このトピックでは、新しい Windows Server 2012 Active Directory ドメイン サービスのドメイン コントローラーの昇格機能について、基本的なレベルでの説明を行います。 Windows Server 2012 において、AD DS は Dcpromo ツールに代えて、サーバー マネージャーおよび Windows PowerShell ベースの展開システムを使用します。
Active Directory ドメイン サービスの簡略化された管理
Windows Server 2012 では、次世代を見据えた Active Directory ドメイン サービスの簡略化された管理が導入され、Windows 2000 Server 以来、最も革新的なドメイン構想の見直しが行われています。 AD DS の簡略化された管理は、Active Directory の 12 年に及ぶ実績から学んだ教訓を活かし、アーキテクトや管理者にとってサポート性、柔軟性、直感性に優れた管理エクスペリエンスを提供します。 このことは、既存テクノロジの新しいバージョンを創出すると共に、Windows Server 2008 R2 でリリースされたコンポーネントの機能を拡張することを意味していました。
AD DS の簡略化された管理とは
AD DS の簡略化された管理とは、ドメイン展開の再イメージ化です。 その一部の機能を次に示します。
AD DS の役割の展開は、新しいサーバー マネージャー アーキテクチャに組み込まれ、リモート インストールが可能になりました。
AD DS の展開と構成のエンジンは、GUI によるセットアップを使用するときも、Windows PowerShell になりました。
昇格機能には、新しいドメイン コントローラーに対するフォレストとドメインの準備状態を検証する前提条件のチェックが含まれており、昇格に失敗する可能性が低減されます。
Windows Server 2012 のフォレストの機能レベルでは新しい機能は実装されず、ドメインの機能レベルは Kerberos の新機能のサブセットについてのみ必要となるので、管理者は同種のドメイン コントローラー環境を頻繁に用意する必要性から解放されます。
目的と利点
このような変更点は、簡略化されたというよりは、複雑になったように思えるかもしれません。 しかし、AD DS の展開プロセスを再設計することで、多くの手順とベスト プラクティスを、より少ない、より簡単な操作にまとめることができました。 たとえば、新しいレプリカ ドメイン コントローラーの GUI での構成は、以前は 12 個のダイアログが必要でしたが、今では 8 個のダイアログでできるようになりました。 新しい Active Directory フォレストを作成するには、1 つの引数 (ドメインの名前) のみを含む単一の Windows PowerShell コマンドが必要です。
Windows Server 2012 の Windows PowerShell がこれほどまでに重要視される理由は何でしょうか。 分散コンピューティングが進化するにつれて、Windows PowerShell は、グラフィカル インターフェイスとコマンドライン インターフェイスの両方から構成と保守を行える単一のエンジンとなりました。 多くの機能を駆使してあらゆるコンポーネントのスクリプト処理が可能で、その最上級の能力は IT 技術者にとって API と同等です。 クラウドベース コンピューティングのユビキタス化と歩調を合わせて、Windows PowerShell もいよいよサーバーをリモート管理する機能を備えるようになりました。グラフィカル インターフェイスを持たないコンピューターが、モニターやマウスのあるコンピューターと同じ管理機能を発揮できるのです。
経験豊富な AD DS 管理者は、以前の知識を大いに活かせることに気が付くでしょう。 経験の浅い管理者は、習得のしやすさを実感します。
技術的な概要
始めに知っておくべきこと
このトピックは、以前のリリースの Active Directory ドメイン サービスに関する知識があることを前提としており、その目的と機能といった基本事項については説明しません。 AD DS の詳細については、次にリンク設定された TechNet ポータルのページを参照してください。
機能の説明
AD DS の役割のインストール
![[役割と機能の追加] ウィザードの [サーバーの役割] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_selectserverroles.gif)
Active Directory ドメイン サービスのインストールでは、Windows Server 2012 における他のすべてのサーバーの役割と機能と同様、サーバー マネージャーと Windows PowerShell を使用します。 Dcpromo.exe プログラムによる GUI 構成オプションの提供は行われません。
ローカルとりモートの両方のインストールで、サーバー マネージャーの GUI によるウィザードまたは Windows PowerShell の ServerManager モジュールを使用します。 このようなウィザードやコマンドレットのインスタンスを複数実行し、さまざまなサーバーをターゲットにすることで、1 つのコンソールから複数のドメイン コントローラーに対して AD DS を同時展開できます。 これらの新しい機能は Windows Server 2008 R2 以前のオペレーティング システムとの下位互換性はないものの、従来のコマンドラインから実行するローカルの役割のインストールでは、Windows Server 2008 R2 で導入された Dism.exe アプリケーションもいまだに使用することができます。
AD DS の役割の構成
![Active Directory Domain Services 構成ウィザードの [デプロイの構成] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_deploymentconfiguration_forest.gif)
"以前 DCPROMO と呼ばれていた"、Active Directory Domain Services の構成は、現在はロールのインストールとは別の操作になっています。 AD DS の役割のインストール後、管理者は、サーバー マネージャー内の別のウィザードまたは Windows PowerShell の ADDSDeployment モジュールを使って、サーバーをドメイン コントローラーとして構成します。
