Active Directory ドメイン サービス (AD DS) のインストール時に、以下の展開構成から 1 つ選択します。

  • 新しいドメイン コントローラーをドメインに追加する

  • 新しい子ドメインをフォレストに追加するか、またはオプションとして、新しいドメイン ツリーを追加する

    新しいドメインツリーをインストールするオプションは、Active Directory ドメイン サービス インストール ウィザードの [Active Directory ドメイン サービス インストール ウィザードの開始] ページにある [詳細モード インストールを使用する] チェック ボックスをオンにした場合にのみ表示されます。

  • 新しいフォレストを作成する

次に、これらの展開構成についてそれぞれ詳しく説明します。

新しいドメイン コントローラーをドメインに追加する

既にドメイン コントローラーが 1 つドメインに存在する場合は、さらにドメイン コントローラーをドメインに追加することで、ネットワーク サービスの可用性と信頼性を向上させることができます。ドメイン コントローラーの追加は、フォールト トレランスの提供や、既存のドメイン コントローラーの負荷分散に役立ち、サイトへのインフラストラクチャ サポートの向上も促進します。

ドメインに複数のドメイン コントローラーがあると、ドメイン コントローラーが故障したり、ドメイン コントローラーを切断する必要が生じたときも、ドメインの機能を継続できます。また、複数のドメイン コントローラーが存在することで、クライアントがネットワークにログオンするときにドメイン コントローラーに接続しやすくなるため、パフォーマンスの向上にもつながります。

既存のドメインを準備する

Windows Server 2008 R2 を実行しているドメイン コントローラーを既存の Active Directory ドメインに追加するときは、その前に、Adprep.exe を実行して、フォレストとドメインを準備しておく必要があります。Adprep は、必ず Windows Server 2008 R2 のインストール メディアに付属しているバージョンを実行してください。このバージョンの Adprep は、Windows Server 2008 R2 を実行しているドメイン コントローラーで必要となるスキーマ オブジェクトと属性を追加し、新規および既存のオブジェクトについてそれらのアクセス許可を変更します。

各環境での必要に応じて、次のパラメーターで adprep を実行します。

  • Windows Server 2008 R2 を実行しているドメイン コントローラーを追加する前に、スキーマ操作マスターの役割 (スキーマ マスター) が割り当てられているフォレスト内のドメイン コントローラーで、adprep /forestprep を 1 回実行します。このコマンドを実行するには、Enterprise Admins グループ、Schema Admins グループ、およびスキーマ マスターが含まれているドメインの Domain Admins グループのメンバーである必要があります。

  • また、Windows Server 2008 R2 を実行しているドメイン コントローラーの追加を予定している各ドメインにあり、インフラストラクチャ操作マスターの役割 (インフラストラクチャ マスター) が割り当てられているドメイン コントローラーで、adprep /domainprep /gpprep を 1 回実行します。このコマンドを実行するには、Domain Admins グループのメンバーである必要があります。

  • フォレスト内のいずれかのドメインで読み取り専用ドメイン コントローラー (RODC) の展開を予定している場合は、フォレストで adprep /rodcprep を 1 回実行する必要もあります。このコマンドはフォレスト内の任意のコンピューターで実行できます。このコマンドを実行するには、Enterprise Admins グループのメンバーである必要があります。詳細については、読み取り専用ドメイン コントローラー用にフォレストを準備する手順に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=93244) を参照してください。

メディアからのインストール

新しいドメイン コントローラーを既存のドメインにインストールするときは、メディアからのインストール (IFM) を選択できます。IFM では、ドメイン データベースがネットワーク経由ではなくメディアからコピーされます。このオプションは、[Active Directory ドメイン サービス インストール ウィザードの開始] ページで [詳細モード インストールを使用する] チェック ボックスをオンにした場合にのみ使用できます。インストール メディアの作成には、ntdsutil ifm サブコマンドの使用をお勧めします。IFM の使用の詳細については、「メディアからインストールする」を参照してください。

