Windows Server 2019でActive Directoryを構築してみる

会社や学校などでWindows PCを使っていると、別のマシンから同じユーザー名とパスワードでログインできる環境というのを目にしたことがあるかと思います。
これは大体の場合、Active Directoryと呼ばれるWindows Serverの機能で動いています。

Active Directoryを使用することによって、ユーザーやコンピューターを一元管理できる他、一つのユーザー名/パスワードでユーザー認証ができるようになるため、
シングルサインオン(SSO)などにも役立ちます。

Active Directoryの詳細に関しては以下の記事等をご覧ください

• 基礎から分かるActive Directory再入門（1）：Active Directoryはなぜ必要なのか | @IT
• Active Directory | Wikipedia

今回は簡単なActive Directory環境を構築して動作テストしてみたいと思います。

 

 

今回作るもの

1台のサーバーで、Active DirectoryとDNSサーバーを構築し、クライアントがドメインに参加できるような環境を仮想環境上に構築します。

DNSサーバーは別で立てたり、権限の委任などは今回取り上げません。

 

 

必要なもの

• VirtualboxやVMware, Parallels, Hyper-Vなどのデスクトップ仮想化ソフトウェア
• Windows Server 2019評価版 (ここからダウンロードできます)
• Windows 10 Enterprise評価版 (ここからダウンロードできます)

Active Directoryで作られたドメインに参加するにはWindows 10 Pro以上のバージョンである必要があります。

仮想化環境のネットワークは仮想マシン同士が相互に通信できる状態にしておいてください。

(あたり前ですが、仮想環境でなくても構築できます)

 

 

仮想マシンの設定 & OSインストール

仮想マシンの設定

今回は仮想マシンを2つ作ります。片一方はWindows Server 2019が動作するサーバー、もう片一方はWindows 10 Enterpriseが動作するクライアントです。

それぞれの環境には1CPU, 2GB以上のRAM(4GB以上推奨), 40GBのストレージ(60GB以上推奨)を割り当てるようにしてください。

 

OSインストール

特に一個一個解説することはしません。画面の指示に従って進めてください。

また、必要に応じてインストール完了後にVMware Toolsのような仮想化の補助ツールをインストールしてください。

 

Windows Server 2019側

オペレーティングシステムの選択では「Windows Server 2019 Standard Evaluation (デスクトップ エクスペリエンス)」をインストールします。

 

Windows 10 Enterprise側

ユーザー作成の段階ではMicrosoftアカウントでサインインせず、
左下の「代わりにドメインに参加する」を選択し、ローカルのアカウントを作成してください。

今回はユーザー名を「User」としました。

 

 

IP固定 (クラアント, サーバー)

Windowsキー + R を押し、出てきたウィンドウにcmdと打ち込みコマンドプロンプトを起動します。
コマンドプロンプトが起動したらipconfig /allと入力し、現在セットされているIPアドレスでIPアドレスを固定します。
(検証目的のため、わざわざIPアドレスを考えて割り当てることはしない)

IP固定についての詳細は以下の記事を参考にしてください。

 

 

Active Directory & DNSサーバーのインストール

サーバー側でサーバーマネージャーを開き、右上の「管理」から、「役割と機能の追加」を選択します。

 

「次へ」をクリックします。

 

「役割ベースまたは機能ベースのインストール」にチェックを入れ「次へ」をクリックします。

 

今回は現在操作しているサーバーに対してインストールするので、そのまま「次へ」をクリックします。

 

「Active Directory ドメイン サービス」と「DNSサーバー」にチェックを入れて「次へ」をクリックします。
(チェックを入れた時に新たなウィンドウが表示されることがありますが、そのまま「機能の追加」をクリックすればOKです)

 

役割とは別に機能をインストールする必要はないのでそのまま「次へ」をクリックします。

 

内容を確認して「次へ」をクリックします。

 

内容を確認して「次へ」をクリックします。

 

「インストール」をクリックし、インストールを開始します。

 

インストールが完了したら、そのまま「このサーバーをドメインコントローラーに昇格する」をクリックします。

 

「Active Directory ドメイン サービス構成ウィザード」が開くので「新しいフォレストを追加する」にチェックを入れルート ドメイン名を設定し「次へ」をクリックします。

