ADDSForest `
-DomainName "ad.example.com" `
-InstallDns `
-SafeModeAdministratorPassword $dsrmPassword `
-Force昇格が完了するとサーバーは再起動します。再起動後はローカル サーバーではなく、ドメイン コントローラーとして動作します。
DNS を確認する
Active Directory は DNS に強く依存します。ドメイン コントローラーが起動していても、DNS の SRV レコードを解決できなければ、クライアントはドメイン コントローラーを正しく見つけられません。
Resolve-DnsName _ldap._tcp.dc._msdcs.ad.example.com -Type SRV
Resolve-DnsName ad.example.comAD 用 DNS では、単に A レコードが引けるだけでは不十分です。LDAP、Kerberos、ドメイン コントローラー探索に使われる SRV レコードが解決できるかを確認します。
構築後に確認すること
インストールが完了したら、管理画面で見えるかどうかだけでなく、ドメイン、フォレスト、FSMO、イベント ログ、名前解決を確認します。
Get-ADDomain
Get-ADForest
Get-ADDomainController -Filter *
netdom query fsmo診断としては dcdiag も有用です。問題がある場合は、DNS、時刻同期、ネットワーク、イベント ログの順に確認すると切り分けやすくなります。
dcdiag /vLDAPS は別途構成する
Active Directory を構築しただけでは、LDAPS が期待どおりに使えるとは限りません。LDAPS を使うには、ドメイン コントローラーが適切なサーバー証明書を持ち、クライアント側がその証明書を検証できる必要があります。
LDAP 連携だけを見ると 389/TCP の LDAP で動いてしまうため、認証基盤として運用する場合は LDAPS、証明書、信頼チェーン、名前解決をあわせて確認します。
この手順の位置づけ
この記事の手順は、Windows Server 2019 で Active Directory を最初に構築するための基本形です。実運用では、この後にユーザー、グループ、OU、GPO、DNS フォワーダー、バックアップ、LDAPS、監視、時刻同期を設計していきます。
| 次に確認する領域 | 目的 |
|---|---|
| OU / GPO | ユーザー、端末、サーバーの管理単位を分ける |
| LDAPS | LDAP 連携時の通信保護と証明書検証を行う |
| 時刻同期 | Kerberos 認証の失敗を防ぐ |
| バックアップ | AD 障害時の復旧手段を確保する |
| 監視 | DNS、認証、複製、イベント ログを継続的に確認する |
書籍
ひと目でわかるActive Directory Windows Server 2025版
Active Directory の概念、導入、構成管理、関連サービスを画面手順で確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
参考
- Microsoft Learn – Active Directory Domain Services
- Microsoft Learn – Install-ADDSForest
- Microsoft Learn – dcdiag
Related posts:
Windows Server 2019 Active Directory で LDAPS を有効化する手順
Windows Server 2019 Active Directory の LDAP を確認する
Windows 7 ディスプレイドライバの応答停止と回復
Windows 7 Java 64bit 版
Windows コンピュータ一覧と WINS の関係
Windows 10 hosts を編集するには
Windows 10 スタティックルート設定
CentOS 8 Windows から公開鍵認証で SSH 接続する
Windows 10 ASUS のマザーボードで UEFI セキュアブートを有効化
Windows iCloudと連携で要確認と表示される場合の対処
Apache Directory StudioでLDAPユーザー管理
Ubuntu 22.04 389 Directory Server #4 – BIND ユーザーとアクセス制御