AD DS の役割の構成では、12 年間の現場実績を基盤として、現在は Microsoft の最新のベスト プラクティスに基づいてドメイン コントローラーを構成します。 たとえば、ドメイン ネーム システムとグローバル カタログは既定で、すべてのドメイン コントローラーにインストールされます。
サーバー マネージャー AD DS 構成ウィザードでは、多数の個別ダイアログが少数のプロンプトに集約され、"詳細" モードで設定を隠すことがなくなりました。 昇格プロセス全体が、インストール時の 1 つの拡張ダイアログ ボックスで行われます。 ウィザードおよび Windows PowerShell の ADDSDeployment モジュールでは、重要な変更とセキュリティに関する考慮事項が、詳細情報へのリンクと共に表示されます。
Dcpromo.exe はコマンドラインからの無人インストールのためだけに Windows Server 2012 に残され、GUI でのインストール ウィザードは実行しなくなりました。 無人インストールの目的で Dcpromo.exe を使用することは今後停止して、代わりに ADDSDeployment モジュールを使用することを強くお勧めします。現時点で非推奨の実行可能ファイルは、次のバージョンの Windows に含まれないからです。
これらの新しい機能は、Windows Server 2008 R2 以前のオペレーティング システムとの下位互換性がありません。
Important
Dcpromo.exe は GUI によるウィザードを提供しなくなり、役割や機能のバイナリをインストールをしなくなりました。 Explorer シェルから Dcpromo.exe を実行すると、次のメッセージが返されます。
"Active Directory Domain Services インストール ウィザードはサーバー マネージャーに移動されています。 詳細については、https://go.microsoft.com/fwlink/?LinkId=220921 をご覧ください。"
Dcpromo.exe /unattend を実行すると、以前のオペレーティング システムの場合と同様にバイナリがインストールされますが、次の警告が表示されます。
"dcpromo の無人操作は Windows PowerShell の ADDSDeployment モジュールに置き換えられています。 詳細については、https://go.microsoft.com/fwlink/?LinkId=220924 をご覧ください。"
Windows Server 2012 では dcpromo.exe を非推奨としており、この実行可能ファイルは、Windows の将来のバージョンに含まれることもなければ、このオペレーティング システムで機能拡張されることもありません。 管理者はその使用を今後停止して、コマンドラインからドメイン コントローラーを作成したい場合は、サポートされている Windows PowerShell モジュールに切り替える必要があります。
前提条件の確認
ドメイン コントローラーの構成には前提条件のチェック フェーズも実装されており、これによって、ドメイン コントローラーの昇格を続行する前のフォレストとドメインの評価が行われます。 前提条件には、FSMO 役割の可用性、ユーザー権限、拡張スキーマの互換性などの要件が含まれます。 この新しい設計によって、ドメイン コントローラーの昇格が開始された後、重大な構成エラーによって昇格が途中で停止される問題が軽減されます。 また、ドメイン コントローラーのメタデータがフォレスト内で孤立状態になる可能性や、サーバーが自身をドメイン コントローラーであると間違って認識する可能性が少なくなります。
サーバー マネージャーでフォレストを展開する
ここでは、GUI による Windows Server 2012 コンピューター上で、サーバー マネージャーを使って最初のドメイン コントローラーをフォレスト ルート ドメインにインストールする方法について説明します。
サーバー マネージャーでの AD DS の役割のインストール プロセス
次の図は、Active Directory ドメイン サービスの役割のインストール プロセスを示しています。管理者が ServerManager.exe を実行するところから始まり、ドメイン コントローラーの昇格の直前で終わっています。
サーバー プールおよび役割の追加
サーバー マネージャーを実行しているコンピューターからアクセスできる Windows Server 2012 コンピューターはいずれも、プールの対象となります。 プールしたサーバーは、AD DS のリモート インストールなど、サーバー マネージャーで使用できる構成オプションの対象として選択できます。
サーバーを追加するには、次のいずれかを選択します。
ダッシュボードのようこそタイルにある [管理するサーバーの追加] をクリックする
[管理] メニューをクリックし、[サーバーの追加] を選択します
[すべてのサーバー] を右クリックし、[サーバーの追加] を選択します。
[サーバーの追加] ダイアログが表示されます。
![[サーバーの追加] ダイアログ ボックスの [Active Directory] タブを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_addservers.png)
これで、使用またはグループ化するためのプールに 3 つの方法でサーバーを追加できます。
Active Directory 検索 (LDAP を使用する、コンピューターがドメインに属している必要がある、オペレーティング システム フィルターを許可する、ワイルドカードをサポートする)
DNS 検索 (ARP または NetBIOS のブロードキャストか WINS 検索で DNS エイリアスまたは IP アドレスを使用する、オペレーティング システム フィルターを許可しない、ワイルドカードをサポートしない)
インポート (CR/LF で区切られたテキスト ファイルのサーバー リストを使用する)
[ 今すぐ検索 ] をクリックして、コンピューターが参加しているのと同じ Active Directory ドメインのサーバーの一覧を返します。サーバーの一覧から 1 つ以上のサーバー名をクリックします。 右矢印をクリックして、 サーバーを [選択済み] リストに追加します。 [ サーバーの追加 ] ダイアログを使用して、選択したサーバーをダッシュボードの役割グループに追加します。 または、[管理] をクリックし、[サーバー グループの作成] をクリックするか、ダッシュボードの [サーバー マネージャーへようこそ] タイルで [サーバー グループの作成] をクリックしてカスタム サーバー グループを作成します。
