ワークグループ環境での AD LDS サーバー間でレプリケーションさせるためには

  • Article

こんにちは、Windows プラットフォームサポートの小幡です。

 

今回はワークグループ環境の Active Directory ライトウェイト ディレクトリ サービス (AD LDS) サーバー間でレプリケーションさせるための設定手順について紹介します。

 

Active Directory ドメイン環境に参加している AD LDS サーバー間でレプリケーションさせる場合とは異なり、下記のような前提条件が存在するため注意が必要です。

 

  • 各 AD LDS サーバー上に同名、同パスワードのローカル ユーザーを作成し、そのユーザーをインスタンスのサービス アカウントとして設定する必要がある。
  • 各 AD LDS サーバーを同一のネットワーク セグメントに配置する必要がある。(別々のネットワーク セグメントに配置する場合には、ドメイン環境が必要です。)
  • 各 AD LDS サーバーのワークグループ名を同一にする必要がある。

 

下記に既存のワークグループ環境の AD LDS サーバーに対し、レプリケーション パートナーを追加するための具体的な設定手順を案内します。

 

- 手順概要

[A] 既存のワークグループ環境の AD LDS サーバーで新規ユーザーを作成する

[B] 新規に作成したユーザーに [サービスとしてログオン] のユーザー権利を与える

[C] 新規に作成したユーザーをインスタンスのサービス アカウントとして設定する

[D] 新規に作成したユーザーを AD LDS 管理者に追加する

[E] 新しく構築する AD LDS サーバーの準備をする

[F] 新規に構築する AD LDS サーバーで既存の AD LDS インスタンスのレプリカを作成する

 

----------------------------------------

[A] 既存のワークグループ環境の AD LDS サーバーで新規ユーザーを作成する

----------------------------------------

1. 既存のワークグループ環境の AD LDS サーバーにログオンします。

2. [ファイル名を指定して実行] から "lusrmgr.msc" を実行します。

3. 左ペインの [ユーザー] を右クリックし、[新しいユーザー] をクリックします。

4. [ユーザー名] に任意のユーザー名を入力し、パスワードを入力します。

5. [ユーザーは次回ログオン時にパスワードの変更が必要] のチェック ボックスをオフにします。

6. [パスワードを無期限にする] のチェック ボックスをオンにします。

7. [作成] をクリックします。

8. [閉じる] をクリックします。

9. 左ペインの [グループ] をクリックします。

10. 右ペインの [Administrators] を右クリックし、[グループに追加] をクリックします。

11. [追加] をクリックします。

12. 手順 3 ~ 7 で作成したユーザーを選択し、[OK] をクリックします。

13. [OK] をクリックします。

 

----------------------------------------

[B] 新規に作成したユーザーに [サービスとしてログオン] のユーザー権利を与える

----------------------------------------

1. 既存のワークグループ環境の AD LDS サーバーにおいて、[ファイル名を指定して実行] から "gpedit.msc" を実行します。

2. 左ペインのツリーを [コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [ユーザー権利の割り当て] の順に展開します。

3. 右ペインの [サービスとしてログオン] を右クリックし、[プロパティ] をクリックします。

4. [ローカル セキュリティの設定] タブの [ユーザーまたはグループの追加] をクリックします。

5. 手順 [A] で作成したユーザーを選択し、[OK] をクリックします。

6. [OK] をクリックします。

 

----------------------------------------

[C] 新規に作成したユーザーをインスタンスのサービス アカウントとして設定する

----------------------------------------

1. 既存のワークグループ環境の AD LDS サーバーにおいて、コマンド プロンプトを起動します。

2. カレント ディレクトリを %WINDIR%\ADAM へ移動させます。

3. net stop <インスタンス名> を実行し、インスタンスのサービスを停止します。

4. dsdbutil と入力し、Enter を押します。

5. activate instance <インスタンス名> を実行します。

6. change service account <手順 [A] 作成したユーザー名> <手順 [A] で作成したユーザーのパスワード> を実行します。

7. quit を実行します。

8. net start <インスタンス名> を実行し、インスタンスのサービスを起動します。

 

