今回はいよいよ Active Directory ドメインサービスのインストールと構成を行う。前回までの作業によりクラウド上で必要な準備はすべて整ったので、ここからはオンプレミスでの作業とほぼ同じだ。

Active Directory ドメインサービスのインストール

初めに、Active Directory ドメインサービス(AD DS)のインストールを行う。サーバーマネージャーの「管理」メニューから「役割と機能の追加」を選択しよう。

「役割と機能の追加ウィザード」が起動したら「次へ」をクリックする。「インストールの種類の選択」画面で「役割ベースまたは機能ベースのインストール」-「次へ」を選択する。

「対象サーバーの選択」画面ではインストール先となるサーバーを選択する。既定ではローカルサーバーが選択されているので、そのまま「次へ」をクリックすればよい。

「サーバー役割の選択」画面で「Active Directory Domain Services」を選択する。

すると、以下のような画面が表示されるので「機能の追加」をクリックする。

さらに、もう1つ。役割の一覧から「DNS Service」を選択する。前回の手順でDNSサーバーの設定を行ったことを思い出してほしい。設定したアドレスは10.0.0.4 であり、まさに今、Active Directoryをインストールしているサーバーだ。一般的に、DNS サービスは Active Directory ドメインサービスと同じサーバーにインストールする。そうすることで、DNSサービス内のエントリがActive Directory ドメインサービスの同期とともに行われ、同期効率がよくなるからだ。

DNSサービスを選択すると、Active Directoryドメインサービスの時のように機能の追加画面が表示されるので「機能の追加」をクリックする。その後、以下の画面が表示されることがある。これはこのサーバに静的なアドレスが見つからないためだ。すでに学習したように、Azure IaaS 上の仮想マシンには、既定のDHCPサービスからアドレスが割り当てられており、Windows Server 上からは静的アドレスに変更することはできない。Azure IaaS 側の設定で固定化することは可能だが、それでも以下のようなアラートが表示されることになる。このアラートは気にせず、「続行」をクリックしよう。

役割の選択画面に戻ったら「次へ」をクリックする。「機能の選択」画面では何も選択する必要はないので、そのまま「次へ」をクリックする。

「Active Directory ドメインサービス」画面が表示されたらさらに「次へ」をクリックする。「DNSサーバー」画面でも同様に「次へ」をクリックし、最後の確認画面で「インストール」を選択すれば、Active Directory ドメインサービスのインストールが始まる。インストールは5分程度で終了する。

ドメインコントローラーの構成

Active Directory ドメインサービスのインストールが完了しただけではドメインコントローラにはならない。必ず「昇格(プロモーション)」と呼ばれる作業を行う必要がある。

プロモーションするには事前にドメイン名を決めておく必要がある。通常は企業や組織のドメイン名をそのまま使用するか、必要に応じて新たに決定すればよい。

なお、ドメイン名を決定するにあたって1点注意する必要がある。それは、外部から参照可能なDNSに登録されているドメインであるということだ。例えば、マイクロソフトであれば microsoft.com というドメイン名を持っており、これは外部からでも参照なパブリックなDNSに登録されている。単にFirewallの内側に Active Directoryドメインを作成するだけであれば、そのような必要はない。社内のDNSに登録されてさえいれば社内で検索できるからだ。

しかし、今回は Azure Active Directory とのフェデレーションを構成する必要がある。そのため、Azure Active Directory側から参照可能なパブリックDNSにドメイン名が登録されている必要があるのだ。

よって、例えばテスト用に testdomain.com といったドメインを作成した場合、これをパブリックなDNSに登録する必要がある。パブリックなDNSを持っていない場合には、別途構築する必要があるが、単なるテスト環境でそこまでするのは難義だろう。

そこで、これとは別に2つの方法が考えらえる。1つはお名前.comなどのドメインレジストラと呼ばれる会社からお気に入りのドメインを購入する方法だ。購入したドメインをActive Directory ドメインのドメイン名として使用する。レジストラは一般的にDNSサービスも提供しているので、購入したドメインは外部から参照できるようになっている。

もう1つは有償のパブリックDNSサービスを使用する方法だ。パブリックDNSサービスに自身のドメイン(もちろんドメイン名は世界で唯一である必要があり、なんらかの方法で購入する必要があるが)を登録すれば、外部から参照することができるようになる。パブリックDNSサービスの場合、特定ドメインのサブドメインであれば無償で使用できるサービスを提供しているところもある。

今回は、そんな無償のサブドメインを提供するMyDNS.JP を例に手順を進めていきたいと思う。もちろん他の会社でも問題ない。自身の環境にあった方法を使用していただきたい。もちろんGoogle でもOKだ。Azure も最近DNSサービスを開始したが、残念ながらドメインのレジストラサービスは提供していないため、ドメインは別途購入する必要がある。

例えば、「http://www.mydns.jp/」というURLを持つMyDNS.JPの場合、ドメイン名は以下のような形式となる。

<サブドメイン名>.mydns.jp

<サブドメイン名>の部分は自由に決めることができるが、mydns.jp はそのまま使用する必要がある。

ここでは例として、以下のドメイン名を使用することにする。ドメイン名は世界で一意である必要があるので、読者の皆さんは別のドメイン名を考えていただきたい。

mynavi.mydns.jp

ドメイン名が決まったら、MyDNS.JP に行きユーザー登録をしよう。ブラウザでwww.mydns.jp/を表示し、トップページ右上にある Join Us をクリックする。