Note
[サーバーの追加] の手順では、サーバーがオンライン (アクセス可能) かどうかは確認されません。 ただし、次回の更新時に、サーバー マネージャーの管理状態ビューで、到達できないサーバーすべてにフラグが設定されます。
次に示すように、プールに追加された任意の Windows Server 2012 コンピューターには役割をリモートでインストールできます。
Windows Server 2012 より前のオペレーティング システムを搭載しているサーバーを完全に管理することはできません。 [役割と機能の追加] の選択によって、Windows PowerShell ServerManager モジュールの Install-WindowsFeature が実行されます。
![[AD DS を別のサーバーに追加] メニュー オプションを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_addaddstoanotherserver.png)
既存のドメイン コントローラー上のサーバー マネージャー ダッシュボードを使って、役割が事前に選択されたリモート サーバー AD DS インストールを選択することもできます。それには、[AD DS] ダッシュボード タイルを右クリックし、[別のサーバーへの AD DS の追加] をクリックします。 これは AD-Domain-ServicesInstall-WindowsFeature 呼び出しています。
サーバー マネージャーを実行しているコンピューターはそれ自身を自動的にプールします。 ここで AD DS ロールをインストールするには、[ 管理 ] メニューをクリックし、[ 役割と機能の追加] をクリックします。
![[役割と機能の追加] メニュー オプションにアクセスする方法を示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_manageaddroles.png)
インストールの種類
![役割と機能の追加ウィザードの [インストールの種類] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_selectinstallationtype.png)
[ インストールの種類 ] ダイアログには、Active Directory Domain Services をサポートしないオプションが用意されています。 リモート デスクトップ サービスシナリオベースのインストールです。 このオプションは、マルチサーバー分散ワークロードでのリモート デスクトップ サービスを許可するだけです。 これを選択した場合、AD DS をインストールすることはできません。
AD DS をインストールするときは、常に既定のオプション選択のままにしてください([ 役割ベースまたは機能ベースのインストール])。
サーバーの選択
![[役割と機能の削除] ウィザードの [サーバーの選択] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_selectdestinationserver.png)
[ サーバーの選択] ダイアログでは、プールに以前に追加したサーバーの 1 つから、アクセス可能な限り選択できます。 サーバー マネージャーを実行しているローカル サーバーは自動的に利用可能になります。
また、Windows Server 2012 オペレーティング システムではオフラインの Hyper-V VHD ファイルを選択でき、サーバー マネージャーはコンポーネント サービスを直接介して、それらのファイルに役割を追加します。 このしくみにより、必要なコンポーネントを使って仮想サーバーをプロビジョニングしてから、それらをさらに構成できます。
サーバーの役割と機能
![[役割と機能の追加] ウィザードの [サーバーの役割] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_selectserverroles.png)
ドメイン コントローラーの昇格を行う場合は、Active Directory Domain Servicesの役割を選択します。 Active Directory の管理機能と必須サービスはすべて自動的にインストールされます。表面上は別の役割の一部であったり、サーバー マネージャー インターフェイスに選択状態で表示されない場合であってもです。
サーバー マネージャーには、この役割が暗黙的にインストールする管理機能を示す情報ダイアログも表示されます。これは -IncludeManagementTools 引数と 同じです。
![[役割と機能の追加] ウィザードの [機能] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_selectfeatures.png)
必要に応じて、ここに追加の 機能 を追加できます。
Active Directory Domain Services
![[役割と機能の削除] ウィザードの [AD DS] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_addsintro.png)
[Active Directory Domain Services] ダイアログは、要件とベスト プラクティスに関する限定された情報を提供します。 その主な機能は、AD DS のロールが選択されたことの確認を求めることです。この画面が表示されない場合は、AD DS が選択されていないことを意味します。
Confirmation
![[役割と機能の追加] ウィザードの [確認] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_confirmation.png)
[確認] ダイアログは、ロールのインストールを開始する前の最後のチェックポイントです。 役割のインストール後に必要に応じてコンピューターを再起動するオプションがありますが、AD DS のインストールでは再起動は必要ありません。
[ インストール] をクリックすると、ロールのインストールを開始する準備ができているか確認できます。 いったん開始されたインストールを取り消すことはできません。
Results
