このトピックでは、次のいずれかの方法を使用して、Windows Server に Active Directory Domain Services (AD DS) をインストールする方法について説明します。
Windows PowerShell
サーバー マネージャ
GUI を使用した RODC インストール
[前提条件]
Adprep.exe を実行して AD DS をインストールするには、次の資格情報が必要です。
新しいフォレストをインストールするには、対象のコンピューターにローカルの Administrator としてログオンしている必要があります。
新しい子ドメインまたは新しいドメイン ツリーをインストールするには、Enterprise Admins グループのメンバーとしてログオンしている必要があります。
既存のドメインに追加のドメイン コントローラーをインストールするには、Domain Admins グループのメンバーである必要があります。
Note
adprep.exe コマンドを個別に実行せず、既存のドメインまたはフォレストで Windows Server を実行する最初のドメイン コントローラーをインストールする場合は、Adprep コマンドを実行するための資格情報を入力するように求められます。 その資格情報の要件は次のとおりです。
フォレストに最初の Windows Server ドメイン コントローラーを導入するには、Enterprise Admins グループ、Schema Admins グループ、およびスキーマ マスターをホストするドメインの Domain Admins グループのメンバーの資格情報を指定する必要があります。 ドメインに最初の Windows Server ドメイン コントローラーを導入するには、Domain Admins グループのメンバーの資格情報を指定する必要があります。 フォレストの最初の読み取り専用ドメイン コントローラー (RODC) を導入するには、Enterprise Admins グループのメンバーの資格情報を入力する必要があります。
Windows PowerShell を使用して AD DS をインストールする
最初に、Windows PowerShell を使用して AD DS の役割を追加します。 このコマンドは、AD DS サーバーの役割をインストールし、AD DS と Active Directory Lightweight Directory Services (AD LDS) サーバー管理ツールをインストールします。これには、Active Directory ユーザーやコンピューターなどの GUI ベースのツールや、dcdia.exeなどのコマンド ライン ツールが含まれます。 Windows PowerShell を使用する場合、サーバー管理ツールは既定ではインストールされません。 ローカル サーバーを管理する場合は –IncludeManagementTools を指定し、リモート サーバーを管理する場合はリモート サーバー管理ツールをインストールする必要があります。
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
AD DS のインストールが完了するまで、再起動は必要ありません。
インストールの完了後に次のコマンドを実行すると、ADDSDeployment モジュールで使用できるコマンドレットを確認できます。
Get-Command -Module ADDSDeployment
特定のコマンドレットの引数と構文を確認するには、次のように入力します。
Get-Help <cmdlet name>
たとえば、使用されていない読み取り専用ドメイン コントローラー (RODC) アカウントを作成するための引数を確認するには、次のように入力します。
Get-Help Add-ADDSReadOnlyDomainControllerAccount
Windows PowerShell コマンドレットの最新のヘルプの例と概念説明をダウンロードすることもできます。 詳しくは、「about_Updatable_Help」をご覧ください。
Windows PowerShell コマンドレットは、リモート サーバーに対して実行できます。
Windows PowerShell で、Invoke-Command を ADDSDeployment コマンドレットと共に使用します。 たとえば、contoso.com ドメインの ConDC3 というリモート サーバーに AD DS をインストールするには、次のように入力します。
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
\- または -
- サーバー マネージャーで、リモート サーバーを含むサーバー グループを作成します。 リモート サーバーの名前を右選択し、 Windows PowerShell を選択します。
Windows PowerShell で ADDSDeployment コマンドレットの完全な一覧を表示するには、 ADDSDeployment リファレンスを参照してください。
Windows PowerShell 資格情報の指定
Get-credential を使用すると、画面にプレーンテキストで表示されないようにして資格情報を指定できます。
