今回はServer CoreにActive Directoryをインストールしてみます。
[参考文献]
文中に随時記載
■Active Directoryの役割のインストール/ドメインコントローラーへの昇格
Active Directoryの役割のインストールにはocsetupではなくdcpromoを使用します
またServer CoreではdcpromoのGUIは使用できないので無人セットアップでインストールを行います。
1.まずメモ帳を開いて無人セットアップ用の応答ファイルを作成します。
応答ファイルの書き方については以下を参照。
Microsoft TechNet:Installing a New Windows Server 2008 Forest
InstallDNS=yes
NewDomain=Forest
NewDomainDNSName=win2k8.com
DomainNetBiosName=win2k8
ReplicaOrNewDomain=domain
ForestLevel=3
DomainLevel=3
DatabasePath=%systemroot%\ntds
LogPath=%systemroot%\ntds
SYSVOLPath=%systemroot%\SYSVOL
SafeModeAdminPassword=P@ssw0rd
RebootOnCompletion=yes
このファイルをC:\unattend.txtという名称で保存します。
2.dcpromoを実行します
なお、Windows Server 2003の時は応答ファイルを指定するオプションは/answerでしたが
Windows Server 2008では/unattendになっています。
Active Directory ドメイン サービス バイナリがインストールされているかどうかを確認しています...
Active Directory ドメイン サービス バイナリをインストールしています。おまちください...
Active Directory ドメイン サービスのセットアップ
環境およびパラメータを検証しています...
権限のある親ゾーンが見つからないか、あっても Windows DNS サーバーが実行されていないため、この DNS サーバーの委任を作成できません。既存の DNS インフラストラクチャと統合する場合は、ドメイン win2k8.com 外からの名前解決が確実に行われるように、親ゾーンでこの DNS サーバーへの委任を手動で作成する必要があります。それ以外の場合は、何もする必要はありません。
----------------------------------------
次のアクションが実行されます:
新しいフォレストの最初の Active Directory ドメイン コントローラとしてこのサーバーを構成します。
新しいドメイン名は win2k8.com です。これは新しいフォレスト名にもなります。
ドメインの NetBIOS 名は win2k8 です。
フォレストの機能レベル: Windows Server 2008
ドメインの機能レベル: Windows Server 2008
サイト: Default-First-Site-Name
追加オプション:
読み取り専用ドメイン コントローラ: いいえ
グローバル カタログ: はい
DNS サーバー: はい
DNS 委任の作成: いいえ
データベースの場所: C:\Windows\ntds
ログ ファイルの場所: C:\Windows\ntds
SYSVOL フォルダの場所: C:\Windows\SYSVOL
DNS サーバー サービスはこのコンピュータにインストールされます。
DNS サーバー サービスはこのコンピュータに構成されます。
このコンピュータは、この DNS サーバーを優先 DNS サーバーとして使用するように構成されます。
新しいドメイン Administrator アカウントのパスワードはこのコンピュータのローカル Administrator アカウントのパスワードと同じものに設定されます。
----------------------------------------
開始しています...
DNS インストールの実行中...
次の操作を行うには Ctrl+C キーを押してください: キャンセル
DNS のインストール終了を待っています
DNS サーバー サービスが認識されるのを待っています... 0
DNS サーバー サービスの開始を待っています... 0
グループ ポリシー管理コンソールのインストールが必要かどうか確認しています...
ディレクトリ サービスをインストールしています
既存のフォレストを検査しています...
Active Directory ドメイン サービスをホストするためにローカル コンピュータを構成しています
ディレクトリ パーティションを作成しています: CN=Schema,CN=Configuration,DC=win2k8,DC=com; 1585 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 1419 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 1384 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 1324 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 1244 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 1187 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 1135 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 1065 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 1011 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 886 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 830 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 738 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 697 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 560 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 528 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 450 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 377 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 348 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 243 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 186 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 118 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 63 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: CN=Configuration,DC=win2k8,DC=com; 0 個のオブジェクトが残っています
ディレクトリ パーティションを作成しています: DC=win2k8,DC=com; 0 個のオブジェクトが残っています
ローカル Active Directory ドメイン コントローラで Active Directory ドメイン サービス オブジェクトを作成しています
新しいドメイン ユーザー、グループ、およびコンピュータ オブジェクトを作成しています
サービス kdc を構成しています
LSA ポリシー情報を設定しています
コンピュータの DNS コンピュータ名のルートを win2k8.com に設定しています
ドメイン コントローラ、ディレクトリ サービス ファイルおよびレジストリ キーにセキュリティを設定しています
S-1-5-32-554 を保護しています
machine\software\microsoft\windows を保護しています
machine\system\currentcontrolset\control を保護しています
machine\system\currentcontrolset\services を保護しています
machine\system\currentcontrolset\services\wintrust を保護しています
c:\windows\system32\logfiles を保護しています
SamSs を保護しています
dmserver を保護しています
Kerberos Policy を保護しています
ドメイン コントローラの操作が完了しました
このコンピュータに DNS サーバー サービスを構成しています...
