こんにちは、Windows プラットフォームサポートの小幡です。
今回はワークグループ環境の Active Directory ライトウェイト ディレクトリ サービス (AD LDS) サーバー間でレプリケーションさせるための設定手順について紹介します。
Active Directory ドメイン環境に参加している AD LDS サーバー間でレプリケーションさせる場合とは異なり、下記のような前提条件が存在するため注意が必要です。
- 各 AD LDS サーバー上に同名、同パスワードのローカル ユーザーを作成し、そのユーザーをインスタンスのサービス アカウントとして設定する必要がある。
- 各 AD LDS サーバーを同一のネットワーク セグメントに配置する必要がある。(別々のネットワーク セグメントに配置する場合には、ドメイン環境が必要です。)
- 各 AD LDS サーバーのワークグループ名を同一にする必要がある。
下記に既存のワークグループ環境の AD LDS サーバーに対し、レプリケーション パートナーを追加するための具体的な設定手順を案内します。
- 手順概要
[A] 既存のワークグループ環境の AD LDS サーバーで新規ユーザーを作成する
[B] 新規に作成したユーザーに [サービスとしてログオン] のユーザー権利を与える
[C] 新規に作成したユーザーをインスタンスのサービス アカウントとして設定する
[D] 新規に作成したユーザーを AD LDS 管理者に追加する
[E] 新しく構築する AD LDS サーバーの準備をする
[F] 新規に構築する AD LDS サーバーで既存の AD LDS インスタンスのレプリカを作成する
----------------------------------------
[A] 既存のワークグループ環境の AD LDS サーバーで新規ユーザーを作成する
----------------------------------------
1. 既存のワークグループ環境の AD LDS サーバーにログオンします。
2. [ファイル名を指定して実行] から"lusrmgr.msc" を実行します。
3. 左ペインの [ユーザー] を右クリックし、[新しいユーザー] をクリックします。
4. [ユーザー名] に任意のユーザー名を入力し、パスワードを入力します。
5. [ユーザーは次回ログオン時にパスワードの変更が必要] のチェック ボックスをオフにします。
6. [パスワードを無期限にする] のチェック ボックスをオンにします。
7. [作成] をクリックします。
8. [閉じる] をクリックします。
9. 左ペインの [グループ] をクリックします。
10. 右ペインの [Administrators] を右クリックし、[グループに追加] をクリックします。
11. [追加] をクリックします。
12. 手順 3 ~ 7 で作成したユーザーを選択し、[OK] をクリックします。
13. [OK] をクリックします。
----------------------------------------
[B] 新規に作成したユーザーに [サービスとしてログオン] のユーザー権利を与える
----------------------------------------
1. 既存のワークグループ環境の AD LDS サーバーにおいて、[ファイル名を指定して実行] から"gpedit.msc" を実行します。
2. 左ペインのツリーを [コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [ユーザー権利の割り当て] の順に展開します。
3. 右ペインの [サービスとしてログオン] を右クリックし、[プロパティ] をクリックします。
4. [ローカル セキュリティの設定] タブの [ユーザーまたはグループの追加] をクリックします。
5. 手順 [A] で作成したユーザーを選択し、[OK] をクリックします。
6. [OK] をクリックします。
----------------------------------------
[C] 新規に作成したユーザーをインスタンスのサービス アカウントとして設定する
----------------------------------------
1. 既存のワークグループ環境の AD LDS サーバーにおいて、コマンド プロンプトを起動します。
2. カレント ディレクトリを %WINDIR%\ADAM へ移動させます。
3. net stop <インスタンス名> を実行し、インスタンスのサービスを停止します。
4. dsdbutil と入力し、Enter を押します。
5. activate instance <インスタンス名> を実行します。
6. change service account <手順 [A] 作成したユーザー名> <手順 [A] で作成したユーザーのパスワード> を実行します。
7. quit を実行します。
8. net start <インスタンス名> を実行し、インスタンスのサービスを起動します。
----------------------------------------
[D] 新規に作成したユーザーを AD LDS 管理者に追加する