-SafeModeAdministratorPassword 引数と LocalAdministratorPassword 引数の操作は特殊です。
この引数を指定しない場合は、マスクされたパスワードの入力と確認入力を求められます。 これは、コマンドレットを対話的に実行する場合に推奨される使用方法です。
この引数を値と共に指定する場合は、セキュリティで保護された文字列を指定する必要があります。 これは、コマンドレットを対話形式で実行する場合には推奨されません。
たとえば、Read-Host コマンドレットを使用してユーザーにセキュリティで保護された文字列の入力を求めることにより、手動でパスワードの入力を求めることができます。
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
警告
前のオプションではパスワードが確認されません。細心の注意を払ってください。 パスワードは表示されません。
セキュリティで保護された文字列を、変換されるクリア テキストの変数として指定することもできますが、この方法はお勧めしません。
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
警告
クリア テキスト パスワードを指定または保存することはお勧めしません。 スクリプトでこのコマンドを実行しているユーザー、または肩を見渡すユーザーは、そのドメイン コントローラーのディレクトリ サービス復元モード (DSRM) パスワードを知っています。 ドメイン コントローラーの DSRM パスワードがわかれば、ドメイン コントローラーそのものを偽装して、自分の権限を Active Directory フォレストで最も高いレベルに昇格させることができます。
テスト コマンドレットを使用する
各 ADDSDeployment コマンドレットには、対応するテスト コマンドレットがあります。 テスト コマンドレットでは、そのインストール操作の前提条件のチェックのみが実行されます。インストール設定は構成されません。 各テスト コマンドレットの引数は、対応するインストール コマンドレットの引数と同じですが、 "SkipPreChecks はテスト コマンドレットでは使用できません。
| テスト コマンドレット | 説明 |
|---|---|
| Test-ADDSForestInstallation | 新しい Active Directory フォレストをインストールするための前提条件を確認します。 |
| Test-ADDSDomainInstallation | Active Directory の新しいドメインをインストールするための前提条件を確認します。 |
| Test-ADDSDomainControllerInstallation | Active Directory のドメイン コントローラーをインストールするための前提条件を確認します。 |
| Test-ADDSReadOnlyDomainControllerAccountCreation | 読み取り専用ドメイン コントローラー (RODC) アカウントを追加するための前提条件を確認します。 |
Windows PowerShell を使用して新しいフォレスト ルート ドメインをインストールする
コマンドレット Install-ADDSForest は、新しいフォレストをインストールします。
たとえば、corp.contoso.com という名前の新しいフォレストをインストールし、安全な方法で DSRM パスワードの入力を求めるには、次のように入力します。
Install-ADDSForest -DomainName "corp.contoso.com"
Note
Install-ADDSForest を実行すると、DNS サーバーが既定でインストールされます。
corp.contoso.com という名前の新しいフォレストをインストールするには、 contoso.com ドメインに DNS 委任を作成し、ドメインの機能レベルを Windows Server に設定し、フォレストの機能レベルを Windows Server 2025 に設定し、Active Directory データベースと SYSVOL を D:\ ドライブにインストールし、ログ ファイルを E:\ ドライブにインストールし、ディレクトリ サービス復元モードのパスワードと種類を指定するように求められます。
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2025 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Windows PowerShell を使用して新しい子ドメインまたはツリー ドメインをインストールする
コマンドレット Install-ADDSDomain を使用して、新しいドメインをインストールします。
Note
-credential 引数は、現在 Enterprise Admins グループのメンバーとしてログオンしていない場合にのみ必要です。
-NewDomainNetBIOSName 引数は、DNS ドメイン名のプレフィックスに基づいて自動的に生成される 15 文字の名前を変更する場合と、名前が 15 文字を超えている場合に必須です。
