Zenn
Open9

WinServer

Active Directory
Windows Server
sakusaku

★WindowsServer2025のインストールとADセットアップ

1. ISOのダウンロードとRufasでのインストール
2. IPの固定とサーバーホスト名の変更
3. 「サーバーマネージャー」から「役割と機能の追加」
4. インストールタイプの選択で「役割ベースまたは機能ベースのインストール」を選択
5. ローカルサーバーを選択
6. 「Active Directory ドメインサービス」と「DNSサービス」を選択
7. インストール開始
8. 大体40分ぐらい待つ

★Active Directory の設定

1. 「サーバーマネージャーの右上の通知欄→「このサーバーをドメインコントローラーに昇格します」をクリック
2. 「新しいフォレスト」を選択し、ドメイン名を指定(今回はsaku.com)
3. NetBIOS名の指定が必要なので、入力(今回はSAKU、大文字のみ)
4. オプションで「DNSサーバー」にチェックが入っていることを選択
5. Windows Server2025 の機能レベルを選択
6. インストールを実施

★DNSサーバーの設定

1. サーバーマネージャーのDNSを開き、「前方参照ゾーン」で新しいゾーンが作成されているかを確認(後方確認ゾーンは作成されない)
2. コマンドプロンプトからnslookup saku.comで名前解決が行われるか確認

★クライアント端末からドメイン参加

1. ネットワーク設定からDNSサーバーをADサーバーのIPに設定(今回は172.23.1.9)
2. システムの詳細設定から「コンピューター名」のタブへ移動し、変更からドメイン名を入力(saku.com)
3. OKもしくは適用を押し、サーバー側のDomain Adminsアカウントを入力
4. 成功すればOK

★アカウント作成→サインイン

1. ユーザー一覧から右クリックで新規→ユーザーで作成
2. ドメイン参加したクライアント端末からサインインし、入れればOK
sakusaku

★PC上のメモリ型番確認(Windows11移行)

wmicが使えなくなったので、

Get-WmiObject -Class Win32_PhysicalMemory
sakusaku

★ActiveDirectory フォルダリダイレクトの設定手順

<前提>
今回は共有ディレクトリをサーバーのローカルに作成。HomeとProfileの2つのディレクトリを作成してユーザーデータをそれぞれ保管する。ディレクトリはサインイン時に自動作成させる。

1. リダイレクト先のディレクトリを準備、今回はC:\UserProfile、C:\UserHomeを作成
2. それぞれのディレクトリを共有し、パスを保管しておく
3. 共有フォルダの権限を「Administrators、Authenticated Users」にし、フルコントロールで設定
4. ディレクトリの権限を「Administrators、Authenticated Users」をフルコントロール、「Users」を読み取りと実行で設定
5. ユーザーとグループでOUを作成し、その中に新規ユーザーを作成しておく(今回はOUがAllUsers、ユーザーをtest01)
6. GPOの設定画面を開き、作成したOUに紐づける形で新規ポリシーを作成(セキュリティフィルター等は変更なし)
7. 編集から、ユーザーの構成>ポリシー>Windowsの設定>フォルダーリダイレクトを選択
8. デスクトップなどリダイレクトしたいフォルダを選択し、「プロパティ」を表示
9. 設定から「基本ー全員のフォルダを同じ場所にリダイレクトする」を選択し、対象のフォルダの場所を「ルートパスの下に各ユーザーのフォルダーを作成する」を選択
10. その下のルートパスに、先ほどコピーした共有フォルダのパスを貼り付ける(参照から進めるとローカルになってうまくいかない)
11. OKを押して、グループポリシーエディタを閉じる(強制ONにしてもOK)

★Homeディレクトリの設定

1. ユーザーのプロパティ>プロファイルから、ローカルからドライブ名を指定
2. パスは共有フォルダのパスにユーザー名(別でもいいけど)を追加して記入(今回の場合だと\\共有名\UserHome\test01になる)
3. プロファイルパスも入れれば、移動プロファイルの設定も可能

★後はPCから該当ユーザーでサインインし、正常に動作するかを確認。

1. サインインし、適当なファイルをデスクトップとかに置く
2. 自動的にデータはサーバー側に上がるので、フォルダの所有者変更(Administrators)をしてサーバー側から同期されているか確認
3. フォルダの権限変更でユーザーから見えなくなるので、権限でAuthenticated Users)を入力すれば戻ってくる

https://shonanfujisawa.net/?p=1268

sakusaku

構築後のホスト名変更手順

→普通にコンピューター名を変更すると、DNS解決時などにエラー発生の可能性があるため、PowerShellから変更する。
※新しいコンピューター名には、ドメイン名も後ろに追加してFQDNで入力

