サーバーをドメインコントローラーに昇格させる方法：手順ガイド

ドメインコントローラー（DC）は、Active Directoryドメインサービス（AD DS）をホストするADサーバーです。DCは、ネットワーク上のユーザーによるアクセス要求を認証し、ADオブジェクトのセキュリティを管理する役割を担っています。また、ドメイン内のさまざまなリソースへのアクセスを許可する機能も持っています。

DCは、ADインフラに不可欠な要素であり、ドメインリソースへの鍵を所持する門番のような存在です。また、ドメイン全体のセキュリティ管理も担っています。

メンバーサーバーとドメインコントローラー

DCはサーバーの一種ですが、AD環境内のメンバーサーバーと混同して捉えるべきではありません。メンバーサーバーは、ファイルサーバー、アプリケーションサーバー、Webサーバー、プリントサーバーとして機能するドメイン内のコンピューターを指します。一方、DCは、認証と認可を担っている重要なコンピューターです。そのため、DCへのログオン権限の所持は、ドメイン管理者に限定すべきとされています。

サーバーをDCに昇格させるべき理由

通常のサーバーには、認証と認可を実行する機能がありません。認証と認可の実行を可能にするには、管理者がサーバーをDCに昇格させる必要があります。複数のDCが必要かどうかは組織の規模やITインフラの複雑さによって判断されますが、一般的にはAD環境に複数のDCを用意することが、ベストプラクティスとされています。その主な理由は、次のとおりです。

1. 1. ロードバランシング： 1台のDCに多くの負荷がかかってしまう場合があります。他のDCを追加することで、ネットワークトラフィックの負荷を分散できます。
2. 2. ダウンタイムの削減： 複数のDCを用意することで、ダウンタイムを削減できます。いずれかのDCが到達不能またはオフラインになっても、認証サービスは次に使用可能なDCに簡単に接続できるからです。
3. 3. 信頼性： DCを複数導入することで、信頼性と可用性が向上し、ダウンタイムを削減できます。

ここまで、DCの基本やAD DSにおける役割について説明してきました。

この記事では、サーバーをDCに昇格させる方法をステップごとに詳しく解説します。昇格により、サーバーの役割がDCに変更され、認証と認可の機能が利用可能になります。

ステップ1：AD DSをインストールする

まだインストールされていない場合は、最初にAD DSをインストールします。

1. 1. 管理者の認証情報（ユーザー名とパスワード）を使用して、ADサーバーにログインします。
2. 2. ［サーバー マネージャー］コンソールを開きます。［ダッシュボード］>［役割と機能の追加］の順にクリックして、［役割と機能の追加ウィザード］を開始します。
3. 3. ［開始する前に］ページで ［次へ］をクリックします。
4. 4. ［インストールの種類の選択］ページで、［役割ベースまたは機能ベースのインストール］ を選択するか、仮想マシン環境にデプロイする場合は、［リモートデスクトップサービスのインストール］ を選択します。［次へ］ をクリックします。
5. 5. ［サーバー プールからサーバーを選択］ をクリックし、AD DSをインストールするサーバーの名前を選択します。
   ［次へ］をクリックします。
6. 6. ［サーバーの役割の選択］ ページでは、サーバーにインストールする役割（［Active Directoryドメイン サービス］、［Active Directory Federation Services］、［Active Directory Rights Managementサービス］など）を選択できます。今回は、［Active Directoryドメイン サービス］を選択します。
7. 7. AD DSを選択した後、［役割と機能の追加ウィザード］ でAD DSに関する機能を追加し、［次へ］をクリックします。AD DSの基本的な役割と機能がデフォルトで選択されていますが、必要に応じて追加できます。
8. 8. ［インストール オプションの確認］ ページでこれまでに選択した機能や役割を確認し、［インストール］ をクリックします。

ステップ2：サーバーをドメインコントローラーに昇格させる

1. 1. AD DSのインストールが完了したら、通知フラグをクリックします。次に、［このサーバーをドメイン コントローラーに昇格する］ を選択します。
2. 2. ［Active Directoryドメイン サービスの構成ウィザード］ が起動します。［配置構成］ ページで、最初のオプション ［既存のドメインにドメイン コントローラーを追加する］ を選択します。次に、新しいDCを追加する対象のドメイン名（abc.testcorp.comなど）を指定し、［次へ］ をクリックします。
3. 3. 左側のペインで ［ドメイン コントローラー オプション］ をクリックし、以下の手順を実行します。
   • 希望するドメインの機能レベルとフォレストの機能レベルを選択します。
   • ドメインコントローラーの機能を指定します。デフォルトでは ［ドメイン ネーム システム (DNS) サーバー］と［グローバル カタログ (GC)］が選択されています。
   • DCの ［サイト名］ を選択します。
   • ディレクトリサービス復元モード（DSRM）のパスワード を入力します。DSRMパスワードは、サーバーのバックアップを復元する場合や、DCで障害が発生した場合に必要となります。
4. 4. ［DNSオプション］ ページに「この DNS サーバーの委任を作成できません」という警告が表示されますが、DNSサーバーを既に構成済みであるため、この警告は無視できます。 ［次へ］ をクリックします。
5. 5. ［追加オプション］ ページで、AD DSのデータをレプリケートするDCを指定するか、［任意のドメイン コントローラー］ オプションを選択します。［次へ］ をクリックします。
6. 6. 次に表示される ［パス］ ページで、 AD DSデータベース、ログファイル、SYSVOLフォルダ を指定するか、デフォルトの場所・フォルダをそのまま使用します。［次へ］ をクリックします。
7. 7. 次の［オプションの確認］ ページでは、これまでの選択内容を確認できます。また、［スクリプトの表示］ をクリックし、PowerShellスクリプトを確認することも可能です。スクリプトを確認した上で、［次へ］をクリックします。
8. 8. ［前提条件のチェック］ ページで、Windowsが前提条件の確認を行います。この処理が完了し、問題がないことを確認した後、［インストール］をクリックします。

9. 9. レプリケーション後に、システムが自動的に再起動し、AD DSのインストールが完了します。その後、ログイン画面が表示されます。

   以上が、サーバーをDCに昇格させる方法です。前述のとおり、DCは、あらゆる組織のADインフラにおける最も重要な要素の1つです。

   IT管理者は、異常なアクティビティの検知、特権悪用の特定、脅威発生時の迅速なフォレンジック分析を行えるように、DCで発生したイベントを継続的に監視する必要があります。