ドメイン win2k8.com のこのコンピュータに Active Directory ドメイン サービスがインストールされました。
この Active Directory ドメイン コントローラは、サイト "Default-First-Site-Name" に割り当てられています。サイトは Active Directory サイトとサービス管理ツールで管理できます。
Windows Server 2008 domain controllers have a new more secure default for the security setting named "Allow cryptography algorithms compatible with Windows NT 4.0." This setting prevents Microsoft Windows and non-Microsoft SMB "clients" from using weaker NT 4.0 style cryptography algorithms when establishing security channel sessions against Windows Server 2008 domain controllers. As a result of this new default, operations or applications that require a security channel serviced by Windows Server 2008 domain controllers might fail.
Platforms impacted by this change include Windows NT 4.0, as well as non-Microsoft SMB "clients" and network-attached storage (NAS) devices that do not support stronger cryptography algorithms. Some operations on clients running versions of Windows earlier than Vista with Service Pack 1 are also impacted, including domain join operations performed by the Active Directory Migration Tool or Windows Deployment Services.
For more information about this setting, see Knowledge Base article 942564 (http://go.microsoft.com/fwlink/?LinkId=104751 ).
これでActive Directoryのインストールと最初のドメインコントローラーのセットアップは完了です。
■Active Directoryの操作
Server Coreの場合はActive Directoryの操作もコマンドで行います。
Active Directoryを操作するコマンドについては以下が詳しいです。
Microsoft TechNet:コマンドラインからActive Directoryを管理する
いくつか試してみます。
・コンピュータの追加
ドメインにコンピュータを追加するにはdsadd computer
を使用します。
まずドメインコントローラー側でdsadd computerを実行してコンピュータを登録します。
C:\Users\Administrator>dsadd computer cn=WIN-9WU1AFGCAID,cn=Computers,dc=Win2k8,dc=com dsadd 成功:cn=WIN-9WU1AFGCAID,cn=Computers,dc=Win2k8,dc=com
また追加されるコンピュータの側ではnetdomを使用してActive Directoryに参加します。
C:\Users\Administrator>netdom join WIN-9WU1AFGCAID /domain:Win2k8.com /userd:Administrator /passwordd:P@ssw0rd 操作を完了するには、コンピュータを再起動する必要があります。 コマンドは正しく完了しました。
・グループの追加
グループの追加はdsadd group
で行います。
C:\Users\Administrator>dsadd group "cn=IT Manager,cn=Users,dc=Win2k8,dc=com" -secgrp yes -scope l dsadd 成功:cn=IT Manager,cn=Users,dc=Win2k8,dc=com
この例ではセキュリティグループを追加しているのでsecgrpオプションはYesにしています。
Noにすると配布グループになります。
またscopeオプションは1なのでローカルグループです。
gだとグローバルグループ、uだとユニバーサルグループになります。
・ユーザーの追加
ユーザーの追加はdsadd user で行います。
先ほど追加したIT Managerグループにユーザーを追加します。
C:\Users\Administrator>dsadd user "cn=Taro Yamada,cn=Users,dc=Win2k8,dc=com" -samid taroyamada -upn taroyamada@win2k8.com -fn Taro -ln Yamada -display "Taro Yamada" -pwd * -memberof "cn=IT Manager,cn=Users,dc=Win2k8,dc=com" -office Tokyo -email taroyamada@Win2k8.com -mustchpwd yes -canchpwd yes -reversiblepwd no -pwdneverexpires no -acctexpires 90 -disabled no ユーザーパスワードの入力: ユーザーパスワードの確認: dsadd 成功:cn=Taro Yamada,cn=Users,dc=Win2k8,dc=com
・OUの作成
OUはdsadd ou
で作成します。
営業部という設定でSalesというOUを作成します。
C:\Users\Administrator>dsadd ou ou=Sales,dc=Win2k8,dc=com -desc 営業部 dsadd 成功:ou=Sales,dc=Win2k8,dc=com
また先ほど追加したコンピュータ、セキュリティグループ、ユーザーをSales OUへ移動します。
オブジェクトの移動はdsmove で行います。
C:\Users\Administrator>dsmove cn=WIN-9WU1AFGCAID,cn=Computers,dc=Win2k8,dc=com -newparent ou=Sales,dc=Win2k8,dc=com dsmove 成功:cn=WIN-9WU1AFGCAID,cn=Computers,dc=Win2k8,dc=com C:\Users\Administrator>dsmove "cn=IT Manager,cn=users,dc=Win2k8,dc=com" -newparent ou=Sales,dc=Win2k8,dc=com dsmove 成功:cn=IT Manager,cn=Users,dc=Win2k8,dc=com C:\Users\Administrator>dsmove "cn=Taro Yamada,cn=users,dc=Win2k8,dc=com" -newparent ou=Sales,dc=Win2k8,dc=com dsmove 成功:cn=Taro Yamada,cn=Users,dc=Win2k8,dc=com
オブジェクトの追加・変更・削除ぐらいであれば比較的簡単にできそうですね。
なお、操作マスタの役割を移動したり、アプリケーションディレクトリパーティションを作成する場合には
ntdsutil を使います。
しかしグループポリシーを編集してセキュリティやアプリケーションの配布の設定を行う段階になると
コマンドで実施するのはかなり難しい(というよりできるのか?)気がしますが・・・・
[関連記事]
[Win2008RC1]Server Core:Active Directoryのインストール2