Active Directoryドメインサービスのインストール方法（Windows Server 2012 R2評価版編）

前回インストールしたWindows Server 2012 R2にActive Directoryを追加して、とりあえずドメインユーザーでログインできるようにしてみます。

■今回のミッション
・Active Directoryをとりあえずインストール
　（単体サーバーのみで、2台で冗長化など複雑？な構成は組まない）
・クライアントPCから、とりあえずドメイン参加できること

Step１．Active Directoryのインストール

（１）タスクバーの「サーバーマネージャー」をクリックします。

（２）サーバーマネージャー画面が開くので、「管理」を選択し「役割と機能の追加」クリックします。

（３）「次へ」をクリックします。

（４）ActiveDirectoryをインストールするサーバー（今回の場合は自サーバー）を選択し、「次へ」をクリックします。
※Windows Server 2012からは、サーバーマネージャーの機能を利用して複数のサーバーを楽に一括管理できるようになっています。

（５）サーバーの役割選択画面が表示されるので、「Active Directory ドメインサービス」にチェックをいれます。

（６）Active Directory ドメインサービスを利用するには画面に表示されている機能も必須となるので、「機能の追加」をクリックします。

（７）Active Directory ドメインサービスにチェックが入るので、「次へ」をクリックします。

（８）サーバの機能選択画面が表示されるので、「次へ」をクリックします。
※先ほど追加した機能にも自動的にチェックが入っています。

（９）「次へ」をクリックします。

（１０）インストール前の確認画面が表示されるので、他に追加する役割や機能がなければ、「インストール」をクリックします。

（１１）しばらくするとインストールが完了するので、問題なければ「閉じる」をクリックします。

Step２．ドメインコントローラに昇格する

インストールしただけの状態では、まだワークグループのままなので、ドメインコントローラに昇格する必要があります。

（１）サーバーマネージャーの画面で、「AD DS」をクリックします。

（２）「その他」を選択すると、「ドメインコントローラーに昇格する」のリンクがあるので、リンクをクリックします。

（３）今回は新規作成なので、「新しいフォレストを追加する」を選択します。
ルートドメイン名欄に任意のドメイン名を入力し、「次へ」をクリックします。
※今回は例として「hogehoge.domain.local」で設定します。

（４）今回は新規作成なので、フォレストとドメインの機能レベルは最新の「Windows Server 2012 R2」のままにします。
DNSサーバー項目は、詳細は後述しますがわざとチェックを外しています。
（通常はチェック入れたままにしておくことをオススメします。）
また、ディレクトリサービス復元モード（DSRM）と呼ばれるADデータをセーフモードで復旧させる際に使用するパスワードを設定します。
一通り問題なければ、「次へ」をクリックします。

（５）NetBIOS名が表示されるので、そのまま「次へ」をクリックします。

（６）データベースやログファイル場所を変更しないのであれば、そのまま「次へ」をクリックします。

（７）前提条件のチェック結果が表示されるます。
問題なければ「合格」となりインストールできるようになるので、そのまま「インストール」をクリックします。

（８）インストールが開始され、しばらくすると自動的に再起動されます。

（９）再起動後はしばらく画面が黒い状態のままですが、気長に待つとログオン画面が表示されます。
今回Active Directoryドメインサービスをインストールしたサーバーは、新規の1台目サーバーのため、既存のローカルユーザーがそのままドメインユーザーとなります。
そのため、OSインストール時に設定したパスワードで、ドメインAdministrator管理者でログインします。

サーバーログオン後「システムのプロパティ」を開くと、ワークグループからドメインに変更されたことが分かります。

また、「変更」をクリックすると、画面のような警告画面が表示され、このサーバーがドメインコントローラになったことが分かります。

さらに、「OK」をクリックすると、ドメインとワークグループの変更が直接できないことも分かります。

Step２.９９．クライアントPCからドメイン参加する（1回目）

このままでは、クライアントPCから「hogehoge.domain.local」を名前解決できないため、とりあえずhostsに登録します。
（とは言え、結果的には失敗します・・・）

（１）ドメイン参加したいクライアントPCの「C:¥Windows¥System32¥drivers¥etc¥hosts」をメモ帳などで開き、画面のようにサーバーのIPアドレスとドメインを保存します。

サーバーIPアドレス（今回の場合は192.168.51.51）ドメイン名（今回の場合はhogehoge.domain.local）

（２）コマンドプロンプトを開き、（１）で保存したドメイン名で疎通が取れるか確認します。
もし、疎通が取れない場合は、サーバー側のファイアーウォールでブロックされている場合がありますので、確認してみてください。

ping ドメイン名（今回の場合はhogehoge.domain.local）

（３）「コンピュータ名/ドメイン名の変更」（Windows7の場合）を開き、「ドメイン」を選択し、作成したドメイン名（今回の場合はhogehoge.domain.local）を入力し、「OK」をクリックします。

通常であれば、ここでドメイン管理者アカウントとパスワードの入力を求める画面が表示されますが、画面のようにエラーメッセージが表示されます。

エラー：”DNS名がありません。”
（エラーコード 0x0000232B RCODE_NAME_ERROR）
クエリは_ldap_tcp.dc._msdcs.hogehoge.doman.localのSRVレコードに対するものでした。

メッセージを見てみると、SRVレコードで名前解決できなかったことが分かります。
ざっくりとした話になりますが、そもそもDNSはドメイン名をIPアドレスに、IPアドレスをドメイン名に名前解決することは、あまり詳しくない方でもご存知かと思います。
さらに詳しく見てみると、ドメイン名とIPアドレスを名前解決する方法にもいくつか種類があり、「レコードタイプ」と呼ばれています。
基本的に使用されるドメイン名とIPアドレスの名前解決は、「Aレコード」と呼ばれており、メールアドレスのドメインの名前解決は、特殊で「MXレコード」と呼ばれています。
同様に、ActiveDirectoryドメインサービスも特殊で、Aレコードではなく「SRVレコード」を使用しています。
先ほど設定したhostsファイルは、Aレコードのみ対応しており、SRVレコードには対応していません。
そのため、ActiveDirectoryドメインサービスで名前解決できるようにするためには、SRVレコードに対応したDNSを指定する必要があります。