コンピューターをドメインに参加させる

サーバーまたはクライアント デバイスをドメインに参加させることが、組織のネットワーク内の一元的な管理とセキュリティの向上を実現するために不可欠な手順です。 新しいデバイスを構成する場合でも、ネットワークセットアップを最適化する場合でも、ドメイン環境へのシームレスな統合については、このガイドに従ってください。

Von Bedeutung

KB5020276 は、ドメイン参加プロセスのセキュリティを強化する Microsoft の更新プログラムです。 この更新プログラムでは、承認されていないデバイスが Windows ドメインに参加するのを防ぐための強化された検証と認証が導入され、信頼されたデバイスのみをネットワークに追加できます。 詳細については、「 KB5020276 - Netjoin: ドメイン参加のセキュリティ強化の変更」を参照してください。

[前提条件]

サーバーの要件

Active Directory ユーザーおよびコンピューター (ADUC) ツールを使用するには、Windows Server デバイスに Active Directory Domain Services の役割がインストールされている必要があります。 詳細については、「役割、役割サービス、または機能 をインストールまたはアンインストールするを参照してください。

Administrators グループのメンバーであるか、ローカル アカウントとドメイン アカウントの両方に対する管理者特権を持っている必要があります。

クライアントの要件

ドメインに参加するには、ユーザー アカウントにローカル コンピューターに対する管理者特権が必要です。

クライアント デバイスには、次のいずれかのバージョンの Windows がインストールされている必要があります。

• エンタープライズ
• Enterprise N
• プロ
• Pro N
• Pro Education
• Pro Education N
• ワークステーション向けプロ版
• ワークステーション用 Pro N

注

時間の同期を維持するために、組織は多くの場合、Windows タイム サービスまたはネットワーク タイム プロトコル (NTP) サーバーを使用します。 ドメイン内では、コンピューターは通常、クロックをドメイン コントローラーと同期します。これは、信頼できるタイム ソースに合わせる必要があります。 このプロセスにより、ドメイン内のすべてのデバイスで一貫した時間設定が保証され、Kerberos 認証に関する潜在的な問題が最小限に抑えられます。

ADUC を使用してデバイスを事前設定する

この手順は省略可能であり、デバイスをドメインに参加させる場合は必須ではありません。 ただし、Active Directory でデバイスを事前に設定すると、コンピューター アカウントを適切な組織単位 (OU) に事前に割り当て、デバイスがドメインに参加する前に適切なアクセス許可が設定されていることを確認することで、プロセスを効率化できます。

1. サーバー マネージャーで、右上のメニューから [ツール] ボタンを選択します。

2. ドロップダウン メニューで、[ Active Directory ユーザーとコンピューター] を選択します。

3. 左側のウィンドウで、適切な組織単位 (OU) に移動して選択します。

4. [ アクション ] タブを選択し、[ 新規] を選択してから、[コンピューター] を選択 します。

5. コンピューター名を入力し、デバイスが属するユーザーまたはグループを構成します。

6. [ OK] を 選択すると、クライアントがドメインに参加する準備が整ったときに備えることができます。

デバイスをドメインに参加させる

デバイスのドメインへの参加は、環境の好みやニーズに応じて、グラフィカル ユーザー インターフェイス (GUI) メソッドまたはコマンド ライン ツールを使用して行うことができます。 どちらの方法でも、ドメインへの統合が保証されます。

サーバー マネージャーメソッド

1. サーバー マネージャーで、[ローカル サーバー] を選択し、[ワークグループ] でワークグループまたはドメイン名のハイパーリンクを選択します。

2. [ コンピューター名 ] タブで、[ 変更] を選択します。

3. メンバーでドメインを選択し、コンピューターを参加させるドメインの名前を入力して、OKを選択します。

4. ドメインに参加するために必要な資格情報を入力し、[ OK] を選択します。

5. デバイスがドメインに正常に参加すると、通知によってデバイスのドメイン メンバーシップが確認されます。 [ OK] を選択すると、デバイスを再起動するように求められます。

コントロール パネル メソッド

1. [ スタート] を選択し、「 コントロール パネル」と入力し、 Enter キーを押します。

2. 右上の 表示方法 ドロップダウン メニューから カテゴリに設定されていることを確認してください。

3. [システムとセキュリティ] に移動し、[システム] を選択します。

4. [ ドメインまたはワークグループ] を選択し、[ コンピューター名 ] タブで [ 変更] を選択します。

5. メンバーでドメインを選択し、コンピューターを参加させるドメインの名前を入力して、OKを選択します。

6. ドメインに参加するために必要な資格情報を入力し、[ OK] を選択します。

7. デバイスがドメインに正常に参加すると、通知によってデバイスのドメイン メンバーシップが確認されます。 [ OK] を選択すると、デバイスを再起動するように求められます。

