Windows Server 2019でActive Directoryを構築してみる

会社や学校などでWindows PCを使っていると、別のマシンから同じユーザー名とパスワードでログインできる環境というのを目にしたことがあるかと思います。
これは大体の場合、Active Directoryと呼ばれるWindows Serverの機能で動いています。

Active Directoryを使用することによって、ユーザーやコンピューターを一元管理できる他、一つのユーザー名/パスワードでユーザー認証ができるようになるため、
シングルサインオン(SSO)などにも役立ちます。

Active Directoryの詳細に関しては以下の記事等をご覧ください

今回は簡単なActive Directory環境を構築して動作テストしてみたいと思います。

 

今回作るもの

1台のサーバーで、Active DirectoryとDNSサーバーを構築し、クライアントがドメインに参加できるような環境を仮想環境上に構築します。

DNSサーバーは別で立てたり、権限の委任などは今回取り上げません。

 

必要なもの

  • VirtualboxやVMware, Parallels, Hyper-Vなどのデスクトップ仮想化ソフトウェア
  • Windows Server 2019評価版 (ここからダウンロードできます)
  • Windows 10 Enterprise評価版 (ここからダウンロードできます)

Active Directoryで作られたドメインに参加するにはWindows 10 Pro以上のバージョンである必要があります。

仮想化環境のネットワークは仮想マシン同士が相互に通信できる状態にしておいてください。

(あたり前ですが、仮想環境でなくても構築できます)

 

仮想マシンの設定 & OSインストール

仮想マシンの設定

今回は仮想マシンを2つ作ります。片一方はWindows Server 2019が動作するサーバー、もう片一方はWindows 10 Enterpriseが動作するクライアントです。

それぞれの環境には1CPU, 2GB以上のRAM(4GB以上推奨), 40GBのストレージ(60GB以上推奨)を割り当てるようにしてください。

OSインストール

特に一個一個解説することはしません。画面の指示に従って進めてください。

また、必要に応じてインストール完了後にVMware Toolsのような仮想化の補助ツールをインストールしてください。

Windows Server 2019側

Screen Shot 2019-09-27 at 12.59.31

オペレーティングシステムの選択では「Windows Server 2019 Standard Evaluation (デスクトップ エクスペリエンス)」をインストールします。

Windows 10 Enterprise側

Screen Shot 2019-09-27 at 12.57.55

ユーザー作成の段階ではMicrosoftアカウントでサインインせず、
左下の「代わりにドメインに参加する」を選択し、ローカルのアカウントを作成してください。

今回はユーザー名を「User」としました。

 

IP固定 (クラアント, サーバー)

Screen Shot 2019-09-27 at 13.33.46

Windowsキー + R を押し、出てきたウィンドウにcmdと打ち込みコマンドプロンプトを起動します。
コマンドプロンプトが起動したらipconfig /allと入力し、現在セットされているIPアドレスでIPアドレスを固定します。
(検証目的のため、わざわざIPアドレスを考えて割り当てることはしない)

IP固定についての詳細は以下の記事を参考にしてください。

覚書 : Windows 10のIPアドレス固定方法

 

Active Directory & DNSサーバーのインストール

Screen Shot 2019-09-27 at 14.38.32

サーバー側でサーバーマネージャーを開き、右上の「管理」から、「役割と機能の追加」を選択します。

Screen Shot 2019-09-27 at 14.41.17

「次へ」をクリックします。

Screen Shot 2019-09-27 at 14.41.26

「役割ベースまたは機能ベースのインストール」にチェックを入れ「次へ」をクリックします。

Screen Shot 2019-09-27 at 14.41.38

今回は現在操作しているサーバーに対してインストールするので、そのまま「次へ」をクリックします。

Screen Shot 2019-09-27 at 14.46.29

「Active Directory ドメイン サービス」と「DNSサーバー」にチェックを入れて「次へ」をクリックします。
(チェックを入れた時に新たなウィンドウが表示されることがありますが、そのまま「機能の追加」をクリックすればOKです)

Screen Shot 2019-09-27 at 14.48.55

役割とは別に機能をインストールする必要はないのでそのまま「次へ」をクリックします。

Screen Shot 2019-09-27 at 14.50.12

内容を確認して「次へ」をクリックします。

Screen Shot 2019-09-27 at 14.51.27

内容を確認して「次へ」をクリックします。

Screen Shot 2019-09-27 at 15.00.35

「インストール」をクリックし、インストールを開始します。

Screen Shot 2019-09-27 at 15.04.19

 

インストールが完了したら、そのまま「このサーバーをドメインコントローラーに昇格する」をクリックします。

Screen Shot 2019-09-27 at 15.07.56

「Active Directory ドメイン サービス構成ウィザード」が開くので「新しいフォレストを追加する」にチェックを入れルート ドメイン名を設定し「次へ」をクリックします。

今回はテスト目的なのでドメイン名はflnet.localとしました。

(フォレストは様々なドメインが集まる場所のような認識でいいです。今回の場合はまだフォレストがないので新たに作る必要がありました。)

