[Windows Server 2025] Acitve Directory プライマリーを構築、注意点も徹底解説

概要
準備
手順
補足

概要

本記事は、Windows Server 2025 の Acitve Directory を新規で構築してみた内容を記載しています。注意点なども記載しており、Windows Server 2025 ならではの機能も記載しているため、ぜひご一読を。

準備

まず Active Directory を構築する前に、準備をすることが大切です。
Active Directory を構築する前に、名前や IP アドレスなどを決めなければ、構築後にゴミがたまります。(最悪、プライマリーサーバーにアクセスできなくなる、ということもあります。)
そのため、必ず構築前に、準備を行ってください。

IP アドレス

IP アドレスを決定する前に、IPv6 を無効化するかどうかを決めかねる人が多いかと思います。
結論、IPv6 を無効化する作業は、Windows 既定のコンポーネントが動作しなくなる恐れもあるので、Microsoft 社から非推奨とされています。
ただし、デフォルトでは IPv6 が IPv4 よりも優先されています。

netsh interface ipv6 show prefixpolicies

netsh interface ipv6 show prefixpolicies

Ping を送ると、IPv6 からの応答になります。

そのため、こちらの記事を参考に以下コマンドを実行します。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" /v DisabledComponents /t REG_DWORD /d 0x20 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" /v DisabledComponents /t REG_DWORD /d 0x20 /f

実行後、再起動し、再度 Ping を実行します。

既定では、Windows は IPv4 アドレスよりも IPv6 グローバルユニキャストアドレスを優先します。

IPv6 または IPv6 コンポーネントを無効にしたり、インターフェイスから IPv6 をバインド解除したりすることはお勧めしません。その場合、一部の Windows コンポーネントが機能しない可能性があります。

IPV6 を無効にするのではなく、プレフィックスポリシーで [IPv6 よりも IPv4 を優先] を使用することをお勧めします。
高度なユーザー向けの IPv6 の構成 – Windows Server | Microsoft Learn

また、NAT 環境下では Microsoft 社は推奨していません。仮に NAT 環境で問題が発生し、Microsoft 社へ問い合わせ、その後 NAT に原因があったことが判明した場合、NAT のリプレースのみしか案内がされないです。

Active Directory は製品として NAT 環境下で利用されることを想定して設計および検証されていないという点が挙げられます。
そのため、NAT が存在する環境で問題が発生した際に、原因が NAT デバイスであった場合には、NAT を使用しない構成への変更以外の対処方法がご案内できない場合がございます。
上記の理由から、弊社では NAT 環境で Active Directory ドメインを構成することを、できる限り採用されないことをお勧めさせていただいております。
ドメインコントローラーの構築時に言われないと気付かないこと | Microsoft Japan Windows Technology Support Blog

また、複数の NIC に複数の IP アドレス、単一 NIC に複数 IP アドレスなどのマルチホームも Microsoft 社は推奨しておりません。

マルチホーム (複数の NIC もしくは 1 つの NIC に複数の IP アドレス) を正しく構成しないと、通信帯域が増加しなかったり冗長化できなかったりするばかりか、マルチホーム化しなければ可能だった通信が失敗してしまうこともあり得ます。このため、構成にはノウハウが必要です。また、製品やサービスによっては、マルチホーム構成を推奨していないものもあります。各サービスの特性を理解し、正しく構成することでマルチホームに起因する多くの問題は解決可能ですが、通信失敗など重大なトラブルが発生しやすくなることもご理解ください。
Windows Server におけるマルチホーム構成 | Microsoft Japan Windows Technology Support Blog

ようやく IP アドレスです。まず、被らない IP アドレスを決めます。これは DHCP サーバーなどを構築している場合など特に、ですが、IP アドレスの重複が起きると、認証が行えない、など重大なエラーが発生する恐れがあります。
また、”優先 DNS” サーバーも、DNS サーバーを必ず指定するようにしてください。指定をしない場合、AD 構築時、名前解決などができなくなる恐れがあります。
※プライマリーサーバーの場合、DNS サーバー、もしくはプロバイダーの指定 DNS にしてください。

プライマリーサーバーの場合、DNS サーバー、もしくはプロバイダーの指定 DNS

ホスト名

ホスト名は、必ず Active Directory を構築する前に、決定しておきます。
Active Directory 構築後、ホスト名を変更すると、レプリケーション等に重大な問題を引き起こす可能性があります。

公開情報に記載されている通り、FRS メンバーオブジェクトの名前が元のコンピューター名のままであると、各ドメインコントローラーは複製を行うメンバーの情報を正しく保持できないため、その後の移行作業等で SYSVOL の複製に失敗するといった影響がでる可能性があります。
ドメインコントローラーのコンピューター名の変更における注意事項について | Microsoft Learn