1. [ スタート] を選択し、「 コントロール パネル」と入力し、 Enter キーを押します。

2. 右上の 表示方法 ドロップダウン メニューから カテゴリに設定されていることを確認してください。

3. [システムとセキュリティ] に移動し、[システム] を選択します。

4. [ システム設定の詳細設定] を選択し、[ 設定の変更] を選択します。

5. [ コンピューター名 ] タブで、[ 変更] を選択します。 「」

6. メンバーでドメインを選択し、コンピューターを参加させるドメインの名前を入力して、OKを選択します。

7. ドメインに参加するために必要な資格情報を入力し、[ OK] を選択します。

8. デバイスがドメインに正常に参加すると、通知によってデバイスのドメイン メンバーシップが確認されます。 [ OK] を選択すると、デバイスを再起動するように求められます。

1. [ スタート] を選択し、「 コントロール パネル」と入力し、 Enter キーを押します。

2. 右上の 表示方法 ドロップダウン メニューから カテゴリに設定されていることを確認してください。

3. [システムとセキュリティ] に移動し、[システム] を選択します。

4. [ コンピューター名、ドメイン、ワークグループの設定] で、[ 設定の変更] を選択します。

5. [ コンピューター名 ] タブで、[ 変更] を選択します。 「」

6. メンバーでドメインを選択し、コンピューターを参加させるドメインの名前を入力して、OKを選択します。

7. ドメインに参加するために必要な資格情報を入力し、[ OK] を選択します。

8. デバイスがドメインに正常に参加すると、通知によってデバイスのドメイン メンバーシップが確認されます。 [ OK] を選択すると、デバイスを再起動するように求められます。

設定アプリの方法

1. [ スタート] を選択し、[ 設定] を選択してから、[ アカウント] を選択します。

2. [ 職場または学校にアクセスする] を選択し、[ 接続] を選択します。

3. [ このデバイスをローカル Active Directory ドメインに参加させる] を選択します。

4. ドメイン名を入力し、[ 次へ] を選択し、アカウントの資格情報を選択して、[ OK] を選択します。

5. デバイスを再起動します。

コマンド ライン メソッド

ドメインへのデバイスの追加は、コマンド プロンプトまたは PowerShell を使用して実行できます。

コマンド プロンプト

1. 昇格した [コマンド プロンプト] ウィンドウを開きます。

2. YourDomainNameとDomainUsernameを実際の値に置き換えて、次のコマンドを実行します。

   netdom join %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

3. 指定したドメイン ユーザー アカウントのパスワードを入力するように求められます。

4. デバイスを再起動します。 サインインすると、ドメインに参加します。

PowerShell

1. 管理者特権の PowerShell ウィンドウを開きます。

2. YourDomainNameを実際の値に置き換えて、次のコマンドを実行します。

   Add-Computer -DomainName "YourDomainName" -Credential (Get-Credential)
   Restart-Computer
   

3. ドメイン資格情報の入力を求められます。

ドメインに参加するためのドメイン資格情報を入力した後、デバイスが再起動します。

不整合なデバイスをドメインに再参加させる

クライアントまたはサーバー デバイスがドメインから分離されている場合は、ドメインからデバイスを削除してから再参加することで、その信頼関係を復元できます。 このプロセスにより、デバイスとドメインの間の接続が再確立されます。 ドメインを離れるプロセスは、ドメインへの参加に似ています。