たとえば、 corp\EnterpriseAdmin1 の資格情報を使用して 子という名前の新しい子ドメインを作成し、 corp.contoso.com という名前の親ドメインを作成し、DNS サーバーをインストールし、 corp.contoso.com ドメインに DNS 委任を作成し、ドメイン機能レベルを Windows Server 2025 に設定し、ドメイン コントローラーを ヒューストンという名前のサイトのグローバル カタログ サーバーにし、 DC1.corp.contoso.com レプリケーション ソース ドメイン コントローラーとして、Active Directory データベースと SYSVOL を D:\ ドライブにインストールし、E:\ ドライブにログ ファイルをインストールし、ディレクトリ サービス復元モードのパスワードを指定するように求められますが、コマンドの確認を求めるメッセージは表示されません。次のように入力します。
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2025 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False
Windows PowerShell を使用して追加の (レプリカ) ドメイン コントローラーをインストールする
Install-ADDSDomainController を使用して、追加のドメイン コントローラーをインストールします。
corp.contoso.com ドメインにドメイン コントローラーと DNS サーバーをインストールし、ドメイン管理者の資格情報と DSRM パスワードの入力を求めるには、次のように入力します。
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"
コンピューターが既にドメインに参加していて、Domain Admins グループのメンバーである場合は、次を使用できます。
Install-ADDSDomainController -DomainName "corp.contoso.com"
ドメイン名の入力を求めるには、次のように入力します。
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")
次のコマンドは、Contoso\EnterpriseAdmin1 の資格情報を使用して Boston という名前のサイトに書き込み可能ドメイン コントローラーとグローバル カタログ サーバーをインストールし、DNS サーバーをインストールし、contoso.com ドメインに DNS 委任を作成し、c:\ADDS IFM フォルダーに格納されているメディアからのインストールを実行し、Active Directory データベースと SYSVOL を D:\ ドライブに、ログ ファイルを E:\ ドライブにインストールし、AD DS のインストールが完了したらサーバーを自動的に再起動し、ディレクトリ サービス復元モードのパスワードの入力を求めます。
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Windows PowerShell を使用して段階的な RODC インストールを実行する
コマンドレット Add-ADDSReadOnlyDomainControllerAccount を使用して RODC アカウントを作成します。
たとえば、RODC1 という名前の RODC アカウントを作成するには、次のように入力します。
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston -DelegatedAdministratorAccountName AdminUser
次に、RODC1 アカウントに関連付けるサーバーで、次のコマンドを実行します。 サーバーをドメインに参加させる必要があります。 最初に、AD DS サーバーの役割と管理ツールをインストールします。
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
次に、次のコマンドを実行して RODC を作成します。
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount
確認プロンプトが表示されないようにするには、 Y キーを押して "-Confirm:$false" 引数を指定します。
サーバー マネージャーを使用して AD DS をインストールする
AD DS は、サーバー マネージャーの役割の追加ウィザードを使用して Windows Server にインストールできます。その後、Windows Server 2012 以降の新しい Active Directory Domain Services 構成ウィザードを使用できます。 Active Directory ドメイン サービス インストール ウィザード (dcpromo.exe) は、Windows Server 2012 以降では非推奨となりました。