[システムのプロパティ] – [変更] より、”コンピューター名” は必ず事前に決めてください。

その他

Hyper-V で Active Directory を構築する場合、1点注意が必要です。
それは “時刻の同期” です。
Active Directory は、NTP サーバーを利用して FSMO で時刻同期を行います。仮に、Hyper-V を利用している環境で、ホスト・NTP サーバーとの時刻同期を行った場合、AD の時刻がよく変化していまい、レプリケーション等の問題が発生することがあります。
そのため、ホストの設定で、”時刻の同期” は無効化することをお勧めします。

仮想環境ではホスト OS と時刻同期を行う機能がございますが、ドメインコントローラーが NTP サーバーとホストの双方から時間を同期させた場合、ドメインコントローラーの時間が頻繁に変化する可能性があります。
そのため、ドメインコントローラーとして構成された仮想マシンでは、ホストとの時間の同期を無効にし、既定の Windows タイムサービス (W32time) ドメイン階層時間の同期を使用してください。
また、仮想環境の特性上、システム時刻が遅れやすくなっているため、時刻同期の間隔を短くするなどの対応を行うことも効果的です。
ドメインコントローラーの構築時に言われないと気付かないこと | Microsoft Japan Windows Technology Support Blog

手順

それでは、本編へ移りましょう。

1.[役割と機能の追加ウィザード] を起動し、[Acitve Directory ドメインサービス] を選択後、[次へ] をクリックします。
※[役割と機能の追加ウィザード] は記載する必要ないかと思いますので、省きます。

2.[機能の選択] では [次へ] をクリックします。

3.[Acitve Directory ドメインサービス] では、[次へ] をクリックします。

4.[インストールオプションの確認] では [インストール] をクリックします。

5.インストールが始まり [インストールの進行状況] にて、インストールが完了したのち [このサーバーをドメインコントローラーに昇格する] をクリックします。

6.[配置構成] では、この環境ではドメインコントローラーは構築されていないため [新しいフォレストを追加する] を選択し、[ルートドメイン名] を入力します。
ルートドメイン名については、.local を利用することは非推奨です。詳しくはこちらを参照してください。

7.[ドメインコントローラーオプション] ではディレクトリサービス復元モード (DSRM) のパスワードを入力します。
DSRM のパスワードは、ドメインが再起不能になった時など復旧する際入力する大事なパスワードです。忘れないようにしてください。

Windows Server 2025 からは、[フォレストの機能レベル]、[ドメインの機能レベル] が “Windows Server 2016” と “Windows Server 2025” のみになっております。

AD フォレスト、 AD LDS を Windows Server 2025 にて構築する際、Windows Server 2016 以上の機能レベルにしなければなりません。そのため、既存ドメインのドメイン機能レベルが 2016 未満の場合は、ドメインの機能レベルを上げてください。

AD フォレストまたは AD LDS の新しい構成セットには、Windows Server 2016 以上の機能レベルを与える必要があります。 AD または AD LDS レプリカの昇格には、既存のドメインまたは構成セットが既に Windows Server 2016 以上の機能レベルで実行されていることが必要になります。
Windows Server 2025 の新機能 | Microsoft Learn

ちなみに、新しく機能レベルが出たと思い、Windows Server 2019 と Windows Server 2022 からも設定できるかと思いましたが、Microsoft は出さないと公式で発表しました。

Microsoft には、Windows Server 2019 と Windows Server 2022 の機能レベルを新しく入れ替える予定はありません。
Windows Server 2025 の新機能 | Microsoft Learn

8.[DNS オプション] では [次へ] をクリックします。

9.[追加オプション] では [次へ] をクリックします。

10. [パス] では [次へ] をクリックします。

11.[オプションの確認] では [次へ] をクリックします。

12.[オプションの確認] にて数分待ち [インストール] をクリックします。

13. インストールが完了後、コンピューターは自動的に再起動されます。

14.再起動後、ログインするときは、”NetBIOSドメイン名\ユーザー” となっていることを確認してください。例えば、ただの Administrator となっている場合、ローカルアカウントへのログインを意味しています。

15.セカンダリーサーバーを構築する場合は、こちらの記事を参考にしてください。

補足

Active Directory を利用する中で、Active Directory のごみ箱の有効化はやっておいた方がいいです。
誤って削除してしまったオブジェクトを復元できるほか、アクセス権などもそっくりそのまま復元できます。

Active Directory のごみ箱を使用すると、誤って削除された Active Directory オブジェクトを保持および回復できます。 Active Directory のごみ箱を有効にすると、削除された Active Directory オブジェクトのすべてのリンク値属性と非リンク値属性が保持されます。つまり、オブジェクト全体を、削除直前と同じ一貫した論理状態に復元できます。たとえば、復元されたユーザーアカウントは、削除される直前に保持していた所属するドメイン内外のすべてのグループメンバーシップと、それに対応するアクセス権を自動的に回復します。
Windows Server で Active Directory のごみ箱を有効にする | Microsoft Learn

1.”サーバーマネージャー” を開き、[ツール] – [Active Directory 管理センター] を開きます。