# コンピューター名を追加する
netdom computername 現在のコンピューター名 /Add:新しいコンピューター名
# プライマリ名として変更
netdom computername 現在のコンピューター名 /Add:新しいコンピューター名
# 再起動して、古いコンピューター名を消去
netdom computername 新しいコンピューター名 /Remove:古いコンピューター名
# PTRレコードの修正
DNS逆引きレコード変更
sakusaku

WindowsServer セカンダリサーバー構築手順

WindowsServerのセカンダリを設定し、ADやDNS、DHCPを冗長化する。

  1. IPを固定し、DNSサーバーをプライマリーサーバーに向けて設定する

  2. ADとDNSの機能を追加する

  3. 通知内の「このサーバーをドメインコントローラーに昇格する」をクリック

  4. 「既存のドメインにドメインコントローラーを追加する」を選択し、ドメインを入力、資格情報を追加する

  5. ドメインコントローラーの機能等のチェックボックスはそのまま、DSRMのパスワードを入力

  6. DNSオプション、追加オプション、パスはそのまま次へ

  7. 前提条件のチェックが通過していればそのままインストールを開始

  8. 再起動がかかったあと、Powershellで以下のコマンドを実行

     dsquery server -forest → プライマリ、セカンダリの2つが入っていればOK
 repadmin /showrepl → すべて成功していればOK
 netdom /query fsmo → すべてプライマリのサーバーになっていればOK

DNSセカンダリ設定

  1. プライマリサーバー上で、DNS管理画面からレプリカを作成したいゾーンを右クリックし、プロパティを開く
  2. 「ゾーンの転送」タブに移動し、「ネームサーバータブの一覧にあるサーバーのみ」を選択
  3. 「ネームサーバー」タブに移動し、追加をクリック
  4. セカンダリサーバーのIPアドレスとホスト名をFQDNで入力しOK
  5. 前方参照ゾーン内にNSレコードが追加されていることを確認
  6. セカンダリサーバー上で、DNS管理画面からレプリカを作成したいゾーンを選択し、右クリック→「新しいゾーン」をクリック
  7. 次へで進み、「セカンダリゾーン」にチェックを入れて進む
  8. ゾーン名(任意だがプライマリと同じもので)を入力して次へ
  9. プライマリサーバーのIPを入れ、次へ
  10. ゾーン転送が完了されるため、作成したいゾーン内にNSレコードがそれぞれあることを確認
sakusaku

DHCPサーバーの設定

DHCPサーバーの冗長化として都合が良いため、WindowsServer上でDHCPサーバーを置く。

  1. 「役割と機能の追加」から、「DHCPサーバー」を選択
  2. インストールし、通知からDHCPサーバーの設定をクリック
  3. 資格情報が必要になるので、Administratorでコミット
  4. 完了になればOK
  5. スコープを作成するため、ツールからDHCP管理ページを開く
  6. IPv4を右クリックし、「新しいスコープ」をクリック
  7. スコープ名とIPリース範囲を入力し、ゲートウェイやDNSサーバーも入力
  8. WINSサーバーはとりあえず使用しないのでスルー
  9. 2台めにスレーブするため、そちらにもDHCPサーバーをインストール
  10. DHCPの管理画面から「操作」→「サーバーの追加」から、プライマリサーバーを選択して表示させる
  11. プライマリサーバーのIPv4を右クリックし、「フェイルオーバーの構成」をクリック
  12. レプリケートするサーバーを選択し、今回は負荷分散(事情でメイン20%セカンダリ80%)とし、共有のパスワードを設定
  13. あとは進めるとレプリケートを開始する
sakusaku

複数台WindowsServerがある場合の管理

サーバーマネージャーで一括して状態を確認できた方が良いので、
「管理」→「サーバーの追加」をクリックし、検索して必要なサーバーを追加しておくと一覧で確認できるので便利。
それぞれリモートする必要が少しなくなる。

sakusaku

WindowsServerの時刻同期(NTPクライアント)設定

# powershellで実行
    w32tm /query /peers
    →現在の同期先を表示
# 参照先のNTPサーバーを指定
    w32tm /config /update /manualpeerlist:172.23.1.2 /syncfromflags:manual
# 再度同期先を確認し、反映されていればOK
sakusaku

WindowsServer NICチーミング設定

  1. サーバーマネージャから、ローカルを選択
  2. NICチーミングの無効をクリック
  3. 名称を入力し、グループにするNICを選択(今回は本命ー予備で作成)
  4. 作成後、IPアドレスの設定(セカンダリにするときのDNSはプライマリサーバーを向けること)