Active DirectoryをAWS上で構築してみます。
ASサーバを2台、クライアントを1台展開することにして、AD1,AD2,Client1へWindowsServer2012をインストールし日本語化、タイムゾーンを東京に合わせるとことまで事前準備をしておきます。
■AD1の設定
・コントロールパネル>サーバーマネジャー>[役割と機能の追加]
・[役割ベースまたは機能ベースのインストール]
・[サーバープールからサーバーを選択]でAD1を選択
・[Active Directory Domain Service]を選択
その後ウィザードが立ち上がるのでデフォルトのまま追加
・[.NET Framework]の追加が立ち上がるのでそのまま次へ
・完了画面で[このドメインをドメインコントローラーに昇格]を選択
・[新しいフォレストを追加する]を選択
ルートドメイン名を[networklab.local]に設定
・ドメインコントローラーの機能に[DNSサーバー]が含まれていることを確認してからAD復元モードのパスワードを入力
・Active DirectoryドメインのNetBIOS名はドメイン部分が自動設定されるのでそのまま次へ
次からの画面はデフォルトの設定で進行するとドメインコントローラーがインストールされ自動的に再起動
・再起動後、システムのプロパティをみるとドメインに参加していることがわかります。
フルコンピュータ名:AD1.networklab.local
ドメイン:networklab.local
・powershellを起動して[ntdsutil]で状態を確認
Windows PowerShell Copyright (C) 2014 Microsoft Corporation. All rights reserved. PS C:\Users\Administrator> ntdsutil C:\Windows\system32\ntdsutil.exe: roles fsmo maintenance: select operation target select operation target: connections server connections: connect to domain networklab.local Binding to \\AD1.networklab.local ... Connected to \\AD1.networklab.local using credentials of locally logged on user. server connections: quit select operation target: list role for connected server Server "\\AD1.networklab.local" knows about 5 roles Schema - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=networklab,DC=local Naming Master - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=networklab,DC=local PDC - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=networklab,DC=local RID - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=networklab,DC=local Infrastructure - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=networklab,DC=local select operation target:
・[Active Directory サイトとサービス]画面を起動し、[Sites]>[Default-first-site-name]>[Server]-[AD1]-[NTDS Settings]を右クリックしてプロパティ
自動でグローバルカタログに選択されていることを確認しました。
■AD2の設定
・セカンダリのAD2で最初にAD1をDNSとして設定(IP設定画面から)
・DCのインストール手順はAD1と同様
・完了画面で[このドメインをドメインコントローラーに昇格]を選択
・[既存のドメインにドメインコントローラーを追加する]を選択
・認証画面が出るのでAD1のアカウントでログイン
networklab.local\Administrator / ********
※AWSの場合、セキュリティグループの設定をしていないとこの段階で接続できないのでセキュリティグループで関連ポートを開放
・DNSサーバ、GCサーバが選択されていることを確認して復元パスワードを入力し次へ
・後の画面はデフォルト設定のままでインストールまで完了
・再起動されたらログイン。ログイン時はAD1のドメインアドミニストレーターのID、パスワードでログインする
ドメインアドミニストレーターのID、パスワードはAD1構築時にローカルのAdministratorパスワードが複製される
networklab.local\Administrator / *********
AD1の方は、DC構築時に自動的にドメインアドミニストレーターでログインされているがAD2は初めてなので英語に戻ってしまいますので再度日本語
■クライアント(client1)の設定
・AD1の[Active Directoryユーザーのコンピュータ]でOUを作成後ユーザを作成
・client1でドメイン参加後、ローカルログインでリモート接続ユーザとして上記のユーザを許可
・client1へドメインアカウントでログイン
■FSMOの移動
-スキーマの移動
・AD2で[Active Directoryスキーマ]を追加
シェルスクリプトで[regsvr32 schmmgmt.dll]を入力後、[mmc.exe]でスナップインを追加
・[Active Directoryスキーマ]で、[Active Directoryドメインコントローラーの変更]を選択後AD2を選択
・右クリックメニューから[操作マスター]を選択し変更を実行
-ドメイン名前付けマスタの移動
・[Active Directoryドメインと信頼関係]コンソールを展開
・右クリックで[Active Directoryドメインコントローラーの変更]でAD2に変更
・右クリックで[操作マスタ]を選択し変更を実行
-PDCエミュレータ、RIDマスタ、インフラストラクチャマスタの移動
・[Active Directoryユーザーとコンピュータ]コンソールを展開
・右クリックで[操作マスタ]を選択し、各タブで変更を実行
・コマンドでFSMOが正常に移動されているか確認
select operation target: list role for connected server Server "\\AD2.networklab.local" knows about 5 roles Schema - CN=NTDS Settings,CN=AD2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=networklab,DC=local Naming Master - CN=NTDS Settings,CN=AD2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=networklab,DC=local PDC - CN=NTDS Settings,CN=AD2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=networklab,DC=local RID - CN=NTDS Settings,CN=AD2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=networklab,DC=local Infrastructure - CN=NTDS Settings,CN=AD2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=networklab,DC=local select operation target:
※参考にさせていただいたサイト
http://dev.classmethod.jp/cloud/aws/active-directory-on-aws-1/
■DC1へ強制的に移行(戻す)するには。
Copyright (C) 2014 Microsoft Corporation. All rights reserved. PS C:\Users\Administrator> ntdsutil C:\Windows\system32\ntdsutil.exe: roles fsmo maintenance: select operation target select operation target: connections server connections: connect to domain networklab.local Binding to \\AD1.networklab.local ... Connected to \\AD1.networklab.local using credentials of locally logged on user. server connections: quit fsmo maintenance: seize schema master fsmo maintenance: seize naming master fsmo maintenance: seize pdc fsmo maintenance: seize rid master fsmo maintenance: seize infrastructure master