Screen Shot 2019-09-27 at 15.19.00

復元モードに入る際に使用するパスワードを入力し、「次へ」をクリックします。

(機能レベルは今回は既定のWindows Server 2016を選択しました)

Screen Shot 2019-09-27 at 15.22.06

今回は委任などを作らないのでそのまま「次へ」をクリックします。

Screen Shot 2019-09-27 at 15.23.18

NetBIOSドメイン名も特に問題がなければ、そのまま「次へ」をクリックします。

Screen Shot 2019-09-27 at 15.24.25

特にパスも変更がなければ、そのまま「次へ」をクリックします。

Screen Shot 2019-09-27 at 15.25.23

設定を確認して、問題なければ「次へ」をクリックします。

Screen Shot 2019-09-27 at 15.27.17

前提条件のチェックに合格したら、「インストール」をクリックしてインストールを開始します。

インストールが終了すると自動的に再起動されます。

これでActive DirectoryとDNSサーバーのインストールができました。

 

Windows 10クライアントをActive Directoryに参加させる

DNSサーバーのアドレス設定

サーバーが設定できたので、早速クライアントをドメインに参加させます。

Screen Shot 2019-09-27 at 15.40.12

まずはじめにクライアント側のIP設定を開き、DNSサーバーとして先ほど構築したサーバーのアドレスを指定します。
(これを行わないとflnet.localで名前解決ができないため)

Screen Shot 2019-09-27 at 15.45.47

設定後、コマンドプロンプトでping flnet.localを試してみると、名前解決できているのがわかります。

ドメインへの参加

Screen Shot 2019-09-27 at 15.48.08

エクスプローラーを開き、左にある「PC」を右クリックして「プロパティ」を開きます。

Screen Shot 2019-09-27 at 15.50.35

「コンピューター名、ドメインおよびワークグループの設定」にある「設定の変更」をクリックします。

Screen Shot 2019-09-27 at 15.52.25

「変更」をクリックします。

Screen Shot 2019-09-27 at 15.53.46

所属するグループの欄にあるドメインにチェックを入れ、先ほど設定したflnet.localを入力し、「OK」をクリックします。

Screen Shot 2019-09-27 at 15.56.31

ドメインに参加するためのアクセス権限があるアカウントを求められます。

Active Directoryのドメインコントローラーを作成した時点で、ドメインにAdministratorアカウントが作られるので、今回はそれで認証します。
(このドメインのAdministratorアカウントのパスワードはサーバーのAdministratorアカウントと同じです)

なお、ユーザー名は「ドメイン名\Administrator」のように表現することに注意してください。

Screen Shot 2019-09-27 at 16.00.43

認証に成功すると上記のようなメッセージが出るので、OKをクリックし、一個前のウィンドウでもOKをクリックします。

すると、再起動を求められるので画面の指示に従って再起動をすればドメインへの参加が完了します。

 

新規ユーザーの作成 & ログイン

クライアントをドメインに参加させることができましたが、ドメインにアカウントがまだAdministratorしかいないので、ユーザーを作成してそれでログインするところまでやってみます。

Screen Shot 2019-09-27 at 16.17.16

サーバーにログインし、サーバーマネージャーの右上からツール > Active Directory 管理センターをクリックします。

Screen Shot 2019-09-27 at 16.19.31

Active Directory 管理センターが開いたら、左側にあるドメイン名(この場合はflnet(ローカル))をクリックします。

Screen Shot 2019-09-27 at 16.22.10

右側に表示されているタスクのBuiltinから新規>ユーザーをクリックします。

Screen Shot 2019-09-27 at 16.29.59

今回はfl1neというユーザーを作成してみます。

赤色のアスタリスクが表示されているフィールドにそれぞれfl1neと入力し、パスワードに仮のパスワードを設定して「OK」をクリックします。

これでユーザーが作成できました。
(組織内の役職とかも一緒に情報として管理できるけど、今回は特にやってないです)
(パスワードをダミーで設定しておかないとアカウントが無効な状態で作成されます)

Screen Shot 2019-09-27 at 16.32.28

クライアントマシンのログイン画面で左下にある「他のユーザー」から、先ほど作成したユーザーでログインしてみます。

Screen Shot 2019-09-27 at 16.32.59

ユーザー作成時に「ユーザーは次回ログイン時にパスワード変更が必要」にチェックが入っていたため、パスワードの変更を求められるので 画面の指示に従ってパスワードを変更しログインします。

Screen Shot 2019-09-27 at 16.38.10

無事にログインできした。

 

まとめ

今回の記事ではActive Directoryの構築から実際にユーザーを作成し、クライアントでログインすると言った基礎を行いました。

これを元に発展させていくことで実際の企業などで使われているような状態にまで育てていけます。

最近だとAzure ADと呼ばれるクラウドベースのActive Directoryサービスなども登場してきていますが、オンプレでActive Directory構築するノウハウは今後も役立つはずです。

ここまで読んでいただいてありがとうございました。