Windows Server Core をドメインコントローラーとしてセットアップするのは、「次へ」をクリックしてすべてがスムーズに進むのを願うほど単純ではありません。GUI が少なく、PowerShell が多く、コマンドラインでの切り替え操作が多数必要となる、全く異なる作業です。ドメインコントローラー(新規または既存ドメインへの参加)を起動することが目的であれば、適切なインストール方法と検証方法を知っておくことで、頭を悩ませる時間を節約できます。正直なところ、Windows Server Core は、すべてをクリック操作で進めることに慣れていると、少し奇妙に感じるかもしれません。ここで重要なのは、ネットワークとロールを正しく設定し、その後、正常性をチェックして、後々の予期せぬ事態を避けることです。ここでは、初期インストールからすべてが正常に動作していることを確認するまでの手順を詳しく説明します。
PowerShell を使用して Active Directory ドメイン コントローラーをインストールする方法
Server Coreマシンの基本的なホスト設定を構成する
- まず最初に、適切なホスト名を設定し、静的IPアドレスを設定します。これは非常に重要です。なぜなら、DHCPは通常、ADをホストするサーバーには適していないからです。
Rename-Computer -NewName "your-new-hostname"サーバーの名前を変更するために使用します(後で再起動する必要があります)。- DHCP は不安定であったり、ドメイン コントローラーに適していない可能性があるため、IP アドレス、サブネット、デフォルト ゲートウェイ、DNS などのネットワーク情報を明示的に設定します。
Rename-Computer -NewName "hb-dc03" Get-NetAdapter | ? Status -eq "Up" | Select-Object -First 1 | ForEach-Object { $interface = $_. InterfaceAlias $ip = "192.168.13.11" $gw="192.168.13.1" $dns = "192.168.13.10" New-NetIPAddress -InterfaceAlias $interface -IPAddress $ip -PrefixLength 24 -DefaultGateway $gw Set-DnsClientServerAddress -InterfaceAlias $interface -ServerAddresses $dns } ちょっと面倒ですが、ロールのインストールに進む前に、ネットワーク設定が正しいことを確認しておく必要があります。なぜそうなるのかは分かりませんが、ネットワークが正しく構成されていないと、これらのコマンドがハングすることがあります。
AD DS ロールをインストールする
- Server CoreにはGUIがないため、PowerShellを使ってAD DSをインストールします。これはドメインコントローラーを起動するための中核部分です。
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools -Verboseこの段階は非常に簡単ですが、インストールがエラーなく完了することを確認してください。エラーがない場合は、次のステップに進みます。
役割がインストールされていることを確認する
- 念のため、以下を実行します。
Get-WindowsFeature -Name *AD*インストール済みと表示されれば、準備完了です。フォレストまたはドメインの展開に進むことができます。
フォレスト、ドメインを展開するか、ドメイン コントローラを追加します
- 新しいフォレストの場合、コマンドの例を次に示します。
Install-ADDSForest -DomainName woshub.com -ForestMode Win2016 -DomainMode Win2016 -DomainNetbiosName WOSHUB -InstallDns $trueこれにより、新しいActive Directoryフォレストが作成されます。既存のDCにDCを追加したい場合は、次のInstall-ADDSDomainControllerコマンドを使用します。
Install-ADDSDomainController -DomainName woshub.com -InstallDns -Credential (Get-Credential) -DatabasePath "D:\ADDS\DB" -LogPath "D:\ADDS\Log" -SysvolPath "D:\ADDS\SYSVOL"注:ほとんどの設定では、最後のシナリオ、つまり既存のドメインにDCを追加するという方法を採用するでしょう。昇格する前に、ADが正常に動作していることを確認してください(dcdiag /vWindowsは何か問題が発生するとすぐにエラーが発生する傾向があるため、必ず確認してください)。
サーバーを宣伝し、詳細を設定する
- これをグローバル カタログとして設定する場合、またはサイトを指定する場合は、コマンドにパラメータを含めます。
Install-ADDSDomainController -DomainName woshub.com -InstallDns $true -SiteName "Hamburg" -NoRebootOnCompletion $true -Force $true -SafeModeAdministratorPassword (ConvertTo-SecureString 'R0DCP@ssw0rd' -AsPlainText -Force) -Credential (Get-Credential)その後、サーバーを再起動します。
Restart-ComputerServer Core 上のドメイン コントローラの正常性を確認する
起動したら、ただ座って待つのではなく、すべてが正常に動作していることを確認してください。そうしないと、レプリケーションに問題が発生したり、FSMOの役割が欠落したりする可能性があります。Server Coreから確認するのは少し面倒ですが、別のマシン(RSATツールがインストールされたWindows、またはドメインに参加している別のマシン)から確認することも可能です。一般的な確認事項は次のとおりです。
- 管理 PC からActive Directory ユーザーとコンピューター(dsa.msc)を開き、「ドメイン コントローラー」の下に新しいドメイン コントローラーが表示されていることを確認します。
- 管理者 PC 上の PowerShell セッションで実行する
Get-ADDomainController -Discoverと、DC が適切なサイトにあるかどうかがわかります。 - AD サービスのステータスをリモートで確認します。
Get-Service adws, kdc, netlogon, dns - SYSVOL および NETLOGON 共有が存在することを確認します。
Get-SMBShare - イベント ログ (ディレクトリ サービス、Active Directory Web サービス) をリモートで確認し、危険信号がないか確認します。
Get-EventLog "Directory Service" | Select-Object entrytype, source, eventid, message Get-EventLog "Active Directory Web Services" | Select-Object entrytype, source, eventid, messagedcdiagレプリケーション(repadmin /replsummary、 )の実行と確認repadmin /showreplも必須です。設定によっては、コマンドがハングしたり誤った情報を表示したりすることがあります。そのような場合は、しばらく待つか再起動することで、潜在的な問題を解決できる可能性があります。また、 を使ってFSMOの役割が正しく設定されていることも忘れずに確認してくださいnetdom /query FSMO。
Windows Admin Center (WAC) を使用してドメイン コントローラーを昇格する
PowerShellが使いづらいと感じるなら、Windows Admin Center(WAC)という代替手段があります。Server Coreをリモートで管理するのに便利ですが、拡張機能が必要で、まだプレビュー段階である可能性があることに注意してください。要点は以下の通りです。
- Server Core ホストを WAC インターフェイスに追加します。
- [役割と機能]セクションを開き、[Active Directory ドメイン サービス]を選択して、[インストール]をクリックします。
- インストールが完了したら、WAC の Web コンソールを開き、前述のプロモーションコマンド(Web インターフェースの PowerShell 経由)を実行します。その後、サーバーを再起動します。
- その後、ドメイン管理者アカウントでWACに再接続してください。AD拡張機能をインストールすると、WACのWeb UIから直接ADを管理できるようになります。ヘッドレス環境としては悪くない機能です。
ただし、WAC拡張機能はまだプレビュー段階であり、バグや機能不足がある可能性があります。そのため、今すぐに本業を諦める必要はありません。しかし、いざというときには、総当たりコマンドのかなり有効な代替手段となります。