以降では、AD DS を複数のサーバーにインストールして管理するためにサーバー プールを作成する方法と、ウィザードを使用して AD DS をインストールする方法について説明します。
サーバー プールを作成する
サーバー マネージャーは、サーバー マネージャーを実行しているコンピューターからアクセスできる限り、ネットワーク上の他のサーバーをプールできます。 プールしたサーバーは、AD DS のリモート インストールなど、サーバー マネージャーで使用できる構成オプションの対象として選択できます。 サーバー マネージャーを実行しているコンピューターは自動的にプールされます。 サーバー プールの詳細については、「サーバー マネージャーへのサーバーの追加」を参照してください。
Note
ワークグループ サーバーでサーバー マネージャーを利用してドメインに参加しているコンピューターを管理するには、またはその逆を行うには、追加の構成手順が必要です。 詳細については、「サーバー マネージャーへのサーバーの追加」の「ワークグループのサーバーを追加して管理する」を参照してください。
AD DS のインストール
GUI の方法を使用して AD DS をインストールするには、次の手順を実行します。 これらの手順は、ローカルでもリモートでも実行できます。
サーバー マネージャーを使用して AD DS をインストールする
サーバー マネージャーで、[ 管理 ] を選択し、[ 役割と機能の追加 ] を選択して役割の追加ウィザードを開始します。
[ 開始する前 に] ページで、[ 次へ] を選択します。
[ インストールの種類の選択 ] ページ で、[ロールベースまたは機能ベースのインストール ] を選択し、[ 次へ] を選択します。
[ 移行先サーバーの選択 ] ページで、[ サーバー プールからサーバーを選択] を選択し、AD DS をインストールするサーバーの名前を選択し、[ 次へ] を選択します。
リモート サーバーを選択するには、先にサーバー プールを作成し、そこにリモート サーバーを追加します。 サーバー プールの作成の詳細については、「サーバー マネージャーへのサーバーの追加」を参照してください。
[ サーバーの役割の選択 ] ページで、[ Active Directory Domain Services] を選択し、[ 役割と機能の追加ウィザード ] ダイアログ ボックスで [ 機能の追加] を選択し、[ 次へ] を選択します。
[ 機能の選択 ] ページで、インストールする追加機能を選択し、[ 次へ] を選択します。
[ Active Directory Domain Services ] ページで情報を確認し、[ 次へ] を選択します。
[ インストールの選択の確認 ] ページで、[インストール] を選択 します。
[ 結果 ] ページで、インストールが成功したことを確認し、[ このサーバーをドメイン コントローラーに昇格 する] を選択して Active Directory Domain Services 構成ウィザードを開始します。
![[役割と機能の追加] ウィザードの [インストールの進行状況] ページのスクリーンショット。[このサーバーをドメイン コントローラーに昇格する] オプションが強調表示されています。](media/install-active-directory-domain-services--level-100-/adds_smi_smpromotes.gif)
重要
Active Directory Domain Services 構成ウィザードを起動せずにこの時点で役割の追加ウィザードを閉じる場合は、サーバー マネージャーで [タスク] を選択して再起動できます。
[配置構成] ページで、次のいずれかのオプションを選択します。
既存のドメインに追加のドメイン コントローラーをインストールする場合は、[既存のドメイン にドメイン コントローラーを追加する] を選択し、ドメインの名前 (たとえば、emea.corp.contoso.com) を入力するか 、[選択 ] を選択します。ドメインと資格情報 (たとえば、Domain Admins グループのメンバーであるアカウントを指定する) を選択し、[ 次へ] を選択します。
Note
ドメインの名前と現在のユーザー資格情報は、コンピューターがドメインに参加していて、ローカル インストールを実行している場合にのみ、既定で指定されます。 AD DS をリモート サーバーにインストールする場合は、資格情報を仕様で指定する必要があります。 現在のユーザー資格情報がインストールを実行するのに十分でない場合は、[ 変更]... を選択して別の資格情報を指定します。
新しい子ドメインをインストールする場合は、[既存の フォレストに新しいドメインを追加する] を選択し、[ ドメインの種類の選択]、[ 子ドメイン] の順に選択し、親ドメインの DNS 名 (corp.contoso.com など) を入力するか参照し、新しい子ドメインの相対名 (例: emea) を入力し、新しいドメインの作成に使用する資格情報を入力します。 をクリックし、[ 次へ] を選択します。