新しいドメインをフォレストに追加する

既定では、新しいフォレストを作成するとそこにドメインが 1 つ含まれます。このドメインのことをフォレスト ルート ドメインと呼びます。この単一のドメインは、Active Directory のレプリケーションに使用できるネットワーク帯域幅の量が少ない場合でも、数千のユーザーに対応することが可能です。したがって、ほとんどの小規模および中規模の組織では、通常は単一のドメインで十分です。フォレストにさらにドメインを追加すると、フォレストの管理要件が著しく増えます。

しかし、比較的大規模の組織では、ドメイン データが必要な場所にのみレプリケートされるように、子ドメインをフォレストに追加する場合があります。子ドメインは、連続する名前空間を自身の親ドメインと共有します。たとえば、contoso.com というドメインの子ドメインとして sales.contoso.com があるとします。子ドメインと自身の親ドメインとの間には、双方向で推移的な信頼が自動的に作成されます。

連続する名前空間を自身の親ドメインと共有しない新しいドメインのことを、新しいドメイン ツリーと呼びます。新しいドメイン ツリーの作成の詳細については、後述の「新しいドメイン ツリーを作成する」を参照してください。

ドメインをフォレストに追加するときは、AD DS のパーティション分割を行います。そのため、データを必要な場所にのみレプリケートできます。これにより、使用できる帯域幅が限られているネットワーク上で、単一の Active Directory フォレストの全体的な規模を調整して、数十万、あるいは数百万ものユーザーに対応することが可能です。

新しいドメインを作成するための要件

新しい子ドメインを作成するには、親ドメインの Domain Admins グループのメンバーであるか、または Enterprise Admins グループのメンバーである必要があります。新しいドメイン ツリーを作成するには、Enterprise Admins グループのメンバーである必要があります。

Active Directory ドメイン サービス インストール ウィザードでは、最大 64 文字まで、または最大 155 バイトまでの Active Directory ドメイン名を使用できます。通常は 155 バイトの上限よりも先に 64 文字の上限に達しますが、3 バイトを使用する Unicode 文字が名前に含まれている場合は逆になる可能性もあります。これらの上限はコンピューター名には適用されません。

インストール中、ドメイン ネーム システム (DNS) ゾーンの委任が Dcpromo.exe によって作成されます。DNS ゾーンの委任の作成に失敗した場合、または作成しないことを選択した場合 (推奨されません) は、ゾーンの委任を手動で作成する必要があります。ゾーンの委任の作成に関する詳細については、「DNS 委任を作成または更新する」を参照してください。

ドメインをフォレストに追加する前に、追加する Active Directory ドメインの名前と一致する DNS ゾーンに対して、DNS 委任を作成する必要があります。Active Directory ドメイン サービス インストール ウィザードによって、DNS 委任が存在するかどうかが確認されます。DNS 委任が存在しない場合は、新しいドメインの作成中に DNS 委任を自動的に作成するオプションがウィザードから提供されます。

新しいドメイン ツリーを作成する

新しいドメイン ツリーの作成は、ドメインを作成する際、その DNS 名前空間がフォレスト内の他のドメインと関連していない場合にのみ行ってください。つまり、ツリーのルート ドメイン (およびその下にあるすべての子ドメイン) の名前に、親ドメインのフル ネームを含める必要はありません。

たとえば、treyresearch.net を、contoso.com フォレスト内のドメイン ツリーにすることができます。新しいドメイン ツリーは、企業の買収や複数組織の合併の一環として作成されるのが最も一般的です。フォレストには、1 つ以上のドメイン ツリーを含めることができます。

新しいドメイン ツリーを作成する前に、異なる DNS 名前空間が必要な場合は別のフォレストを作成することを検討してください。フォレストを複数にすると、自律的な管理、スキーマと構成のディレクトリ パーティションの分離、セキュリティ境界の分離が実現し、フォレストごとに独立した名前空間設計を柔軟に使用できるようになります。

新しいフォレストを作成する

新しいフォレストを作成するには、AD DS をインストールするサーバーで、ローカルの Administrators グループのメンバーである必要があります。

DNS 名と NetBIOS 名

新しいフォレストを作成する前に、必ず DNS インフラストラクチャの計画を済ませてください。新しいフォレストを作成するには、そのフォレストの完全な DNS 名を知っておく必要があります。DNS サーバー サービスは AD DS をインストールする前にインストールできます。または、Active Directory ドメイン サービス インストール ウィザードを通じて DNS サーバー サービスを自動的にインストールするよう選択することもできます。