![[役割と機能の追加] ウィザードの [結果] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_results.png)
[結果] ダイアログには、現在のインストールの進行状況と現在のインストール状態が表示されます。 サーバー マネージャーが閉じているかどうかにかかわらず、役割のインストールは続行されます。
それでも、インストールの結果を確認することをお勧めします。 インストールが完了する前に [結果 ] ダイアログを閉じると、サーバー マネージャー通知フラグを使用して結果を確認できます。 サーバー マネージャーは、AD DS の役割がインストール済みであるものの、ドメイン コントローラーとしての追加構成が行われていないサーバーに対して警告のメッセージも表示します。
タスク通知
AD DS 詳細
タスクの詳細
ドメイン コントローラーに昇格する
![[このサーバーをドメイン コントローラーに昇格する] リンクを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_promote.png)
AD DS の役割のインストール終了時、[このサーバーをドメイン コントローラーに昇格する] リンクを使って構成を続行できます。 この作業はサーバーをドメイン コントローラーにするために必要ですが、すぐに構成ウィザードを実行する必要はありません。 たとえば、AD DS バイナリを使ってプロビジョニングだけ完了した状態のサーバーを、他のブランチ オフィスに送って、後で構成を行いたい場合があります。 出荷の前に AD DS の役割を追加しておけば、出荷先に着いたときに時間を節約できます。 また、ドメイン コントローラーを何日もまたは何週間もオフラインにしないことをお勧めします。 そうすることでドメイン コントローラーの昇格の前にコンポーネントを更新できるようになり、後の再起動を 1 回以上省略できます。
このリンクを選択すると、後で ADDSDeployment コマンドレット ( install-addsforest、 install-addsdomain、または install-addsdomaincontroller) が呼び出されます。
Uninstalling/Disabling
AD DS の役割は他のすべての役割と同様に削除します。サーバーをドメイン コントローラーに昇格したかどうかは関係ありません。 ただし、AD DS の役割を削除するときは、完了時に再起動が必要になります。
Active Directory ドメイン サービスの役割の削除は、作業完了の前にドメイン コントローラーの降格が必要になるという点で、インストールとは異なります。 メタデータのクリーンアップがフォレスト内で適切に行われることなく、ドメイン コントローラーがその役割のバイナリをアンインストールされてしまうことを防ぐために降格は必要です。 詳細については、「ドメイン コントローラーとドメインの降格 (レベル 200)」を参照してください。
Warning
ドメイン コントローラーに昇格した後に Dism.exe または Windows PowerShell DISM モジュールを使用して AD DS 役割を削除することはサポートされておらず、サーバーの正常な起動を妨げます。
サーバー マネージャーまたは Windows PowerShell の AD DS 展開モジュールとは異なり、DISM はネイティブのサービス システムであり、AD DS またはその構成に関する知識を元々備えていません。 サーバーがドメイン コントローラーでなくなる場合を除き、AD DS の役割をアンインストールするのに Dism.exe または Windows PowerShell の DISM モジュールを使用しないでください。
サーバー マネージャーを使って AD DS フォレスト ルート ドメインを作成する
次の図は Active Directory Domain Services の構成プロセスを示しています。ここでは、既にサーバー マネージャーを使って AD DS の役割をインストールし、Active Directory Domain Services 構成ウィザードを開始しています。
![Active Directory Domain Services の構成プロセスを示す図。ここの場合、既にサーバー マネージャーを使用して AD DS の役割をインストールし、Active Directory Domain Services [構成] ウィザードを開始しています。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_forestdeploy2.png)
展開の構成
サーバー マネージャーは 、[展開の構成] ページを使用して、すべてのドメイン コントローラーの昇格を開始します。 このページおよび以降のページの他のオプションおよび必須フィールドは、選択した展開操作によって異なります。
新しい Active Directory フォレストを作成するには、[新しいフォレストを追加する] をクリックします。 有効なルート ドメイン名を指定する必要があります。名前に単一ラベルを付けることはできません (たとえば、名前は contoso だけでなく、contoso.com または類似している必要があります)、許可された DNS ドメインの名前付け要件を使用する必要があります。
有効なドメイン名の詳細については、サポート技術情報の記事「 Naming conventions in Active Directory for computers, domains, sites, and OUs (Active Directory 内のコンピューター、ドメイン、サイト、および OU の名前付け規則)」を参照してください。
Warning
新しい Active Directory フォレストを、外部の DNS 名と同じ名前で作成しないでください。 たとえば、インターネットの DNS URL が https://contoso.com である場合、互換性の問題が将来発生するのを防ぐため、内部のフォレストには異なる名前を選択する必要があります。 その名前は、一意で、Web トラフィックにはありそうもないものにする必要があります。 たとえば、corp.contoso.com のようにします。
