小ネタ Active Directory RTA 用説明

2021年4月29日 インフラ勉強会で開催します。
https://wp.infra-workshop.tech/event/active-directory-rta01/

Youtube Liveで配信した内容です。

GCPで自分用のActive Directoryを構築してみよう

自分のRTA前に作業内容と、初心者の方向けの参考程度に書いておきます。
必要な箇所の + を開いてください。


はじめにお読みください

本書のターゲット
ADサーバを自分で立ててみたい人。ADサーバの検証環境を自分専用で欲しい人。
ActiveSirectory、ネットワークはなんとなく分かっている人
IaaSよくわからない、GCPなにそれ美味しいの?という位でもADをたててみたい人。
目的
GCPを使って個人的な検証用 ActiveDirectoryを構築する。
ここでは、基本設定のみを説明。その環境を使って、自身で勉強する場所にすることが目的。
ゴール
ADサーバ構築の基本的な進め方を覚える。短時間で構築する。
家からでも、どこからでも自分用の検証環境で遊べる。必要な時だけ起動するのでコストがかからない範囲

事前準備

必要なアカウント
Googleアカウント(GCP未使用アカウント)
GCPの無料クレジット有効化(クレジットカード登録が必要。課金されない範囲で作業する
今回作成する構成
拠点のようにネットワークを作成し、その中にWindows Serverを3台立てます。だいたいこんなです


ここから GCPの設定作業

GCPの初期設定
VPC作成(Virtual Private Cloud)、ネットワーク設定
今回は、default でのVPCをそのまま使いますので、設定不要です。
※ターゲットがGCP詳しくない人にしたので、ここは今回掘り下げない
GCPファイアーウォールルール設定(スキップ可)

※自宅のネットワークに固定IPがない場合は、とばしてください(普通ないか…)
今回は細かな設定はしません。仮想マシンへRDP出来るIPを自宅だけに設定します。
あくまで練習用プライベート、閉鎖されたネットワークを作成しています。
VPCにはデフォルトでFWの設定がされています。(外部からの通信を拒否、一部を許可)
RDPの通信が 0.0.0.0 で許可されているため、これを自宅のIPだけ許可設定に変更します。

VPCネットワーク > ファイアウォール > tcp:3389 の設定を開く

ファイアーウォール ルールの詳細 > 編集 を開く

ソースIPの範囲 > ここに自宅のIPがあれば、入力し他IPからの接続を不可にします。

インスタンス作成

VMインスタンス作成

マシンデプロイ(WIndows Server 2019:2台)

コンピューティング > Compute Engine > VM インスタンス を開く
今回はインスタンス作成は、同じRegionに作成します。

インスタンス作成 画面で名前、リージョン、ブートディスクを設定する

  • 名前は任意(例 study-ad01)
  • リージョンはサーバ2台共通にします。(例 asia-northeast1-a)
  • ブートディスク Windows Server, 2019 Datacenter (例 ディスク 100GB)

設定したら

OSの日本語化、キーボードの日本語化、タイムゾーン設定
このあたり参考↓


ここまでネットワーク周りの設定と、Windowsサーバをデプロイする作業でした。
この先からADサーバ、各種機能のインストール作業を行います。

ActiveDirectoryのインストール

ホスト名確認変更
任意でコンピュータ名を変更
コントロールパネル > システム

Administratorにパスワード設定

コントロールパネル > 管理ツール > コンピューターの管理 > ローカルユーザーとグループ > ユーザー
Administrator にパスワード設定して有効化しておく

Active Directory インストール作業

サーバーマネージャーを起動
管理 > 役割と機能の追加

開始する前に
次へ

インストールの種類
次へ

サーバーの選択 インストール作業しているサーバを選択
次へ

サーバーの役割
Active Directory Domain Services (ADDS)にチェック

役割と機能の追加ウィザード 画面
機能の追加

機能
デフォルトでGroup Policy Management にチェックがついてます
次へ

AD DS
次へ

インストール 実行

インストールが開始される
しばらく待ちます。

インストールが終わる
このサーバーをドメインコントローラーに昇格する がクリックできます
クリック

AD DS構成ウィザードが開く
新しいフォレストを追加する を選択
ルートドメインに任意のドメイン名を設定
次へ

ドメインコントローラオプション
DSRMのパスワード設定 ※これ本番では大事なパスワード

DNS オプション
⚠️がでます、そのまま 次へ

少し待ち時間です
次へ

次へ

次へ

前提条件のチェック 画面で⚠️がつきますが、
このままインストールする
このあと自動再起動され、完了


ActiveDirectory ドメインに参加、グループポリシーを適用

ドメイン参加

クライアント PC(例ホスト名:share-pc)をドメイン参加
前項目で作成したADサーバのIPは 10.146.0.7 でした。
share-pcのネットワーク設定でDNSはこのADサーバのIPへ向けます。

クライアントPC(ここでは代替えでWindowsサーバ且つ英語のままですが)を
コントロールパネル > システム ドメインへ参加させる。

ADサーバからも share-pc がドメイン参加したことを確認しましょう
Windows 管理ツール > Active Directory ユーザーとコンピューター
を開き、Computers の中をみるとドメイン参加したコンピュータを確認できます。


次に簡単なグループポリシーを新規作成し反映させます
Windows 管理ツール > グループポリシーの管理 を開く
ドメイン名の中に グループポリシーオブジェクト フォルダがあります。
この中にtest という名前のポリシーを作成


テスト用グループポリシー設定、反映確認
test ポリシーに以下を設定(フォルダをC:¥に作成する)
コンピューターの構成 > 基本設定 > フォルダー
フォルダー で右クリックし新規作成
アクション > 作成
パス > C:¥test

グループポリシーを設定した後、
test グループポリシーを ドメイン全体へ設定するため、
ここでは、 infra.com へ ドロップなどでリンクさせる


share-pc へ戻り、コマンドプロンプトで gpupdate
C:¥をみると、testフォルダが出来ています。
これでグループポリシー適用までの最低限の確認が完了です。