ウィザードを通じて DNS サーバー サービスをインストールした場合は、入力した DNS 名を使用して、フォレスト内の最初のドメインに対する NetBIOS 名が自動的に生成されます。そして、DNS 名と NetBIOS 名がネットワーク上で一意であることが確認された後、ウィザードの処理が続けられます。ウィザードによって自動的に生成される名前とは別の NetBIOS 名を指定する場合は、[Active Directory ドメイン サービス インストール ウィザードの開始] ページで [詳細モード インストールを使用する] チェック ボックスをオンにする必要があります。

自動的に生成された NetBIOS 名が既存の名前と競合している場合は、ウィザードの [ドメイン NetBIOS 名] ページも表示されます。

既定では、DNS サーバー サービスはフォレスト内の最初のドメイン コントローラーにインストールされます。新しいフォレストの名前解決をサポートするために既に DNS インフラストラクチャをセットアップしている場合は、ウィザードの [追加オプション] ページで [DNS サーバー] チェック ボックスをオフにすることができます。ただし、サポート用の DNS インフラストラクチャをまだ準備していない場合は、ウィザードを通じて DNS サーバー サービスがフォレスト内の最初のドメイン コントローラーにインストールされるように、既定の設定を受け入れてください。

[次へ] をクリックして続行すると、Active Directory ドメイン サービス インストール ウィザードによって、既存の DNS インフラストラクチャが調べられます。[DNS サーバー] チェック ボックスをオフにした場合は、サポート用の DNS インフラストラクチャが準備されているかどうかを確かめる診断テストが実行されます。診断テストが失敗した場合は、ウィザードを使用して DNS サーバー サービスをインストールするオプションが再度提示されます。

機能レベル

新しいフォレストでは、既定のフォレストの機能レベルは Windows 2000 であり、ドメインの機能レベルは Windows 2000 ネイティブです。これらは選択可能な最低限の機能レベルであり、これらの機能レベルによって、ドメイン コントローラーで Windows Server 2003、Windows® 2000 Server、Windows Server 2008、または Windows Server 2008 R2 を実行することが可能になります。

これらの以前のバージョンの Windows Server を実行しているドメイン コントローラーを追加する予定がない場合は、拡張機能を使用できるように、より高い機能レベルを選択してください。フォレストの機能レベルとして Windows Server 2008 R2 を選択した場合は、それ以降、フォレストに追加されるすべてのドメインが Windows Server 2008 R2 のドメインの機能レベルで作成されます。したがって、Active Directory ドメイン サービス インストール ウィザードで [ドメインの機能レベルの設定] が表示されなくなります。別のフォレストの機能レベルを選択した場合は、フォレスト内のドメインごとにドメインの機能レベルを独立して設定できます。機能レベルの詳細については、「ドメインまたはフォレストの機能レベルを設定する」を参照してください。

操作マスターの役割

このドメインに対する最初のドメイン コントローラーは、フォレストに対するすべての操作マスターの役割 (Flexible Single Master Operations (FSMO) とも呼ばれます) をホストします。

AD DS の可用性とフォールト トレランスを向上させるため、別のドメイン コントローラーをドメインに追加することをお勧めします。追加のドメイン コントローラーを作成した後、最初のドメイン コントローラーでホストされている操作マスターの役割の一部を、それらの他のドメイン コントローラーに転送することができます。マルチドメイン フォレストの作成を予定していて、フォレスト ルート ドメイン内のどのドメイン コントローラーもグローバル カタログ サーバーにしない場合は、少なくとも、フォレスト ルート ドメイン内のインフラストラクチャ マスターの役割を、グローバル カタログ サーバーではないドメイン内の別のドメイン コントローラーに転送してください。

操作マスターの役割の管理に関する詳細については、「操作マスターの役割を管理して、Active Directory の正常な動作を確保する」を参照してください。


目次