新しいフォレストには、ドメインの Administrator アカウントの新しい資格情報は必要ありません。 ドメイン コントローラーの昇格プロセスでは、フォレスト ルートの作成に使用した最初のドメイン コントローラーの組み込みの Administrator アカウントの資格情報を使用します。 組み込みの Administrator アカウントを、無効にしたり、ロックアウトしたりすることはできません (既定)。他のドメイン管理者アカウントを使用できない場合は、組み込みの Administrator アカウントがフォレストへの唯一のエントリ ポイントとなる場合があります。 新しいフォレストを展開する前に、そのパスワードを知っておくことが重要です。
DomainName には有効な完全修飾ドメイン DNS 名が必要であり、必須です。
ドメイン コントローラー オプション
![Active Directory Domain の [Services 構成] ウィザードのドメイン コントローラー オプションを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_dcoptions_forest.gif)
[ドメイン コントローラー オプション] では、新しいフォレスト ルート ドメインのフォレストの機能レベルとドメインの機能レベルを構成できます。 既定では、これらの設定は新しいフォレスト ルート ドメイン内の Windows Server 2012 です。 Windows Server 2012 のフォレスト機能レベルには、Windows Server 2008 R2 のフォレスト機能レベルと比べて新しい機能はありません。 Windows Server 2012 ドメインの機能レベルは、新しい Kerberos の、"常に信頼性情報を提供する" と "防御されていない認証要求を失敗とする" 設定を実装するためにのみ必要です。Windows Server 2012 での機能レベルでの主な用途は、ドメインへの参加を、最小限のオペレーティング システム要件を満たすドメイン コントローラーに制限することです。 つまり、Windows Server 2012 を実行する、Windows Server 2012 ドメイン機能レベルのみのドメイン コントローラーがドメインをホストできるように指定できます。 Windows Server 2012 では、Windows Server 2012 ドメイン コントローラーのみを検索する NetLogon の DSGetDcName 関数に、DS_WIN8_REQUIREDと呼ばれる新しいドメイン コントローラー フラグが実装されています。 このフラグにより、ドメイン コントローラー上での実行を許可されるオペレーティング システムの種類という観点から、より同種のサーバーまたは同種のフォレストを柔軟に構成できるようになります。
ドメイン コントローラー検出の詳細については、「 Directory Service Functions (ディレクトリ サービスの関数)」を参照してください。
唯一構成可能なドメイン コントローラーの機能は、DNS サーバー オプションです。 分散環境において高可用性を実現するため、すべてのドメイン コントローラーが DNS サービスを提供することをお勧めします。ドメイン コントローラーを、どのモードで、どのドメインにインストールするときでも、このオプションが既定で選択されるのはそのためです。 新しいフォレスト ルート ドメインを作成するとき、グローバル カタログと読み取り専用ドメイン コントローラーのオプションは使用できません。最初のドメイン コントローラーはグローバル カタログ (GC) である必要があり、読み取り専用ドメイン コントローラー (RODC) であってはいけません。
指定するディレクトリ サービスの復元モード パスワードは、サーバーに適用されるパスワード ポリシーに準拠する必要がありますが、既定では強力なパスワードである必要はなく、空白パスワードではないことだけが必要です。 常に強力で複雑なパスワードを、または可能であればパスフレーズを選択します。
DNS オプションと DNS 委任資格情報
![Active Directory Domain Services の [構成] ウィザードの DNS オプションを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_forestdnsoptions.png)
[ DNS オプション] ページでは、DNS 委任を構成し、代替の DNS 管理者資格情報を指定できます。
[ドメイン コントローラー オプション] ページで DNS サーバーを選択した新しい Active Directory フォレスト ルート ドメインをインストールするときに、Active Directory Domain Services 構成ウィザードで DNS オプションまたは委任を構成することはできません。 既存の DNS サーバー インフラストラクチャ内に新しいフォレスト ルート DNS ゾーンを作成するときは、[DNS 委任の作成] を使用できます。 このオプションを使用すると、DNS ゾーンを更新する権限を持つ、代替の DNS 管理者資格情報を指定できます。
DNS 委任を作成する必要があるかどうかの詳細については、「ゾーンの委任とは」を参照してください。
その他のオプション
![Active Directory Domain Services の [構成] ウィザードの [追加オプション] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_forestadditionaloptions.png)
[ 追加オプション] ページには、ドメインの NetBIOS 名が表示され、オーバーライドできます。 既定では、NetBIOS ドメイン名は 、[展開の構成] ページで指定された完全修飾ドメイン名の左端のラベルと一致します。 たとえば、完全修飾ドメイン名として corp.contoso.com を指定した場合、既定の NetBIOS ドメイン名は CORP です。
15 文字以下で、他の NetBIOS 名と競合していない名前は、変更されません。 他の NetBIOS 名と競合している場合は、番号が付加されます。 15 文字を超えている場合は、一意の、もっと短い名前の候補がウィザードによって示されます。 ウィザードでは、いずれの場合も、WINS 参照および NetBIOS ブロードキャストを介して、名前が既に使用されていないかどうかが最初に検証されます。
有効なドメイン名の詳細については、サポート技術情報の記事「 Naming conventions in Active Directory for computers, domains, sites, and OUs (Active Directory 内のコンピューター、ドメイン、サイト、および OU の名前付け規則)」を参照してください。
