前書き

この記事は、PowerShell / PowerShell config ファイルを使って Windows Server 2019 の Active Directory 環境をインストール/セットアップするのに役立ちます。

前提条件

  1. Windows Server 2019 Standard / Data Center をハードウェアにインストールします。
  2. Active Directory トポロジ
  3. Active Directory ポートが開いていることを確認してください。
  4. 最新の Windows アップデートとホットフィックスでサーバにパッチを当ててください。
  5. 静的IPアドレスをドメインコントローラに割り当てる
  6. サーバーにActive Directoryドメインサービス(ADDS)の役割をインストールします。
  7. 要件に従ってADDSを設定します。
  8. Windowsイベントログを評価して、ADDSのインストールと設定の状態を確認します。
  9. サービスとパフォーマンスの監視を設定する
  10. ADDSバックアップ/ DR設定

Active Directory トポロジ

私のサンプル環境では、example.comがフォレストルートドメインになります。フォレストに最初にインストールされたドメインコントローラは、5つのFSMOの役割をすべて保持します。追加のドメインコントローラを配置したら、それらを適切な場所に配置できます。

​Active Directory ポートの詳細

​Active Directory通信はいくつかのポートで構成されています。下の表にポートとその詳細を示します。

Active Directory のデフォルトポート


ポート
タイプ
説明
135
TCP/UDP
RPCエンドポイントマッパー
137
TCP/UDP
NetBIOSネームサービス
138
UDP
NetBIOSデータグラムサービス
139
TCP
NetBIOSセッションサービス
445
TCP/UDP
SMB over IP(マイクロソフトDS
389
TCP/ UDP
LDAP
636
TCP
SSLを介したLDAP
3268
TCP
グローバルカタログLDAP
3269
TCP
グローバルカタログLDAP over SSL
88
TCP/ UDP
ケルベロス
53
TCP/ UDP
DNS
1512
TCP/ UDP
WINSの解像度
42
TCP/ UDP
WINSの複製
Dynamically-assigned ports, unless restricted
TCP
RPC

Active Directoryのレプリケーション

ポート
タイプ
説明
135
TCP
RPCエンドポイントマッパー
389
TCP/UDP
LDAP
636
TCP
SSLを介したLDAP
3268
TCP
グローバルカタログLDAP
3269
TCP
グローバルカタログLDAP over SSL
53
TCP/UDP
DNS
88
TCP/UDP
ケルベロス
445
TCP
SMB over IP(マイクロソフトDS)
RPC
TCP
動的に割り当てられたポート(制限されていない限り))

Active Directory 認証​

ポート
タイプ
説明
445
TCP/UDP
SMB over IP(マイクロソフトDS
88
TCP/UDP
ケルベロス
389
UDP
LDAP
53
TCP/UDP
DNS
RPC
TCP
動的に割り当てられたポート(制限されていない限り)
445
TCP/UDP
SMB over IP(マイクロソフトDS
88
TCP/UDP
ケルベロス
389
UDP
LDAP
53
TCP/UDP
DNS

インストール手順

ステップ1:ローカル管理者としてログイン

設定を開始するために、ローカル管理者として Windows Server 2019 Standard にログインします。



ステップ2:IP設定

サーバーの名前を意味のある名前に変更しました。それからIP設定をチェックする必要があります。私の初期設定では DHCP IP が表示されています。

まず PowererShell を使って静的に変更する必要があります。

​Get-NetIPAddress  

ステップ3:静的IP

​静的IPを設定するには、下記の PowerShell コマンドを使用します。

New-NetIPAddress` -InterfaceIndex 4 -IPAddress 192.168.61.100 -PrefixLength 24 DefaultGateway 192.168.61.2`

注:ここではネットワーク要件に基づいてIPを割り当てました。そのため、インフラストラクチャに従ってIPアドレスを使用してください。

ステップ4:InterfaceIndexを見つける

上記では、InterfaceIndex は Get-NetIPAddress コマンドを使って見つけることができます。

ステップ5:DNS

次のステップはDNS IPアドレスを設定することです。プライマリDCもDCとして機能するため、優先DNSとして設定する必要があります。下記のコマンドを使用してこれを行うことができます。

Set-DnsClientServerAddress -InterfaceIndex 4 -ServerAddresses( "192.168.61.100"、 "8.8.8.8")
設定後、ipconfig / allを使って確認できます。


ステップ6:AD-DSの役割をインストールする


AD設定プロセスの前に、特定のサーバにAD-DSロールをインストールする必要があります。そうするためには、Followコマンドを使うことができます。

Install-WindowsFeature –Name AD-Domain-Services –IncludeManagementTools`
注:役割サービスのインストールを完了するために再起動は必要ありません。



