Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
こんにちは、Windows プラットフォームサポートの小幡です。
今回はワークグループ環境の Active Directory ライトウェイト ディレクトリ サービス (AD LDS) サーバー間でレプリケーションさせるための設定手順について紹介します。
Active Directory ドメイン環境に参加している AD LDS サーバー間でレプリケーションさせる場合とは異なり、下記のような前提条件が存在するため注意が必要です。
- 各 AD LDS サーバー上に同名、同パスワードのローカル ユーザーを作成し、そのユーザーをインスタンスのサービス アカウントとして設定する必要がある。
- 各 AD LDS サーバーを同一のネットワーク セグメントに配置する必要がある。(別々のネットワーク セグメントに配置する場合には、ドメイン環境が必要です。)
- 各 AD LDS サーバーのワークグループ名を同一にする必要がある。
下記に既存のワークグループ環境の AD LDS サーバーに対し、レプリケーション パートナーを追加するための具体的な設定手順を案内します。
- 手順概要
[A] 既存のワークグループ環境の AD LDS サーバーで新規ユーザーを作成する
[B] 新規に作成したユーザーに [サービスとしてログオン] のユーザー権利を与える
[C] 新規に作成したユーザーをインスタンスのサービス アカウントとして設定する
[D] 新規に作成したユーザーを AD LDS 管理者に追加する
[E] 新しく構築する AD LDS サーバーの準備をする
[F] 新規に構築する AD LDS サーバーで既存の AD LDS インスタンスのレプリカを作成する
----------------------------------------
[A] 既存のワークグループ環境の AD LDS サーバーで新規ユーザーを作成する
----------------------------------------
1. 既存のワークグループ環境の AD LDS サーバーにログオンします。
2. [ファイル名を指定して実行] から "lusrmgr.msc" を実行します。
3. 左ペインの [ユーザー] を右クリックし、[新しいユーザー] をクリックします。
4. [ユーザー名] に任意のユーザー名を入力し、パスワードを入力します。
5. [ユーザーは次回ログオン時にパスワードの変更が必要] のチェック ボックスをオフにします。
6. [パスワードを無期限にする] のチェック ボックスをオンにします。
7. [作成] をクリックします。
8. [閉じる] をクリックします。
9. 左ペインの [グループ] をクリックします。
10. 右ペインの [Administrators] を右クリックし、[グループに追加] をクリックします。
11. [追加] をクリックします。
12. 手順 3 ~ 7 で作成したユーザーを選択し、[OK] をクリックします。
13. [OK] をクリックします。
----------------------------------------
[B] 新規に作成したユーザーに [サービスとしてログオン] のユーザー権利を与える
----------------------------------------
1. 既存のワークグループ環境の AD LDS サーバーにおいて、[ファイル名を指定して実行] から "gpedit.msc" を実行します。
2. 左ペインのツリーを [コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [ユーザー権利の割り当て] の順に展開します。
3. 右ペインの [サービスとしてログオン] を右クリックし、[プロパティ] をクリックします。
4. [ローカル セキュリティの設定] タブの [ユーザーまたはグループの追加] をクリックします。
5. 手順 [A] で作成したユーザーを選択し、[OK] をクリックします。
6. [OK] をクリックします。
----------------------------------------
[C] 新規に作成したユーザーをインスタンスのサービス アカウントとして設定する
----------------------------------------
1. 既存のワークグループ環境の AD LDS サーバーにおいて、コマンド プロンプトを起動します。
2. カレント ディレクトリを %WINDIR%\ADAM へ移動させます。
3. net stop <インスタンス名> を実行し、インスタンスのサービスを停止します。
4. dsdbutil と入力し、Enter を押します。
5. activate instance <インスタンス名> を実行します。
6. change service account <手順 [A] 作成したユーザー名> <手順 [A] で作成したユーザーのパスワード> を実行します。
7. quit を実行します。
8. net start <インスタンス名> を実行し、インスタンスのサービスを起動します。
----------------------------------------