Paths
![Active Directory Domain Services の [構成] ウィザードの [パス] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_forestpaths.png)
[ パス] ページでは、AD DS データベース、データベース トランザクション ログ、および SYSVOL 共有の既定のフォルダーの場所をオーバーライドできます。 既定の場所は常に、%systemroot% (つまり C:\Windows) のサブディレクトリ内です。
オプションの確認とスクリプトの表示
![Active Directory Domain Services の [構成] ウィザードの [オプションの確認] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_forestreviewoptions.png)
[ オプションの確認] ページでは、インストールを開始する前に、設定を検証し、要件を満たしていることを確認できます。 これがサーバー マネージャーの使用中においてインストールを中止する最後の機会ではありません。 構成を続行する前に設定を確認するためのオプションにすぎません。
サーバー マネージャーの [オプションの確認] ページには、現在の ADDSDeployment 構成を 1 つの Windows PowerShell スクリプトとして含む Unicode テキスト ファイルを作成するためのオプションの [スクリプトの 表示 ] ボタンも用意されています。 これにより、サーバー マネージャーのグラフィカル インターフェイスを Windows PowerShell 展開スタジオとして使用できます。 Active Directory ドメイン サービス構成ウィザードを使用してオプションを構成し、構成をエクスポートした後、ウィザードをキャンセルします。 これによって有効で正しい構文のサンプルが作成されるので、それをさらに変更したり、直接使用したりできます。 例えば次が挙げられます。
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Note
サーバー マネージャーでは通常、昇格時にすべての引数とその値を入力し、既定値に依存しません (既定値は将来のバージョンの Windows 間またはサービス パック間で変わる可能性があるため)。 これに対する 1 つの例外は 、-safemodeadministratorpassword 引数です (スクリプトから意図的に省略されます)。 確認プロンプトを強制的に表示するには、コマンドレットを対話的に実行するときに値を省略します。
前提条件チェック
![Active Directory Domain Services の [構成] ウィザードの [前提条件のチェック] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_forestprereqcheck.png)
前提条件チェックは、AD DS ドメイン構成の新機能です。 この新しいフェーズでは、サーバー構成が新しい AD DS フォレストをサポートできるかどうかを検証します。
新しいフォレスト ルート ドメインをインストールするときは、サーバー マネージャーの Active Directory ドメイン サービス構成ウィザードによって、一連のモジュール テストが実施されます。 これらのテストでは、警告と共に、候補となる修正オプションが提示されます。 テストは必要なだけ何度でも実行できます。 前提条件のテストにすべて合格するまで、ドメイン コントローラー プロセスを続行することはできません。
前提条件チェックでは、古いオペレーティング システムに影響を与えるセキュリティの変更などの関連情報も表示されます。
特定の前提条件チェックの詳細については、「 前提条件チェック」を参照してください。
Installation
![Active Directory Domain Services の [構成] ウィザードの [インストール] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_forestinstallation.png)
[インストール] ページが表示されると、ドメイン コントローラーの構成が開始され、停止または取り消すことはできません。 操作の詳しい内容がこのページに表示され、以下のログに書き込まれます。
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Note
同じサーバー マネージャー コンソールから、役割インストールと AD DS 構成の複数のウィザードを同時に実行できます。
Results
![昇格が成功したか失敗したかを確認できる [結果] ページを示すスクリーンショット。](media/install-a-new-windows-server-2012-active-directory-forest--level-200-/adds_smi_tr_forestsignoff.png)
[結果] ページには、昇格の成功または失敗、および重要な管理情報が表示されます。 ドメイン コントローラーは、10 秒後に自動的に再起動します。
Windows PowerShell を使用してフォレストを展開する
ここでは、コア Windows Server 2012 コンピューター上で、Windows PowerShell を使って最初のドメイン コントローラーをフォレスト ルート ドメインにインストールする方法について説明します。
Windows PowerShell を使った AD DS の役割のインストール プロセス
いくつかの単純な ServerManager 展開コマンドレットを展開プロセスに組み込むことで、AD DS の簡素化された管理の構想をさらに実現できます。
次の図は、Active Directory Domain Services の役割のインストール プロセスを示しています。最初は 、PowerShell.exe を実行し、ドメイン コントローラーの昇格の直前に終了します。
| ServerManager コマンドレット | 引数 (太字 の引数が必要です。 斜体の 引数は、Windows PowerShell または AD DS 構成ウィザードを使用して指定できます)。 |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature |
-Name -Restart -IncludeAllSubFeature -IncludeManagementTools -Source -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Note
必須ではありませんが、AD DS ロール バイナリをインストールする場合は、 引数 -IncludeManagementTools を強くお勧めします
ServerManager モジュールは、Windows PowerShell の新しい DISM モジュールによる役割インストール、状態、および削除の部分を公開します。 このレイヤリングによって、ほとんどのタスクが簡素化され、強力な (ただし、使い方を間違うと危険な) DISM モジュールを直接使用する必要が減ります。
Get-Command を使用して、ServerManager のエイリアスとコマンドレットをエクスポートします。
Get-Command -module ServerManager
例えば次が挙げられます。
Active Directory Domain Services ロールを追加するには、AD DS ロール名を引数として 使用して Install-WindowsFeature を実行するだけです。 サーバー マネージャーと同様、AD DS の役割に暗黙的に必要とされるすべてのサービスは自動的にインストールされます。
Install-WindowsFeature -name AD-Domain-Services
AD DS 管理ツールもインストールする必要があり、これを強くお勧めする場合は、 -IncludeManagementTools 引数を 指定します。
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
例えば次が挙げられます。
インストール状態のすべての機能と役割を一覧表示するには、引数を指定せずに Get-WindowsFeature を使用します。 リモート サーバーからのインストール状態の -ComputerName 引数を指定します。
Get-WindowsFeature
Get-WindowsFeature にはフィルター処理メカニズムがないため、パイプラインで Where-Object を使用して特定の機能を検索する必要があります。 パイプラインは複数のコマンドレット間でデータを渡すのに使うチャネルであり、Where-Object コマンドレットはフィルターとして機能します。 組み込みの $_ 変数は、パイプラインを通過する現在のオブジェクトとして機能し、それに含まれる可能性のある任意のプロパティを指定します。
Get-WindowsFeature | where-object <options>
たとえば、 表示名 プロパティで "Active Dir" を含むすべての機能を検索するには、次のコマンドを使用します。
Get-WindowsFeature | where displayname -like "*active dir*"
他の例も次に示します。
パイプラインと Where-Object を使った他の Windows PowerShell 操作の詳細については、「 Piping and the Pipeline in Windows PowerShell (Windows PowerShell のパイプ処理とパイプライン)」を参照してください。
また、Windows PowerShell 3.0 では、このパイプライン操作に必要なコマンドライン引数が大幅に簡素化されています。 Windows PowerShell 2.0 では次のように指定する必要がありました。
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
Windows PowerShell パイプラインを使用することで、判読しやすい結果が生成されます。 例えば次が挙げられます。
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Select-Object コマンドレットを -expandproperty 引数と共に使用すると、興味深いデータが返されることに注意してください。
Note
Select-Object -expandproperty 引数を指定すると、インストール全体のパフォーマンスが若干低下します。
Windows PowerShell を使って AD DS フォレスト ルート ドメインを作成する
ADDSDeployment モジュールを使って新しい Active Directory フォレストをインストールするには、次のコマンドレットを使用します。
Install-addsforest
Install-AddsForest コマンドレットには、2 つのフェーズ (前提条件の確認とインストール) しかありません。 次の 2 つの図は、 -domainname の最低限必要な引数を持つインストール フェーズを示しています。
| ADDSDeployment コマンドレット | 引数 (太字 の引数が必要です。 斜体の 引数は、Windows PowerShell または AD DS 構成ウィザードを使用して指定できます)。 |
|---|---|
| Install-Addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Note
DNS ドメイン名プレフィックスに基づいて自動生成される 15 文字の名前を変更する場合、または名前が 15 文字を超える場合は、 -DomainNetBIOSName 引数が必要です。
同等のサーバー マネージャー 展開構成 ADDSDeployment コマンドレットと引数は次のとおりです。
Install-ADDSForest
-DomainName <string>
サーバー マネージャーの [ドメイン コントローラー オプション] と同等の ADDSDeployment コマンドレットと引数を次に示します。
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
Install-ADDSForest 引数は、指定しない場合、サーバー マネージャーと同じ既定値に従います。
SafeModeAdministratorPassword 引数の操作は特殊です。
引数として 指定しない 場合は、マスクされたパスワードを入力して確認するように求められます。 これは、コマンドレットを対話的に実行する場合に推奨される使用方法です。