これでAD-DSの役割がインストールされました。次のステップは、設定を進めることです。

ステップ7:AD-DSの設定



以下はADDSを設定するための PowerShell 設定ファイル/スクリプトです。

Install-ADDSForest ` 

  -DomainName "example.com" ` 

  -CreateDnsDelegation:$false `  

  -DatabasePath "C:\Windows\NTDS" `  

  -DomainMode "7" `  

  -DomainNetbiosName "example" `  

  -ForestMode "7" `  

  -InstallDns:$true `  

  -LogPath "C:\Windows\NTDS" `  

  -NoRebootOnCompletion:$True `  

  -SysvolPath "C:\Windows\SYSVOL" `  

  -Force:$true

以下にPower-Shellの引数とそれが何をするのかを説明します。

Install-WindowsFeature

このコマンドレットを使用すると、ローカルサーバーまたはリモートサーバーにWindowsの役割、役割サービス、またはWindowsの機能をインストールできます。それはそれらをインストールするためにwindows server managerを使うのに似ています。

IncludeManagementTools

このコマンドレットを使用すると、ローカルサーバーまたはリモートサーバーにWindowsの役割、役割サービス、またはWindowsの機能をインストールできます。それはそれらをインストールするためにwindows server managerを使うのに似ています.

これにより、選択した役割サービス用の管理ツールがインストールされます。

Install-ADDSForest

​このコマンドレットを使用すると、新しいActive Directoryフォレストを設定できます。

  • DomainName:このパラメータは、Active DirectoryドメインのFQDNを定義します。
  • CreateDnsDelegationこのパラメータを使用して、Active Directory統合DNSを参照するDNS委任を作成するかどうかを定義できます。
  • DatabasePath;このパラメータは、Active Directoryデータベースファイル(Ntds.dit)を格納するためのフォルダパスを定義するために使用されます。
  • DomainMode:このパラメータは、Active Directoryドメインの機能レベルを指定します。上記では、Windows Server 2016であるモード7を使用しました。WindowsServer 2019には、ドメイン機能レベルがありません。
  • DomainNetbiosNameこれは、フォレストルートドメインのNetBIOS名を定義します。
  • ForestMode;このパラメータは、Active Directoryフォレストの機能レベルを指定します。上記では、Windows Server 2016であるモード7を使用しました。WindowsServer 2016には、個別のフォレスト機能レベルはありません。
  • InstallDns:これを使用して、DNSロールをActive Directoryドメインコントローラと共にインストールする必要があるかどうかを指定できます。新しいフォレストの場合は、$ trueに設定することが既定の要件です。
  • LogPath:ログパスは、ドメインログファイルを保存する場所を指定するために使用できます
  • SysvolPath
  • SysvolPath |これはSYSVOLフォルダパスを定義するためのものです。デフォルトの場所はC:\ Windowsです。
  • NoRebootOnCompletion:デフォルトでは、ドメインコントローラの設定後、システムはサーバーを再起動します。このコマンドを使用すると、システムの自動再起動が妨げられる可能性があります。
  • Force:このパラメータは、警告を無視してコマンドを強制的に実行します。システムがベストプラクティスと推奨事項に関する警告を渡すのは一般的です。

ステップ8:セーフモード管理者パスの入力を求める


コマンドを実行すると、セーフモード管理者パスワードの入力を求められます。これはディレクトリサービス復元モード(DSRM)で使用することです。
複雑なパスワードを使用するようにしてください(Windowsのパスワードの複雑さの推奨によると)。そうしないと、構成を停止します。

ステップ9:再起動してログインする


設定が完了したら、ドメインコントローラを再起動し、ドメイン管理者としてログインします。

ステップ10:インストールを確認する

サービスのインストールが成功したことを確認します。
Get-Service adws、KDC、Netlogon、DNS
上記のコマンドは、ドメインコントローラ上で実行されているActive Directory関連サービスのステータスを一覧表示します。


ステップ11:Get-ADDomainControllerを実行する



ドメインコントローラのすべての構成詳細が一覧表示されます。

ステップ12:Get-ADDomain example.comを実行する



Active Directoryドメインに関する詳細が一覧表示されます。

ステップ13:ADフォレストの詳細を一覧表示する


同様に、Get-ADForest example.comはアクティブディレクトリフォレストの詳細をリストします。

手順14:DCがSYSVOLフォルダを共有しているかどうかを確認する


Get-smbshare SYSVOLは、ドメインコントローラがSYSVOLフォルダを共有しているかどうかを表示します。

結論

ご覧のとおり、AD DSコンポーネントは正常にインストールおよび構成されています。これでこの記事の終わりを迎えます。この記事を評価してください。

参考文献

用語集


項目
項目
SYSVOL
SYSTEM VOLUME
DC
ドメインコントローラ
AD DS 
Active Directoryドメインサービス
DNS
ドメインネームシステム
FQDN
完全修飾ドメイン名
DSRM
ディレクトリサービス復元モード
KDC
鍵配布センター
LDAP
ライトウェイトディレクトリアクセスプロトコル
NTDS
 NTディレクトリサービス
IP 
インターネットプロトコル
FSMO
柔軟なシングルマスター操作

Other Languages

This article is available in other languages.

English version