新しいドメイン ツリーをインストールする場合は、[既存の フォレストに新しいドメインを追加する] を選択し、[ ドメインの種類の選択]、[ ツリー ドメイン] の順に選択し、ルート ドメインの名前 (corp.contoso.com など) を入力し、新しいドメインの DNS 名 (fabrikam.com など) を入力し、新しいドメインの作成に使用する資格情報を入力して、[ 次へ] を選択します。
新しいフォレストをインストールする場合は、[ 新しいフォレストの追加 ] を選択し、ルート ドメインの名前 (corp.contoso.com など) を入力します。
[ドメイン コントローラー オプション] ページで、次のいずれかのオプションを選択します。
新しいフォレストまたはドメインを作成する場合は、ドメインとフォレストの機能レベルを選択し、 ドメイン ネーム システム (DNS) サーバーを選択し、DSRM パスワードを指定して、[ 次へ] を選択します。
既存のドメインにドメイン コントローラーを追加する場合は、必要に応じてドメイン ネーム システム (DNS) サーバー、 グローバル カタログ (GC)、または 読み取り専用ドメイン コントローラー (RODC) を選択し、サイト名を選択して DSRM パスワードを入力し、[ 次へ] を選択します。
さまざまな条件の下で利用できる、または利用できない本ページのオプションの詳細については、「ドメイン コントローラー オプション」を参照してください。
[ DNS オプション] ページ (DNS サーバーをインストールした場合にのみ表示されます) で、必要に応じて [ DNS 委任の更新 ] を選択します。 クリックした場合は、親 DNS ゾーン内に DNS 委任レコードを作成するアクセス許可がある資格情報を指定します。
親ゾーンをホストする DNS サーバーに接続できない場合、[ DNS 委任の更新 ] オプションは使用できません。
DNS 委任を更新する必要があるかどうかの詳細については、「ゾーンの委任とは」を参照してください。 DNS 委任を更新しようとしてエラーが表示された場合は、「DNS のオプション」を参照してください。
RODC オプション ページ (RODC をインストールした場合にのみ表示されます) で、RODC を管理するグループまたはユーザーの名前を指定し、許可または拒否されたパスワード レプリケーション グループにアカウントを追加または削除してから、[次へ] を選択します。
詳細については、「パスワード レプリケーション ポリシー」を参照してください。
[追加オプション] ページで、次のいずれかのオプションを選択します。
新しいドメインを作成する場合は、新しい NetBIOS 名を入力するか、ドメインの既定の NetBIOS 名を確認して、[ 次へ] を選択します。
既存のドメインにドメイン コントローラーを追加する場合は、AD DS のインストール データをレプリケートするドメイン コントローラーを選択します (または、ウィザードで任意のドメイン コントローラーを選択できるようにします)。 メディアからインストールする場合は、[ メディア パスの種類からインストール ] を選択し、インストール ソース ファイルへのパスを確認して、[ 次へ] を選択します。
メディアからのインストール (IFM) を使用して、ドメインに最初のドメイン コントローラーをインストールすることはできません。 IFM は、オペレーティング システムのバージョンが異なっても機能しません。 つまり、IFM を使用して Windows Server を実行する追加のドメイン コントローラーをインストールするには、Windows Server ドメイン コントローラーにバックアップ メディアを作成する必要があります。 IFM の詳細については、IFM を使用した追加ドメイン コントローラーのインストールに関するトピックを参照してください。
[ パス ] ページで、Active Directory データベース、ログ ファイル、SYSVOL フォルダーの場所を入力し (または既定の場所を受け入れます)、[ 次へ] を選択します。
重要
Active Directory データベース、ログ ファイル、または SYSVOL フォルダーは、Resilient File System (ReFS) でフォーマットされたデータ ボリュームに格納しないでください。
[ 準備オプション] ページで、adprep を実行するのに十分な資格情報を入力します。
[ オプションの確認] ページで選択内容を確認し、Windows PowerShell スクリプトに設定をエクスポートする場合は [ スクリプトの表示 ] を選択し、[ 次へ] を選択します。
[ 前提条件の確認 ] ページで、前提条件の検証が完了したことを確認し、[インストール] を選択 します。
[結果] ページで、サーバーがドメイン コントローラーとして正しく構成されたことを確認します。 サーバーは、AD DS のインストールを完了するために自動的に再起動します。
グラフィカル ユーザー インターフェイスを使用したステージング RODC インストールの実行
RODC の段階的なインストールを使用すると、RODC を 2 段階に分けて作成できます。 1 番目の段階では、Domain Admins グループのメンバーが RODC アカウントを作成します。 2 番目の段階では、その RODC アカウントにサーバーを関連付けます。 2 番目の段階は、Domain Admins グループのメンバーか、委任されたドメイン ユーザーまたはグループが実行できます。
