思考実験とD.I.Y.

D.I.Y and Gedankenexperiment

お家でActiveDirectory[AD]ドメイン(5):Windows10ProのADドメインへの参加

Windows10 ProfessionalをActiveDirectory(以下、ADに略)ドメインへ参加させます。

なお、Homeエディションでは、ADドメインに参加することはできません。

ググると、Homeエディションで、ADドメインに参加させる裏技みたいな情報が見つかることがありますが、使用許諾契約に違反することになるので、やめた方がよいです。

1.IP4アドレスの静的割り当て(Win10Pro)

Windows10 Professional(以下,Win10Proに略)パソコンをADドメインに参加させるためには、Win10Proに静的IP4アドレスが割り当てられ、FQDNが設定されていることが必要です。*1

ナビゲーション(Win10Pro):

設定>ネットワークとインターネット

イーサネット>アダプタのオプションを変更する

ネットワーク接続の一覧ウィンドウが開きますので、イーサネットを選択し、右クリックします。

続いてプロパティを左クリックします。

インターネットプロトコルバージョン4(TCP/IPv4)」を選択し、

「次のIPアドレスを使う」のラジオボタンをオンにして、「IPアドレス」、サブネットマスクデフォルトゲートウェイを設定します。

デフォルトゲートウェイのIPは、使っているルーターで確認します。

「次のDNSサーバのアドレスを使う」のラジオボタンをオンにして、「優先DNSサーバー」にQNAPを設定した際のQNAPのIPアドレスを指定します。

「代替DNSサーバー」については、空欄で問題ありません。*2

を押して、静的IP4アドレスの設定を完了させます。

2.FQDNの設定(Win10Pro)

続いて、Win10Proパソコンのドメインを設定します。

ナビゲーション(Win10Pro):

設定>システム>詳細情報

>システムの詳細設定*3>コンピュータ名

をクリックします。

コンピューター名を入力します。

この時、コンピューター名は7文字以下にします。(理由は後述します)

この時、コンピュータ名部分にFQDNを記載する情報を見かけたことがありますが、ここは「NetBIOS /DNSコンピューター名」を設定する部分なので、避けた方がよいです。*4

続いて、Win10Proパソコンのドメインを設定します。

をクリックすると、DNSサフィックスの設定ウィンドウが開きますので、「このコンピュータのプライマリDNSサフィックス」に「ActiveDirectoryドメイン名」を入力します。

NetBIOSコンピュータ名は、上記で設定していますので、グレーアウトしていると思います。

また、「ドメインのメンバーシップが・・・」の☑は外さないようにします。

を押して、FQDNを設定します。

最後に、システムのプロパティ画面でを押します。

最後に、「ワークグループ」にADドメイン名を入力するのが望ましいです。*5

この時、注意が必要なのは、ADドメインコントローラをセットアップした際のFQDN(ex:hogehoge.local)のうち、「hogehoge」を入力します。

最後に、をクリックして、FQDNの設定を完了させます。

をクリックすると、再起動が要求されるので、Win10Proパソコンを再起動します。

3.ADドメインコントローラへのコンピューターの追加(QNAP UI)

まず最初の1台を、ADドメインコントローラへのコンピューターを追加する必要があります。*6 *7

ナビゲーション(QNAP UI):

コントールパネル>権限設定>ドメインコントローラ

>コンピュータ

 

をクリック

 

コンピュータ名を入力して、をクリック。

Tips
  • ホスト名は、英数字7文字以下が望ましいです。
  • QNAPとWindowsマシンだけでイントラネットを構築する場合*8には、NetBIOS コンピューター名の上限である15文字まで大丈夫かもしれません*9
  • 理由は、QNAPがLinuxベースで、ドメインコントローラを実現しているのが、Linux上のsamba4.xであるためです。
  • sambaでは、ホスト名もUnix*10上のユーザー名と同様の扱いで内部処理されています。
  • sambaでは、Unix内部においてホスト名を「ホスト名」+「$」の特殊なユーザーとして扱うため、ユーザー名の長さ制限が8文字により、設定するホスト名の文字数は「$」を除いた7文字が上限になります。

