いよいよサーバ機に Active Directory ドメインサービスをインストールしてみたいと思います。
この Active Directory ドメインサービスをインストールするサーバ機を「ドメインコントローラー」と呼びます。なので、これからの作業は「ドメインコントローラーの準備」ということになります。
Active Directory ドメインサービスのインストールと初期セットアップ方法については、いろいろなサイトで紹介されつくしている感もあるので、実運用に即した部分を中心に書いてみようと思います。
最初に準備すること
サーバ機も用意した!
初期設定も終わった!
となると、どうしても今すぐに Active Directory を入れてみたくなるものですが、Active Directory をインストールする前に考えておいたほうが良いことがいくつかあります。
ものの本にはやれ組織設計がどうだとか、ハードウエアの物理的配置がどうだとかいろいろあるのですが、中小企業というか小企業レベルではあまり重要度が高くない話だったりします。
システム屋さんでは当たり前に考えてしまう部分が、意外と中小企業では大切だったりするのです。このあたり、適当に始めてしまうと後々修正が大変だったりするので、まずはあらかじめ社内で検討しておいたほうが良いことをまとめました。
1. ドメイン名
Active Directory は「ドメイン」という単位で管理を行います。
そのために「ドメイン名」という Active Directory における管理名を決める必要があります。
「ドメイン名」はインターネットで使われている yourcompany.co.jp のようなものと同じで、組織を指し示すラベルです。
ものの本には Active Directory では yourcompany.local のような名前を付ける(言い換えれば co.jp とかにしない)ことが例示されていますが、いまはこのような名前は当の Microsoft 社も推奨していません。
Selecting the Forest Root Domain : Microsoft Windows IT Center
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/selecting-the-forest-root-domain
(赤色背景のところに "we do not recommend using unregistered suffixes, such as .local." と書いてある)
ドメイン名は COMPANYNET.yourcompany.co.jp のような、自社で所有しているインターネットのドメインに文字を加えたサブドメイン型か、新たにドメインを用意(yourcompany.net など)してそれを Active Directory 専用に使うということも考えられます。
お名前.com のようなレジストラ(ドメイン登録業者)から購入したドメインは、他の組織とは重複することがないので、今後の運用上望ましいとされています。
Active Directory のドメイン名は一度決定すると変えるのが非常に面倒なので、この大文字で書いた COMPANYNET の部分についてはあらかじめ社内で了承をとっておいたほうが良いと思われます。
なお、後程会社が合併などをしてほかの会社の Active Directory にあるドメインと統合しようとしたときに、COMPANYNET の部分が重複しているとうまくいかないことになります。このため COMPANYNET の部分はあまり重複であろうと思われるものにしておくべきです。
例)
TOKYO.yourcompany.co.jp
みたいなドメイン名だと、
TOKYO.othercompany.com
というドメイン名を持つ企業と合併し、システムを統合しようとするときに面倒なことになる。
2. 管理者およびパスワード
Active Directory を構築すると、すべての社内リソースを管理したくなります。(でないと導入の意味があまりない)
言い換えると、社内の情報が一か所に集約されます。社内の情報が集約され、誰かがそのシステムを管理するということになるので、まずその管理者が必要になります。Active Directory の世界では Administrator ユーザーのパスワードを知っている管理者は神と同じ存在です。
会社のすべての情報を握ることができる管理者ですが、その人に万が一のことがあると誰もそのシステムを管理できなくなってしまいます。なので、インストールする人だけではなく、サブのバックアップ管理者が必要になります。
パスワードについては、わかる人なら覚えやすいが、類推することが難しようなものにしておくのがいちばんです。日本語をアルファベット化したものを混ぜると海外の辞書攻撃に強くなるでしょうし、代表電話番号をさかさまにしたものを付け加えたりとその会社の人だとヒントがあればわかるけれど、その会社を知らない人であれば思いつきもしないというのも一つの例です。
どうしてもほかの管理者が用意できない場合はパスワードを書いたメモを最高権限者である社長に渡し、必要に応じて使ってもらうという体制が良いでしょう。
その際に、どれだけそのパスワードが重要かを説明して、会社の実印レベル以上で管理をしてもらうことをお願いすることを忘れなく。
Windows Server では既定のタイミングでパスワードが変わりますので、そのタイミングで周知やメモの更新を行う必要があります。
3. IPアドレス
IPアドレスについては前回設定していますが、もう一度そのアドレス体系でよいのか熟考です。
Active Directory ドメインサービスをインストールしたサーバー(ドメインコントローラー)は DNS を兼ねるため、そう簡単にIPアドレスを変更できなくなります。
安易にルータの初期値であるネットワーク(例えば192.168.100.0/24)を使って 192.168.100.5 なんてのにしてしまうと、後で後悔することになるかもしれません。
すでに業者さんが入っていて、管理契約上変えられないということならば仕方がありませんが、せめて 192.168.167.0/24 などのおおよそ他人は使いそうもないネットワーク体系に変更ができないかを考えておいたほうが良いかもしれません。
また、そのネットワーク内でのサーバのIPアドレス(末尾1つの決め方)についても、ルータが 192.168.167.1 だから次に空いている番号の 192.168.167.2 にするよりも、今後のサーバ台数の増加も想定して 192.168.167.11 から初めて、順次増やしたら 12、13 にしていくとか、ある程度の今後の見通しで番号を決めるべきです。
4. サーバ名
こちらも前回設定したことの再考です。
サーバ名はドメイン内で重複しなければなんでも良いですが、1つのサーバ(正確にいうとIPアドレス)に対して複数の別名を付けることもできるので、Active Directory ドメインサービスをインストールするサーバについてはサーバ名をわかりやすくしておきます。
例えば...
役割で決めるのであれば
AD01 ・・・ 1台目のドメインコントローラー
AD02 ・・・ 2台目のドメインコントローラー
IPアドレスをもとに決めるのであれば
SRV11 ・・・ IPアドレスが 192.168.167.11 のサーバー
といったようになんでも良いですが、今後の管理がしやすくなる名前が良いです。
古き良きインターネットの時代は
kisuge
といった任意の名前をサーバにつけていたこともありますが、結果的に管理がしづらくなってきます。(以前はサーバ機が高級品であったこともあり、品のある名前や思い入れのある名前を機械につけていた)
5. 物理的な設置場所
ドメインコントローラーがストップしてしまうと保管されたデータにアクセスできないといった障害が発生します。
なので、ドメインコントローラーは安全で風通しの良い(できれば温度の低い)場所に保管されている必要があります。
サーバールームがあればいいですが、それが準備できない場合でも、社内で比較的温度が低く、ほこりが少なく、他人の目に触れにくい場所に設置します。
ラックマウントサーバをサーバラックに収容するのがいちばんですが、結構音がうるさいので事務所内設置であればラックマウント型よりタワー型のほうがいいですね。設置の際にはワイヤーロックを忘れずに。
こちらも一度 Active Directory のサービスを開始したらできる限り物理的に移動させたくないので、あらかじめ場所を決めてからセットアップしたほうが良いのかなと思います。
次回はいい加減にドメインコントローラーのセットアップに入ろうかと...
0 件のコメント:
コメントを投稿