----------------------------------------

[D] 新規に作成したユーザーを AD LDS 管理者に追加する

----------------------------------------

1. 既存のワークグループ環境の AD LDS サーバーにおいて、[ファイル名を指定して実行] から "adsiedit.msc" を起動します。

2. 左ペインのツリーに表示されている [ADSI エディター] を右クリックし、[接続] をクリックします。

3. [既知の名前付けコンテキストを選択する] から [構成] を選択します。

4. [ドメインまたはサーバーを選択または入力する] を選択し、下のテキスト ボックスに localhost:<インスタンスのポート番号> を入力します。

5. [OK] をクリックします。

6. 左ペインのツリーを [ADSI エディター] - [構成 [localhost:<ポート番号>]] - [CN=Configuration,CN={<DN>}] - [CN=Roles] の順に展開します。

7. 右ペインの [CN=Administrators] を右クリックし、[プロパティ] をクリックします。

8. [属性エディター] 列から [member] を探し、その行をダブルクリックします。

9. [Windows アカウントの追加] をクリックします。

10. 手順 [A] で作成したユーザーを選択し、[OK] をクリックします。

11. [OK] を 2 回クリックします。

 

----------------------------------------

[E] 新規に構築する AD LDS サーバーの準備をする

----------------------------------------

前述の手順を参照していただき、新しく構築する AD LDS サーバー側の準備を行います。

 

* 手順 [A] を参照して、新しく構築する AD LDS サーバーにも、手順 [A] で作成したユーザーと同じ名前、パスワードの新規ユーザーを作成します。また、そのアカウントを新しく構築する AD LDS サーバーの Administrators グループに追加します。

* 手順 [B] を参照して、新しく構築する AD LDS サーバーにおいても、新しく作成したユーザーに [サービスとしてログオン] のユーザー権利を与えます。

* [役割の追加] から [Active Directory ライトウェイト ディレクトリ サービス] をインストールしておきます。

* 新しく構築する AD LDS サーバーを、既存のワークグループ環境の AD LDS サーバーと同じネットワーク セグメントに配置します。

* 新しく構築する AD LDS サーバーのワークグループ名を、既存のワークグループ環境の AD LDS サーバーと同じワークグループ名に設定します。

 

----------------------------------------

[F] 新規に構築する AD LDS サーバーで既存の AD LDS インスタンスのレプリカを作成する

----------------------------------------

1. 新規に構築する AD LDS サーバーにおいて、[管理ツール] から [Active Directory ライトウェイト ディレクトリ サービス セットアップ ウィザード] をクリックします。

2. [次へ] をクリックします。

3. [既存のインスタンスのレプリカ] を選択し、[次へ] をクリックします。

4. インスタンス名と説明を入力し、[次へ] をクリックします。

5. 使用する LDAP ポート番号と SSL ポート番号を入力し、[次へ] をクリックします。

6. [サーバー名] に既存の AD LDS サーバーのホスト名を入力し、[LDAP ポート番号] に既存の AD LDS インスタンスの LDAP ポート番号を入力し、[次へ] をクリックします。

7. [次のアカウント] を選択し、[ユーザー名] に <新規に構築する AD LDS サーバーのホスト名>\<手順 [E] で作成したユーザー名> を入力し、[パスワード] に手順 [E] で作成したユーザーのパスワードを入力し、[次へ] をクリックします。

8. アプリケーション ディレクトリ パーティションを選択し、[次へ] をクリックします。

9. データ ファイルとデータ回復ファイルを格納するパスを指定し、[次へ] をクリックします。

10. [次のアカウント] を選択し、[参照] をクリックします。

11. 手順 [E] で作成したユーザーを選択し、[OK] をクリックします。

12. [パスワード] に手順 [E] で作成したユーザーのパスワードを入力し、[次へ] をクリックします。

13. AD LDS の管理者権限を与えるユーザーを選択し、[次へ] をクリックします。

14. [次へ] をクリックします。

15. インスタンスの作成処理が開始されますので、処理が完了するまでお待ちください。

16. 処理が完了したら、[完了] をクリックします。

 

- 参考資料

Introduction to Administering AD LDS Replication and Configuration Sets

https://technet.microsoft.com/en-us/library/cc816622(v=ws.10).aspx