ユーザーグループとして、「Domain Computers」にチェックが入って、グレーアウトしています。

それ以外に☑は入れないので、何もせずをクリック。

最後に作成したコンピュータについて確認ウィンドウがポップアップするので、ボタンを押して、コンピューターの登録を完了する。

 

4.ADドメインコントローラでのDNSレコード追加(QNAP UI)

続いて、ADドメインコントローラでのDNSレコードを追加します。

ナビゲーション(QNAP UI):

コントールパネル>権限設定>ドメインコントローラ

DNS

アカウントの入力とパスワードが求められます。

  • アカウントは、先に作成したDomain Adminsのユーザー名になります。
  • パスワードは、その際に設定したパスワードになります。

をクリック。

先に設定した「【ドメイン名】.local」をクリックして、グレー背景にして展開します。

アクションプルダウンメニューからレコードの追加を選択し、クリックします。

レコード名に上記で設定したホスト名を入力します。

タイプはそのままにします。

値には、登録するパソコンの静的IPアドレスを入力します。

入力が終わったら、をクリックして、DNSレコードを追加します。

5.ADドメインへの参加(Win10Pro)

最後に、Win10Proパソコンをドメインに参加させます。

ナビゲーション(Win10Pro):

設定>システム>詳細情報

>システムの詳細設定*11>コンピュータ名

をクリックします。

所属するグループにある、「ドメイン」のラジオボタンをオンにします。

ドメインにADドメイン名を入力します。

この時、注意が必要なのは、ADドメインコントローラをセットアップした際のFQDN(ex:hogehoge.local)のうち、「hogehoge」を入力します。*12

をクリックすると、ADドメインのDomain Adminsグループメンバーのユーザー名とパスワードが要求されます。

前回、登録したDomain Adminsグループメンバーのユーザー名とパスワードを入力して、をクリックします。

砂時計が表示されますので、少し待ちます。

ADドメインへ参加できると下記が表示されますので、をクリックします。

再起動が要求されるので、Win10Proパソコンを再起動します。

これで、Win10ProパソコンのADドメインへの参加は完了です。

 

次回は、ADドメインに参加したWin10ProパソコンにAD管理ツールのインストールと、AD管理ツールを用いて、ドメインユーザー、ADへのPC追加とDNSレコードの追加を整理したいと思います。

 

 

*1:この2つをせずに、うまくいくことがあるかもしれませんが、後々のトラブル未然防止や、トラブルの切り分けに役立ちます。

samba2.x時代からこの2つのおまじないが必須だったので、経験的にDHCPは使わない様にしています。

どうしてもDHCPを使わざるを得ない(静的IPが設定できない機器等)場合には、できるだけMacアドレスから、IPアドレスを静的に割り当てるようにしています。

*2:小生の場合、DNSサーバー機能を持つ古いルーターがあるので、何かの時のための名前解決のために指定しているだけです。

*3:詳細情報のウィンドウをスクロールしていくと、下の方にあります。

*4:参考情報:

https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/active-directory/naming-conventions-for-computer-domain-site-ou

*5:この段階では、デフォルトのWORKGROUPのままでかまわないのですが、samba2.x+Windows98時代に、この部分を修正しなかったことでトラブル解決に手間取った経験から設定するようにしています。

*6:samba3.xでのドメインコントローラでは、ドメインコントローラにWindowsPCを登録せずに、WindowsPCをNTドメインに参加させようとすると失敗した経験を基にしています。

*7:Windows2000Serverでは、Domain Admins権限のアカウントを持っていれば、WindowsPCから直接ADドメインへの参加とADドメインへのコンピュータの登録が出来ました。

*8:このQNAP以外にFreeBSDLinuxが存在しない場合

*9:そのような環境を構築したことがないので、推測です

*10:LinuxFreeBSD

*11:詳細情報のウィンドウをスクロールしていくと、下の方にあります。

*12:「hogehoge.local」と入力すると、ドメインが見つかりませんといったようなメッセージが出ます。