Active Directory 管理ツールを使用して RODC アカウントを作成する
Active Directory 管理センターまたは Active Directory ユーザーとコンピューターを使用して RODC アカウントを作成できます。
[ スタート] を選択し、[ 管理ツール] を選択し、[ Active Directory 管理センター] を選択します。
ナビゲーション ウィンドウ (左側のウィンドウ) で、ドメインの名前を選択します。
[管理] ボックスの一覧 (中央のウィンドウ) で、 ドメイン コントローラー OU を選択します。
[タスク] ウィンドウ (右側のウィンドウ) で、[ 読み取り専用ドメイン コントローラー アカウントを事前に作成する] を選択します。
-または-
[ スタート] を選択し、[ 管理ツール] を選択し、[ Active Directory ユーザーとコンピューター] を選択します。
ドメイン コントローラー組織単位 (OU) を右選択するか、ドメイン コントローラー OU を選択して、[アクション] を選択します。
[ 読み取り専用ドメイン コントローラー アカウントの事前作成] を選択します。
[Active Directory Domain Services インストール ウィザードへようこそ] ページで、既定のパスワード レプリケーション ポリシー (PRP) を変更する場合は、[高度なモードのインストールを使用する] を選択し、[次へ] を選択します。
[ ネットワーク資格情報 ] ページの [ インストールの実行に使用するアカウント資格情報の指定] で、[ 現在ログオンしている資格情報 ] を選択するか、[ 代替資格情報] を選択して 、[設定] を選択します。 [Windows セキュリティ] ダイアログ ボックスで、追加のドメイン コントローラーをインストールできるアカウントのユーザー名およびパスワードを指定します。 追加のドメイン コントローラーをインストールするには、Enterprise Admins グループまたは Domain Admins グループのメンバーである必要があります。 資格情報の入力が完了したら、[ 次へ] を選択します。
[コンピューター名の指定] ページで、RODC となるサーバーのコンピューター名を入力します。
[ サイトの選択 ] ページで、一覧からサイトを選択するか、ウィザードを実行しているコンピューターの IP アドレスに対応するドメイン コントローラーをサイトにインストールするオプションを選択し、[ 次へ] を選択します。
[ 追加のドメイン コントローラー オプション] ページで、次の項目を選択し、[ 次へ] を選択します。
DNS サーバー: このオプションは、ドメイン コントローラーがドメイン ネーム システム (DNS) サーバーとして機能できるようにデフォルトで選択されています。 ドメイン コントローラーを DNS サーバーにしない場合は、このオプションをオフにします。 ただし、RODC に DNS サーバーの役割をインストールせず、RODC がブランチ オフィスの唯一のドメイン コントローラーである場合、ハブ サイトへのワイド エリア ネットワーク (WAN) がオフラインの場合、ブランチ オフィスのユーザーは名前解決を実行できません。
グローバル カタログ: このオプションは既定で選択されています。 これにより、グローバル カタログ、読み取り専用ディレクトリ パーティションがドメイン コントローラーに追加され、グローバル カタログ検索機能が有効になります。 ドメイン コントローラーをグローバル カタログ サーバーにしない場合は、このオプションをオフにします。 ただし、ブランチ オフィスにグローバル カタログ サーバーをインストールしない場合、または RODC を含むサイトのユニバーサル グループ メンバーシップ キャッシュを有効にした場合、ハブ サイトへの WAN がオフラインの場合、ブランチ オフィスのユーザーはドメインにログオンできません。
読み取り専用のドメイン コントローラー。 RODC アカウントを作成すると、このオプションが既定で選択され、オフにすることはできません。
[Active Directory ドメイン サービス インストール ウィザードの開始] ページで [詳細モード インストールを使用する] チェック ボックスをオンにした場合は、[パスワード レプリケーション ポリシーの指定] ページが表示されます。 既定では、アカウントのパスワードは RODC には一切レプリケートされず、セキュリティ上機密性の高いアカウント (Domain Admins グループのメンバーなど) のパスワードが RODC にレプリケートされることは、明示的に拒否されます。
他のアカウントをポリシーに追加するには、[ 追加] を選択し、[ この RODC にレプリケートするアカウントのパスワードを許可する ] を選択するか、[ この RODC にレプリケートするアカウントのパスワードを拒否する ] を選択してから、アカウントを選択します。
完了したら (または既定の設定をそのまま使用する場合)、[ 次へ] を選択します。