たとえば、corp.contoso.com という名前の新しいフォレストを作成し、マスクされたパスワードの入力と確認入力を求めらるようにするには、次のように指定します。
Install-ADDSForest "DomainName corp.contoso.comこの引数を値と共に指定する場合は、セキュリティで保護された文字列を指定する必要があります。 これは、コマンドレットを対話的に実行する場合に推奨される使用方法ではありません。
たとえば、 Read-Host コマンドレットを使用してユーザーにセキュリティで保護された文字列の入力を求めることで、パスワードの入力を手動で求めることができます。
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
この方法ではパスワードの確認入力が行われないため、細心の注意が必要です。パスワードは表示されません。
セキュリティで保護された文字列は、変換されるクリア テキストの変数として指定することもできますが、これはお勧めしません。
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
最後に、暗号化したパスワードをファイルに保存して後で使用することができます。こうするとクリア テキストのパスワードを表示せずに済みます。 例えば次が挙げられます。
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
クリア テキストや暗号化されたテキストのパスワードを指定したり格納したりすることはお勧めしません。 このコマンドをスクリプトで実行する人や入力をそばで見ている人に、そのドメイン コントローラーの DSRM パスワードを知られてしまいます。 そのファイルにアクセスできる人はだれでも、暗号化されたパスワードを元に戻すことができます。 そのパスワードがわかれば、DSRM で起動された DC にログオンし、最終的にドメイン コントローラーそのものを偽装して、自分の権限を Active Directory フォレストで最も高いレベルに昇格させることができます。 System.Security.Cryptography を使用してテキスト ファイル データを暗号化する手順の追加セットは推奨されますが、範囲外です。 ベスト プラクティスは、パスワードの保存を絶対に避けることです。
ADDSDeployment コマンドレットには、DNS クライアント設定、フォワーダー、およびルート ヒントの自動構成をスキップする追加オプションがあります。 サーバー マネージャーを使用しているときは、この構成オプションをスキップできません。 この引数が重要なのは、ドメイン コントローラーを構成する前に DNS サーバーの役割をインストールした場合だけです。
-SkipAutoConfigureDNS
DomainNetBIOSName 操作も特別です。
引数 DomainNetBIOSName が NetBIOS ドメイン名で指定されておらず、DomainName 引数の単一ラベル プレフィックス ドメイン名が 15 文字以下の場合、昇格は自動的に生成された名前で続行されます。
引数 DomainNetBIOSName が NetBIOS ドメイン名で指定されておらず、DomainName 引数の単一ラベル プレフィックス ドメイン名が 16 文字以上の場合、昇格は失敗します。
引数 DomainNetBIOSName が 15 文字以下の NetBIOS ドメイン名で指定されている場合、昇格は指定された名前で続行されます。
引数 DomainNetBIOSName に NetBIOS ドメイン名が 16 文字以上指定されている場合、昇格は失敗します。
サーバー マネージャーの [追加オプション] と同等の ADDSDeployment コマンドレット引数を次に示します。
-domainnetbiosname <string>
同等のサーバー マネージャー パス ADDSDeployment コマンドレットの引数は次のとおりです。
-databasepath <string>
-logpath <string>
-sysvolpath <string>
構成情報を確認するには、Install-ADDSForest コマンドレットで省略可能な Whatif 引数を使用します。 これによって、コマンドレットの引数の明示的な値と暗黙的な値を確認できます。
例えば次が挙げられます。
サーバー マネージャーを使用する場合は 前提条件チェック をバイパスできませんが、次の引数を使用して AD DS 展開コマンドレットを使用する場合は、プロセスをスキップできます。
-skipprechecks
Warning
ただし Microsoft では前提条件のチェックを省略することはお勧めしません。ドメイン コントローラーの昇格が部分的に行われたり、AD DS フォレストに障害が発生したりする恐れがあります。
サーバー マネージャーと同様に、 Install-ADDSForest では、昇格によってサーバーが自動的に再起動されることを通知する点に注意してください。
再起動プロンプトを自動的に受け入れるには、ADDSDeployment Windows PowerShell コマンドレットで -force または -confirm:$false 引数を使用します。 昇格の終了時にサーバーが自動的に再起動されないようにするには、 -norebootoncompletion 引数を使用します。
Warning
再起動のオーバーライドは推奨されません。 ドメイン コントローラーを正常に機能させるには、再起動する必要があります。
こちらもご覧ください
Active Directory Domain Services (TechNet ポータル)Windows Server 2008 R2 向け Active Directory Domain ServicesWindows Server 2008 向け Active Directory Domain ServicesWindows Server テクニカル リファレンス (Windows Server 2003)Active Directory 管理センター: はじめに (WindowsServer 2008 R2)Windows PowerShell による Active Directory の管理 (Windows Server 2008 R2)ディレクトリ サービス チームに質問する (公式 Microsoft 商用テクニカル サポート ブログ)