今回はテスト目的なのでドメイン名はflnet.localとしました。

(フォレストは様々なドメインが集まる場所のような認識でいいです。今回の場合はまだフォレストがないので新たに作る必要がありました。)

 

復元モードに入る際に使用するパスワードを入力し、「次へ」をクリックします。

(機能レベルは今回は既定のWindows Server 2016を選択しました)

 

今回は委任などを作らないのでそのまま「次へ」をクリックします。

 

NetBIOSドメイン名も特に問題がなければ、そのまま「次へ」をクリックします。

 

特にパスも変更がなければ、そのまま「次へ」をクリックします。

 

設定を確認して、問題なければ「次へ」をクリックします。

 

前提条件のチェックに合格したら、「インストール」をクリックしてインストールを開始します。

インストールが終了すると自動的に再起動されます。

これでActive DirectoryとDNSサーバーのインストールができました。

 

 

Windows 10クライアントをActive Directoryに参加させる

DNSサーバーのアドレス設定

サーバーが設定できたので、早速クライアントをドメインに参加させます。

 

まずはじめにクライアント側のIP設定を開き、DNSサーバーとして先ほど構築したサーバーのアドレスを指定します。
(これを行わないとflnet.localで名前解決ができないため)

 

設定後、コマンドプロンプトでping flnet.localを試してみると、名前解決できているのがわかります。

 

ドメインへの参加

エクスプローラーを開き、左にある「PC」を右クリックして「プロパティ」を開きます。

 

「コンピューター名、ドメインおよびワークグループの設定」にある「設定の変更」をクリックします。

 

「変更」をクリックします。

 

所属するグループの欄にあるドメインにチェックを入れ、先ほど設定したflnet.localを入力し、「OK」をクリックします。

 

ドメインに参加するためのアクセス権限があるアカウントを求められます。

Active Directoryのドメインコントローラーを作成した時点で、ドメインにAdministratorアカウントが作られるので、今回はそれで認証します。
(このドメインのAdministratorアカウントのパスワードはサーバーのAdministratorアカウントと同じです)

なお、ユーザー名は「ドメイン名Administrator」のように表現することに注意してください。

 

認証に成功すると上記のようなメッセージが出るので、OKをクリックし、一個前のウィンドウでもOKをクリックします。

すると、再起動を求められるので画面の指示に従って再起動をすればドメインへの参加が完了します。

 

 

新規ユーザーの作成 & ログイン

クライアントをドメインに参加させることができましたが、ドメインにアカウントがまだAdministratorしかいないので、ユーザーを作成してそれでログインするところまでやってみます。

 

サーバーにログインし、サーバーマネージャーの右上からツール > Active Directory 管理センターをクリックします。

 

Active Directory 管理センターが開いたら、左側にあるドメイン名(この場合はflnet(ローカル))をクリックします。

 

右側に表示されているタスクのBuiltinから新規>ユーザーをクリックします。

 

今回はfl1neというユーザーを作成してみます。

赤色のアスタリスクが表示されているフィールドにそれぞれfl1neと入力し、パスワードに仮のパスワードを設定して「OK」をクリックします。

これでユーザーが作成できました。
(組織内の役職とかも一緒に情報として管理できるけど、今回は特にやってないです)
(パスワードをダミーで設定しておかないとアカウントが無効な状態で作成されます)

 

クライアントマシンのログイン画面で左下にある「他のユーザー」から、先ほど作成したユーザーでログインしてみます。

 

ユーザー作成時に「ユーザーは次回ログイン時にパスワード変更が必要」にチェックが入っていたため、パスワードの変更を求められるので 画面の指示に従ってパスワードを変更しログインします。

 

無事にログインできした。

 

 

まとめ

今回の記事ではActive Directoryの構築から実際にユーザーを作成し、クライアントでログインすると言った基礎を行いました。

これを元に発展させていくことで実際の企業などで使われているような状態にまで育てていけます。

最近だとAzure ADと呼ばれるクラウドベースのActive Directoryサービスなども登場してきていますが、オンプレでActive Directory構築するノウハウは今後も役立つはずです。

ここまで読んでいただいてありがとうございました。