登録車情報画面で必要事項を記入して[CHECK] - [OK]をクリックすると、指定したメールアドレス宛にユーザーIDとパスワードが送付されてくる。送付されてきたユーザーIDとパスワードを使用してログインしたら、「Welcome Administrator」にある「DOMAIN INFO」をクリックしよう。

ドメインの設定画面が表示されたら、Domain フィールドに、作成するドメイン名を指定し、[CHECK]-[OK]をクリックする。ここでは、mynavi.mydns.jp を指定した。

以上でパブリックなドメイン名は予約できた。この画面は追ってレコードの登録をするために再訪するので、IDとパスワードは紛失しないようにしていただきたい。

次に、今指定したドメイン名を使用して、ドメインコントローラーに昇格する。昇格を開始するには、サーバーマネージャーの右上にあるフラグ機能をクリックして「このサーバーをドメインコントローラーに昇格する」をクリックする。Windows Server 2003のように dcpromoコマンドは使用できないので注意しよう。

「Active Directory ドメインサービス構成ウィザード」が起動したら、「新しいフォレストを追加する」を選択し、ルートドメイン名を指定する。ここで指定するのが、先ほど決定したドメイン名だ。ここでは mynavi.mydns.jp を指定した。

次のページでは、ドメインおよびフォレストの機能レベル、ディレクトリサービス復元モードで使用するパスワードを指定する。機能レベルはドメインやフォレストの機能の互換性を指定するもので、バージョンが新しいほど、よりセキュアで便利な機能を保有している。ドメインコントローラーの中に以前のバージョンのものが存在する場合、それに合わせてレベルを決定する必要があるが、今回は既定の「Windows Server 2012 R2」のままでよい。復元モードのパスワードは、Active Directory をバックアップから復元する際に使用するパスワードだ。

次のページはDNSサーバーの委任設定をする画面だが、今回は何もする必要はないので、そのまま「次へ」をクリックしよう。

「追加オプション」ページではNETBIOSドメイン名を指定するが、通常は既定値のままでよい。今回もそのまま「次へ」をクリックしよう。

「パス」ページでは Active Directory が使用するデータベース等のパスを指定する。既定ではCドライブだが、ここでは前回作成した仮想ストレージを指定する。ここでは、C: をすべて F: に変更した。

最後にオプションの確認を行い、問題がなければ次のページで「インストール」をクリックすれば、昇格が開始される。最終画面では以下のようにいくつかのアラートが表示されるが、多くの場合気にする必要はない。特に、「静的アドレス」に関するアラートは必ず表示されるのでそのまま「インストール」をクリックしよう。

インストールに要する時間は仮想マシンのサイズによって異なるが、おおむね5分程度で完了し、自動的に再起動が行われる。

DS1 の再起動が完了したら、再度「接続」しよう。その際に注意していただきたいのはユーザーIDだ。スタンドアロンのサーバーからドメインコントローラーに昇格すると、厳密には管理者のIDも変わる。この演習では CloudAdmin と指定していたはずだが、今後は <NetBiosドメイン名>\CloudAdmin を使用する。この演習では mynavi\cloudadmin となる。

ログオンが完了したら、サーバーマネージャーの「ツール」メニューを見てみよう。下図のようにActive Directory 関連の管理ツールが追加されていることがわかる。

以上でドメインコントローラーへの昇格は完了だ。

今作業の最後に、FS1とPRX1を今回作成したドメインに参加させよう。ドメイン参加するには、サーバーマネージャーを使用する。FS1 と PRX1に接続し、サーバーマネージャーの「ローカルサーバー」タブを開く。

WORKGROUP と書かれたリンクをクリックすると「システムのプロパティ」画面が開くので「変更」をクリックする。

「所属するグループ」で「ドメイン」を選択したらテキストボックスにドメイン名を入力し、「OK」をクリックする。

ドメイン名が正しければドメインで認証可能なIDとパスワードを聞かれるので、<NetBIOSドメイン名>\CloudAdmin とパスワードを指定しよう。

正しく参加できたら再起動しよう。同じ作業を PRX1 でも行い、再起動すれば今回の作業は完了となる。

次回以降、仮想マシンにログオンする際は、<NetBIOSドメイン名>\CloudAdmin をユーザーIDとして使用することを忘れないようにしよう。単に CloudAdmin を指定すると、ドメインではなくローカルコンピューターにログオンすることになるので注意が必要だ。管理者権限が及ぶ範囲は、ログオン時に使用したIDによって異なるのだ。

編集協力:ユニゾン

安納 順一
日本マイクロソフト テクニカル エバンジェリスト
主にインフラ系テクノロジーの日本市場への訴求を担当。近年はパブリッククラウド上のアイデンティティ・プロバイダーであるAzure Active Directoryを活用したセキュリティ基盤のデザインや実装方法などがメインのフィールドである。
Technetで個人ブログもさまざまな技術情報を発信している。