Server 2008で新しいフォレストをインストールする方法
概要
このガイドは、Windows Server 2008で新しいフォレスト(および最初のドメインコントローラー)を作成する方法を、画面遷移ごとに説明します。手順は主にGUI操作ですが、どの設定が何を意味するか、導入時の注意点やトラブルシューティングも補足します。
用語定義(1行):
- フォレスト: 複数のドメインを含む最上位のActive Directoryの境界です。
- ドメインコントローラー: ドメインの認証とディレクトリ情報を提供するサーバーです。
- DSRM: Directory Services Restore Mode。ディレクトリ修復用の特別な起動モードです。
前提条件
- Windows Server 2008がインストールされ、最新の更新が適用されていること。
- 管理者権限で操作すること。
- ネットワークのDNS名(ルートドメイン名)を事前に決めておくこと。
重要: 本手順は最初のフォレストおよび最初のドメインコントローラーを作成するためのものです。既存環境に追加する場合やサイト/複雑なレプリケーション設計が必要な場合は別手順を検討してください。
手順(画面ごと)
- Initial Configuration Tasks ウィンドウから開始するか、表示されない場合はスタートメニューの検索で “Oobe.exe” を実行して Server Manager を開きます。
Server Manager の左ペインで下にスクロールし、[Add roles](役割の追加)リンクをクリックします。
役割の一覧から「Active Directory Domain Services」にチェックを入れ、Next をクリックします。最初のフォレストの最初のサーバーはドメインコントローラーである必要があります。
- 表示される説明ページを確認し、Next をクリックします。ここではインストールされる機能と注意点が要約されています。
- 最終確認画面で Install をクリックしてインストール処理を開始します。
- インストールが進行します。完了メッセージが表示されたら、Domain Services Installation Wizard(dcpromo.exe)を実行するよう促されます。
スタートメニュー検索で
dcpromo.exeを実行します。ここからドメインコントローラーの昇格ウィザードが開始します。簡易インストール(推奨)を選び、Next をクリックします。最初のドメインコントローラーなので Advanced モードの理由は通常ありません。
- “Create a new domain in a new forest” に該当する選択肢を選び、Next をクリックします。最初のフォレストなので新しいドメインとフォレストを作成します。
- ルートドメイン名(例: example.local)を入力します。短く明確な名称を推奨します。
- フォレスト機能レベルを選択します。これが最も重要な設定の一つです。既存に同居する古いサーバー(Windows Server 2000/2003)がある場合はその最も古いレベルを選んでください。最新機能を使うなら Server 2008 を選びます。
ポイント: 古い機能レベルを選ぶと互換性は得られますが、新機能は使えません。将来の拡張計画を考慮してください。
- DNS Server をインストールするオプションを有効にします(通常はチェックします)。Active DirectoryとDNSは密接に連携するため、最初のドメインコントローラー上にDNSを配置するのが一般的です。
- DB、ログ、SYSVOL のデフォルトの格納場所が表示されます。特別な要件が無ければデフォルトのまま進めてください。
- Directory Services Restore Mode(DSRM)用の管理者パスワードを設定します。復旧時に必要なので安全に保管してください。
- 将来の同様のインストールを簡略化したい場合は、[Export settings] をクリックして設定をテキストファイルに保存できます。保存後、Next をクリックして実際の構成を開始します。
- インストーラーが処理を完了すると成功メッセージが表示されます。サーバーは自動的に再起動することがあります。
サーバーが再起動してログオンしたら、そのサーバーは新しいフォレストの最初のドメインコントローラーとして動作しています。
役割別チェックリスト
- システム管理者:
- DSRMパスワードを安全に保管する。
- フォレスト機能レベルの選択理由をドキュメント化する。
- ネットワーク管理者:
- DNSゾーンやレコードの確認(SRVレコードが存在するか)。
- ファイアウォールで必要なポート(LDAP/GC/DFS/RPCなど)が開いているか確認する。
- セキュリティ担当:
- 管理者アカウントの初期設定と監査ログ設定を確認する。
導入後の確認事項
- Active Directory ユーザーとコンピュータにアクセスできるか。
- DNS が正しく解決するか(nslookupでルートドメイン名をチェック)。
- イベントビューアにエラーがないか。
- レプリケーション(今後追加する場合)に問題がないか。
よくある失敗と対処
- フォレスト機能レベル誤選択: 古いサーバーが混在する環境で誤って高いレベルを選ぶと互換性問題が発生します。解決は通常フォレスト再構築または古いサーバーの廃止です。
- DNSの誤設定: SRVレコードが作成されないとクライアントがログオンできません。
ipconfig /registerdnsや DNS サービスの再起動で対処します。 - DSRMパスワード紛失: 復旧に時間がかかります。事前に安全な場所に保管してください。
代替アプローチ
- GUIではなく、スクリプトや無人応答ファイルを使用して複数台を一括構成する方法があります。Export settings を使うと再利用可能な設定が得られます。
- 既存のDNSインフラを利用する場合、新しいサーバーのDNSをインストールせずに外部DNSに委任する設計も可能です。
マインドセットと意思決定指針
- 互換性 vs 新機能: 既存サーバーがあるなら互換性を優先。新規であれば高機能レベルを選ぶ。
- DNSはActive Directoryの基盤。まずDNSを正しく動かすことが成功の鍵です。
簡易フローチャート
flowchart TD
A[Server Manager を開く] --> B{Add roles}
B --> C[Active Directory Domain Services を選択]
C --> D[役割をインストール]
D --> E[dcpromo.exe を実行]
E --> F{最初のフォレストか?}
F -->|Yes| G[新しいフォレストとドメインを作成]
F -->|No| H[既存ドメインへ参加または追加DC]
G --> I[機能レベル・DNS・DSRMを設定]
I --> J[インストール完了・再起動]テストケース/受け入れ基準
- サーバー再起動後、Active Directory ユーザーとコンピュータが起動していること。
- DNS の SRV レコードが正しく登録されていること。
- ログインが可能で、ドメインコントローラーとして認識されること。
トラブルシューティングの簡単な手順
- イベントビューアの「Directory Service」「DNS Server」「System」を確認。
dcdiagとnltest /dsgetdc:yourdomainを実行して問題を特定。- DNS参照で問題があれば
ipconfig /flushdnsとipconfig /registerdnsを試す。
ファクトボックス(要点)
- 最初のドメインコントローラーは必ずドメインのFSMOロールを持ちます。
- DSRMパスワードはディレクトリ修復に必須です。
- フォレスト機能レベルは後からは下げられません。
セキュリティと運用上の注意
- 管理者アカウントは最小権限で運用し、監査を有効にしてください。
- DSRMパスワードやエクスポートした設定ファイルは安全な場所に保管してください。
ロール別導入プレイブック(要約)
- 作業前: サーバーのバックアップを取得。IPとDNS設定を固定化。
- インストール: Server Manager → Add roles → ADDS をインストール。
- 昇格: dcpromo.exe を実行し、各種設定を選択。
- 検証: レプリケーション、DNS、イベントログを確認。
まとめ
Server 2008 に新しいフォレストを作成する作業は、手順に沿って進めれば比較的短時間で完了します。重要なのはフォレスト機能レベルとDNS、そしてDSRMパスワードの扱いです。事前に設計方針を決め、導入後に確認項目をチェックすれば安定した運用が始められます。
重要: フォレスト機能レベルは後戻りできない決定です。将来の互換性と機能要件を必ず検討してください。
要約: 新しいフォレストを作成する際は、Active Directory Domain Servicesの役割を追加してから dcpromo.exe で昇格します。DNSの有効化とDSRMパスワードの管理を忘れないでください。