[D] 新規に作成したユーザーを AD LDS 管理者に追加する
----------------------------------------
1. 既存のワークグループ環境の AD LDS サーバーにおいて、[ファイル名を指定して実行] から "adsiedit.msc" を起動します。
2. 左ペインのツリーに表示されている [ADSI エディター] を右クリックし、[接続] をクリックします。
3. [既知の名前付けコンテキストを選択する] から [構成] を選択します。
4. [ドメインまたはサーバーを選択または入力する] を選択し、下のテキスト ボックスに localhost:<インスタンスのポート番号> を入力します。
5. [OK] をクリックします。
6. 左ペインのツリーを [ADSI エディター] - [構成 [localhost:<ポート番号>]] - [CN=Configuration,CN={<DN>}] - [CN=Roles] の順に展開します。
7. 右ペインの [CN=Administrators] を右クリックし、[プロパティ] をクリックします。
8. [属性エディター] 列から [member] を探し、その行をダブルクリックします。
9. [Windows アカウントの追加] をクリックします。
10. 手順 [A] で作成したユーザーを選択し、[OK] をクリックします。
11. [OK] を 2 回クリックします。
----------------------------------------
[E] 新規に構築する AD LDS サーバーの準備をする
----------------------------------------
前述の手順を参照していただき、新しく構築する AD LDS サーバー側の準備を行います。
* 手順 [A] を参照して、新しく構築する AD LDS サーバーにも、手順 [A] で作成したユーザーと同じ名前、パスワードの新規ユーザーを作成します。また、そのアカウントを新しく構築する AD LDS サーバーの Administrators グループに追加します。
* 手順 [B] を参照して、新しく構築する AD LDS サーバーにおいても、新しく作成したユーザーに [サービスとしてログオン] のユーザー権利を与えます。
* [役割の追加] から [Active Directory ライトウェイト ディレクトリ サービス] をインストールしておきます。
* 新しく構築する AD LDS サーバーを、既存のワークグループ環境の AD LDS サーバーと同じネットワーク セグメントに配置します。
* 新しく構築する AD LDS サーバーのワークグループ名を、既存のワークグループ環境の AD LDS サーバーと同じワークグループ名に設定します。
----------------------------------------
[F] 新規に構築する AD LDS サーバーで既存の AD LDS インスタンスのレプリカを作成する
----------------------------------------
1. 新規に構築する AD LDS サーバーにおいて、[管理ツール] から [Active Directory ライトウェイト ディレクトリ サービス セットアップ ウィザード] をクリックします。
2. [次へ] をクリックします。
3. [既存のインスタンスのレプリカ] を選択し、[次へ] をクリックします。
4. インスタンス名と説明を入力し、[次へ] をクリックします。
5. 使用する LDAP ポート番号と SSL ポート番号を入力し、[次へ] をクリックします。
6. [サーバー名] に既存の AD LDS サーバーのホスト名を入力し、[LDAP ポート番号] に既存の AD LDS インスタンスの LDAP ポート番号を入力し、[次へ] をクリックします。
7. [次のアカウント] を選択し、[ユーザー名] に <新規に構築する AD LDS サーバーのホスト名>\<手順 [E] で作成したユーザー名> を入力し、[パスワード] に手順 [E] で作成したユーザーのパスワードを入力し、[次へ] をクリックします。
8. アプリケーション ディレクトリ パーティションを選択し、[次へ] をクリックします。
9. データ ファイルとデータ回復ファイルを格納するパスを指定し、[次へ] をクリックします。
10. [次のアカウント] を選択し、[参照] をクリックします。
11. 手順 [E] で作成したユーザーを選択し、[OK] をクリックします。
12. [パスワード] に手順 [E] で作成したユーザーのパスワードを入力し、[次へ] をクリックします。
13. AD LDS の管理者権限を与えるユーザーを選択し、[次へ] をクリックします。
14. [次へ] をクリックします。
15. インスタンスの作成処理が開始されますので、処理が完了するまでお待ちください。
16. 処理が完了したら、[完了] をクリックします。
- 参考資料
Introduction to Administering AD LDS Replication and Configuration Sets
https://technet.microsoft.com/en-us/library/cc816622(v=ws.10).aspx