[Windows Server 2016]AD構築(ドメインコントローラー昇格)の際の必要手順


こんにちは。BIGLOBEクラウドホスティング技術担当のタカダです。

2018/3/20より、待望のWindows Server 2016版の業務サーバパックがリリースされました。

セキュリティ強化方針に伴い、BIGLOBEクラウドホスティングでのWindows Server 2016は、Windows Server 2012 R2と比較して、主に以下の仕様の変更点があります。
※2018/7/25より、Windows Server 2012 R2も以下の仕様に変更となりました。


Windows Server 2012 R2 版

サーバ作成完了時に、ビルトインAdministratorアカウント(ローカルAdministratorアカウント)が払い出され、初期パスワードはシステムにて、ランダムに設定される。

Windows Server 2016 版
Windows Server 2012 R2 版(2018/7/25以降作成)

サーバ作成完了時は、ビルトインAdministratorアカウント(ローカルAdminitratorアカウント)は無効化され、コントロールパネルにてお客様にてアカウント名とパスワードを任意にお決めいただくAdministratorsグループ所属の管理者アカウントが払い出される。


この仕様変更の背景には、過去のブログでご紹介したサーバ乗っ取りセキュリティ対策の一環も含まれています。

この仕様変更に伴い、特にAD構築(ActiveDirectoryの構築)が必須となっている奉行シリーズをご利用されているユーザ様には、Windows Server 2016 版、及びWindows Server 2012 R2 版(2018/7/25以降作成)でAD構築を行う際には、以下の手順を踏んでいただく必要があります。

具体的には、サーバ作成時の管理者アカウントにて、「ドメインコントローラーの昇格」を行う”前”に、無効化されているビルトインAdministratorアカウント(ローカルAdministratorアカウント)にパスワードを設定する必要があります。

以下、参考手順をご紹介します。

1.OSにログインし、左下のスタートボタンで、右クリックをするとメニューが表示されますので、「コンピューターの管理(G)」をクリックします。

2.「コンピュータの管理」の左メニューから「ローカルユーザとグループ」-「ユーザ」を選択し、表示されたユーザー一覧上のAdministratorを右クリックして、「パスワード変更」をクリックします。

3.Administratorのパスワードに関する確認画面が表示されますので、一読の上、「続行(P)」をクリックします。

4.Administratorのパスワード設定画面が表示されますので、任意のパスワードを入力します。ここで設定するパスワードがドメインでのAdministratorのパスワードになります。

5.パスワードの入力が完了したら、「OK」ボタンをクリックします。

6.「パスワードは設定されました」という画面が表示されたら、「OK」ボタンをクリックします。

以上で、設定作業は完了です。とても簡単です。

なぜ、このような設定が必要なのか疑問に感じた方もいらっしゃると思いますが、理由はドメインコントローラーの昇格に関する前提条件をクリアする必要があるためです。

新しいドメインを作成する場合、ローカルのAdministratorアカウントがドメインのAdministratorアカウントになります。ローカルのAdministratorアカウントのパスワードが要件を満たさない場合、新しいドメインを作成することができません。クラウドホスティングが提供するWindows Server 2016及びWindows Server 2012 R2(2018/7/25以降作成)は、ローカルAdministratorアカウントが無効化の状態、つまりパスワードが空白の状態となっているため、パスワードを設定せずに、ドメインコントローラーの昇格をしようとするとパスワード要件が満たせずにエラーとなります。

参考までに、ドメインコントローラー昇格時の前提条件のチェックににて、失敗時と成功時の画面の内容を掲載します。

<失敗した場合>

<成功した場合>

以上です。

BIGOBEクラウドホスティングを今後ともよろしくお願いいたします。

お問い合わせ

phone

カテゴリー: 技術情報 パーマリンク