----------------------------------------
1. 既存のワークグループ環境の AD LDS サーバーにおいて、[ファイル名を指定して実行] から"adsiedit.msc" を起動します。
2. 左ペインのツリーに表示されている [ADSI エディター] を右クリックし、[接続] をクリックします。
3. [既知の名前付けコンテキストを選択する] から [構成] を選択します。
4. [ドメインまたはサーバーを選択または入力する] を選択し、下のテキスト ボックスに localhost:<インスタンスのポート番号> を入力します。
5. [OK] をクリックします。
6. 左ペインのツリーを [ADSI エディター] - [構成 [localhost:<ポート番号>]] - [CN=Configuration,CN={<DN>}] - [CN=Roles] の順に展開します。
7. 右ペインの [CN=Administrators] を右クリックし、[プロパティ] をクリックします。
8. [属性エディター] 列から [member] を探し、その行をダブルクリックします。
9. [Windows アカウントの追加] をクリックします。
10. 手順 [A] で作成したユーザーを選択し、[OK] をクリックします。
11. [OK] を 2 回クリックします。
----------------------------------------
[E] 新規に構築する AD LDS サーバーの準備をする
----------------------------------------
前述の手順を参照していただき、新しく構築する AD LDS サーバー側の準備を行います。
* 手順 [A] を参照して、新しく構築する AD LDS サーバーにも、手順 [A] で作成したユーザーと同じ名前、パスワードの新規ユーザーを作成します。また、そのアカウントを新しく構築する AD LDS サーバーの Administrators グループに追加します。
* 手順 [B] を参照して、新しく構築する AD LDS サーバーにおいても、新しく作成したユーザーに [サービスとしてログオン] のユーザー権利を与えます。
* [役割の追加] から [Active Directory ライトウェイト ディレクトリ サービス] をインストールしておきます。
* 新しく構築する AD LDS サーバーを、既存のワークグループ環境の AD LDS サーバーと同じネットワーク セグメントに配置します。
* 新しく構築する AD LDS サーバーのワークグループ名を、既存のワークグループ環境の AD LDS サーバーと同じワークグループ名に設定します。
----------------------------------------
[F] 新規に構築する AD LDS サーバーで既存の AD LDS インスタンスのレプリカを作成する
----------------------------------------
1. 新規に構築する AD LDS サーバーにおいて、[管理ツール] から [Active Directory ライトウェイト ディレクトリ サービス セットアップ ウィザード] をクリックします。
2. [次へ] をクリックします。
3. [既存のインスタンスのレプリカ] を選択し、[次へ] をクリックします。
4. インスタンス名と説明を入力し、[次へ] をクリックします。
5. 使用する LDAP ポート番号と SSL ポート番号を入力し、[次へ] をクリックします。
6. [サーバー名] に既存の AD LDS サーバーのホスト名を入力し、[LDAP ポート番号] に既存の AD LDS インスタンスの LDAP ポート番号を入力し、[次へ] をクリックします。
7. [次のアカウント] を選択し、[ユーザー名] に<新規に構築する AD LDS サーバーのホスト名>\<手順 [E] で作成したユーザー名> を入力し、[パスワード] に手順 [E] で作成したユーザーのパスワードを入力し、[次へ] をクリックします。
8. アプリケーション ディレクトリ パーティションを選択し、[次へ] をクリックします。
9. データ ファイルとデータ回復ファイルを格納するパスを指定し、[次へ] をクリックします。
10. [次のアカウント] を選択し、[参照] をクリックします。
11. 手順 [E] で作成したユーザーを選択し、[OK] をクリックします。
12. [パスワード] に手順 [E] で作成したユーザーのパスワードを入力し、[次へ] をクリックします。
13. AD LDS の管理者権限を与えるユーザーを選択し、[次へ] をクリックします。
14. [次へ] をクリックします。
15. インスタンスの作成処理が開始されますので、処理が完了するまでお待ちください。
16. 処理が完了したら、[完了] をクリックします。
- 参考資料
Introduction to Administering AD LDS Replication and Configuration Sets
http://technet.microsoft.com/en-us/library/cc816622(v=ws.10).aspx