[ RODC のインストールと管理の委任 ] ページで、作成する RODC アカウントにサーバーを接続するユーザーまたはグループの名前を入力します。 ここで入力できるセキュリティ プリンシパルの名前は 1 つだけです。
ディレクトリで特定のユーザーまたはグループを検索するには、[ 設定] を選択します。 [ユーザーまたはグループの選択] に、ユーザーまたはグループの名前を入力します。 RODC のインストールと管理については、グループに委任することをお勧めします。
このユーザーまたはグループに、インストール後、当該 RODC 上のローカル管理者権限も付与されます。 ユーザーまたはグループを指定しない場合は、Domain Admins グループまたは Enterprise Admins グループのメンバーのみがサーバーをアカウントにアタッチできます。
完了したら、[ 次へ] を選択します。
[概要] ページで、選択内容を確認します。 必要に応 じて、[戻る ] を選択して選択内容を変更します。
選択した設定を、後続の AD DS 操作の自動化に使用できる応答ファイルに保存するには、[設定の エクスポート] を選択します。 応答ファイルの名前を入力し、[保存] を選択 します。
選択内容が正確であることを確認したら、[ 次へ ] を選択して RODC アカウントを作成します。
[Active Directory Domain Services のインストール ウィザードの完了] ページで、[完了] を選択します。
RODC アカウントの作成が完了したら、サーバーをアカウントに関連付けて RODC のインストールを完了できます。 この 2 番目の段階は、RODC を配置するブランチ オフィスで実行できます。 この手順を実行するサーバーは、ドメインに参加していない必要があります。 サーバー マネージャーの役割の追加ウィザードを使用して、RODC アカウントにサーバーをアタッチします。
サーバー マネージャーを使用して RODC アカウントにサーバーを接続する
ローカルの Administrator としてログオンします。
サーバー マネージャーで、[ 役割と機能の追加] を選択します。
[ 開始する前 に] ページで、[ 次へ] を選択します。
[ インストールの種類の選択 ] ページ で、[ロールベースまたは機能ベースのインストール ] を選択し、[ 次へ] を選択します。
[ 移行先サーバーの選択 ] ページで、[ サーバー プールからサーバーを選択] を選択し、AD DS をインストールするサーバーの名前を選択し、[ 次へ] を選択します。
[ サーバーの役割の選択 ] ページで、[ Active Directory Domain Services] を選択し、[ 機能の追加 ] を選択して、[ 次へ] を選択します。
[ 機能の選択 ] ページで、インストールする追加機能を選択し、[ 次へ] を選択します。
[ Active Directory Domain Services ] ページで情報を確認し、[ 次へ] を選択します。
[ インストールの選択の確認 ] ページで、[インストール] を選択 します。
[ 結果 ] ページで、 インストールが成功したことを確認し、[ このサーバーをドメイン コントローラーに昇格 する] を選択して Active Directory Domain Services 構成ウィザードを開始します。
重要
Active Directory Domain Services 構成ウィザードを起動せずにこの時点で役割の追加ウィザードを閉じる場合は、サーバー マネージャーで [タスク] を選択して再起動できます。
[ 展開構成 ] ページで、[ 既存のドメインにドメイン コントローラーを追加する] を選択し、ドメインの名前 (emea.contoso.com など) と資格情報を入力し (たとえば、RODC を管理してインストールするために委任されたアカウントを指定します)、[ 次へ] を選択します。
[ ドメイン コントローラーのオプション] ページで、[ 既存の RODC アカウントを使用する] を選択し、ディレクトリ サービス復元モードのパスワードを入力して確認し、[ 次へ] を選択します。
[ 追加オプション] ページで、メディアからインストールする場合は、[ メディア パスの種類からインストール ] を選択し、インストール ソース ファイルへのパスを確認し、AD DS インストール データをレプリケートするドメイン コントローラーを選択して (または、ウィザードで任意のドメイン コントローラーを選択できるようにする)、[ 次へ] を選択します。
[ パス ] ページで、Active Directory データベース、ログ ファイル、SYSVOL フォルダーの場所を入力するか、既定の場所をそのまま使用して、[ 次へ] を選択します。
[ オプションの確認] ページで選択内容を確認し、[ スクリプトの表示 ] を選択して設定を Windows PowerShell スクリプトにエクスポートし、[ 次へ] を選択します。
[ 前提条件の確認 ] ページで、前提条件の検証が完了したことを確認し、[インストール] を選択 します。
サーバーは、AD DS のインストールを完了するために自動的に再起動します。