サーバー マネージャーを使用してドメインに再参加する

サーバー マネージャーを使用してドメインを離れるには、前の手順に従って、[システムのプロパティ] ウィンドウに到達するまでドメインに参加します。

1. [ メンバー] で [ ワークグループ] を選択し、一時的に参加するワークグループの名前を入力し、[ OK] を選択します。

2. もう一度 [OK] を 選択し、デバイスを再起動します。

3. ローカル アカウントにサインインし直したら、手順を繰り返して、以前に分離されたドメインにデバイスを参加させます。

コントロール パネルを使用してサーバーをドメインに再参加させる

コントロール パネルを使用してドメインを離れるには、前の手順に従って、[システムのプロパティ] ウィンドウに到達するまでドメインに参加します。

1. [ メンバー] で [ ワークグループ] を選択し、一時的に参加するワークグループの名前を入力し、[ OK] を選択します。

2. もう一度 [OK] を 選択し、デバイスを再起動します。

3. ローカル アカウントにサインインし直したら、手順を繰り返して、以前に分離されたドメインにデバイスを参加させます。

コントロール パネルを使用してクライアントをドメインに再参加させる

コントロール パネルを使用してドメインを離れるには、前の手順に従って、[システムのプロパティ] ウィンドウに到達するまでドメインに参加します。

1. [ メンバー] で [ ワークグループ] を選択し、一時的に参加するワークグループの名前を入力し、[ OK] を選択します。

2. もう一度 [OK] を 選択し、デバイスを再起動します。

3. ローカル アカウントにサインインし直したら、手順を繰り返して、以前に切り離されたドメインにデバイスを再び参加させます。

[設定] を使用してドメインに再参加する

設定アプリを使用してドメインを離れるには、前の手順に従って、職場または学校へのアクセスウィンドウに到達するまで進めてください。

1. アカウントで [ 切断] を選択し、[ はい] を選択します。

2. デバイスを再起動します。

3. ローカル アカウントにサインインし直したら、手順を繰り返して、以前に切り離されたドメインにデバイスを再び参加させます。

コマンド ラインを使用してドメインに再参加する

コマンド ラインを使用してドメインを離れるには、次の手順に従います。

コマンド プロンプト

1. 昇格した [コマンド プロンプト] ウィンドウを開きます。

2. YourDomainNameとDomainUsernameを実際の値に置き換えて、次のコマンドを実行します。

   netdom remove %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

3. 指定したドメイン ユーザー アカウントのパスワードを入力するように求められます。

4. デバイスが再起動したら、ローカル アカウントにサインインします。

5. コマンド ライン メソッドに記載されている手順に従って、ドメインに再び参加します。

PowerShell

1. 管理者特権の PowerShell ウィンドウを開きます。

2. 次のコマンドを実行します。

   Remove-Computer -UnjoinDomainCredential (Get-Credential) -PassThru -Verbose -Restart
   

3. ドメイン資格情報の入力を求められます。 ドメイン資格情報を入力した後、デバイスが再起動します。

4. デバイスにサインインし、 コマンド ライン メソッド に記載されている手順に従ってドメインに再び参加します。

ドメインの信頼関係を修復する

ドメインに参加しているコンピューターとドメイン コントローラーの間のセキュリティで保護されたチャネルが中断されると、次のエラーが発生する可能性があります。

The trust relationship between this workstation and the primary domain failed.

このエラーは、通常、コンピューターのパスワードがドメイン データベースと同期されていない場合に発生します。 また、ドメイン内のコンピューター アカウントが削除されたか、破損した場合にも発生する可能性があります。 コマンド ラインを使用して、デバイスとドメイン間の信頼関係の問題を解決できます。

コマンド プロンプト

1. ローカル管理者アカウントでサインインします。

2. 昇格した [コマンド プロンプト] ウィンドウを開きます。

3. ComputerNameとYourDomainNameを実際の値に置き換えて、次のコマンドを実行して、セキュリティで保護されたチャネルをテストします。

   netdom verify ComputerName /domain:YourDomainName
   

4. DomainControllerNameとDomain\Usernameを実際の値に置き換えて、次のコマンドを実行して、コンピューターのパスワードをリセットします。

   netdom resetpwd /server:DomainControllerName /userd:Domain\Username /passwordd:*
   

   アカウントのパスワードを入力するように求められます。

5. セキュリティで保護されたチャネルをリセットするには、 YourDomainName と DomainUsername を実際の値に置き換えて、次のコマンドを実行します。

   netdom reset /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

   アカウントのパスワードを入力するように求められます。

6. 変更を有効にするには、デバイスを再起動します。 コマンド ライン メソッドに記載されている手順に従って、ドメインに再び参加します。

PowerShell

1. ローカル管理者アカウントでサインインします。

2. 管理者特権の PowerShell ウィンドウを開きます。

3. 次のコマンドを実行して、セキュリティで保護されたチャネルをテストします。

      Test-ComputerSecureChannel
   

   テストで Trueが返された場合、セキュリティで保護されたチャネルはそのままであり、ドメイン ネーム システム (DNS) やその他のネットワークの問題など、他の場所に問題がある可能性があります。 False場合は、次の手順に進みます。

4. 次のコマンドを使用してセキュリティで保護されたチャネルを直接修復し、プロンプトが表示されたら資格情報を指定します。

   Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
   

5. 次のコマンドを実行して、コンピューター アカウントのパスワードをリセットし、メッセージが表示されたらドメイン資格情報を入力します。

   $credential = Get-Credential
   Reset-ComputerMachinePassword -Credential $credential
   Restart-Computer -Force
   

6. デバイスが再起動したら、 コマンド ライン メソッド に記載されている手順に従ってドメインに再び参加します。