この連載では，Windows Server 2003を導入・構築・運営する手順を紹介している。前回まではWindows 2003をNTドメイン環境のメンバー・サーバーとして導入する方法を解説した。今回は，Windows 2003を使ってドメイン環境を新規に構築する手順を紹介しよう。

△　図表をクリックすると拡大されます 図1●Windowsのドメインに関する基礎知識

　Windowsのドメインは，複数のコンピュータをまとめたグループを作り，グループに所属するコンピュータのどれにもログオンできる共通のアカウントを用意する仕組みが出発点になっている。グループの名前がドメイン名で，ドメインを構築するには，ドメインのアカウント・データベースを保持するドメイン・コントローラ（DC）という種類のサーバーを最低1台用意する必要がある（図1）。ドメインを新規に構築するには，このDCをセットアップすればよい。

　Windowsのドメインは，Windows 2000 Serverで大きく変化した。NT Server 4.0までのドメインは，Windows独自の機能で実現されていた。Windows 2000からはNTドメインとの互換性を維持しつつ，インターネット標準技術を積極的に取り入れ，「Active Directory（AD）」という本格的なディレクトリ・サービスになっている。Windows 2003のドメインは，Windows 2000と基本的な仕組みは同じでやはりADであるが，数々の改良が施されている。今回は，Active Directoryの基本知識を解説しながら，Windows 2003でDCを新規に構築する流れを追っていこう。

DNSサーバーやDNSのドメイン名を用意
　前述のようにWindows 2003のADドメインは，NTドメインとは仕組みが違う。新しくADドメインを構築するためにはいろいろな準備が必要になる。主なものを以下に挙げる。

(1)DNSサーバーとドメイン名を用意
　ADドメインでは名前解決やコンピュータの役割の記録にインターネット標準技術のDNS（Domain Name System）＊を利用する。従って，AD環境を構築する際にDNSサーバーは不可欠になっている。ADで利用するDNSサーバーは，以下の機能をサポートしている必要がある。

●SRVレコード（必須）
●動的更新（強い推奨）
●増分ゾーン転送（強い推奨）

　Windows 2000 ServerおよびWindows Server 2003に付属するDNSサーバーは上記の条件を満たしている。UNIX系のDNSサーバーであるBINDを使用する際は，BIND 8.2.2以降のバージョンを利用することが推奨される。これらの要件を満たすDNSサーバーが既存の環境にない場合は，Windows 2003のDCのセットアップと同時にDNSサーバーをセットアップするとよい。

△　図表をクリックすると拡大されます 図2●Active Directoryドメインの設計要素

(2)ADインフラストラクチャの設計
　ADドメインはNTドメインとは異なり，大規模なネットワークに対応する機能が盛り込まれている（図2）。複数のドメインを信頼関係と呼ぶ設定で関連付けることにより階層構造で管理するフォレストが構成できることや「domain1.testdom.com」のようにDNSの階層構造のドメイン名をWindowsのドメイン名として使うなどだ。ADの機能を発揮できるように，以下の項目に関する検討・決定が必要である。

●フォレストの計画（シングルツリー・フォレストか，マルチツリー・フォレストか，フォレスト・ルート・ドメインの名前は何にするのか）
●ドメインの計画（シングルドメインか，マルチドメインか）
●DNS名前空間の計画（インターネット上に公開しているDNSドメイン名がある場合，そのDNSドメイン名とADのフォレスト・ルート・ドメインの名前を一致させるか，委任ゾーンを作成してサブドメインにするか）

(3)サイトの計画
　サイトとは，ADドメインで通信量を管理するための単位である。一般にADのネットワークが単一拠点内にまとまっているか，複数拠点に分散して拠点間をWAN（ワイド・エリア・ネットワーク）で接続しているかで分ける。

(4)OU（組織単位）の計画
　ADドメインでは，OUというドメイン内の論理的なサブグループを作成することで，NTドメインでは不可能だったドメイン内のきめ細かい管理が可能になっている。この機能を有効に利用するためには，OUの構造と管理権限の委任方法，OUに設定するグループ・ポリシー・オブジェクト＊（GPO）という設定項目について事前に検討しておかなければならない。

　本格的にADを構築する際には上記の各項目について，事前に検討しておかなければNTドメインに対するADの優位な機能を有効活用することはできない。ただし，今回はテスト用として，新たに「testdom.local」というルート・ドメインを1つ立ち上げ，DNSサーバーも同じコンピュータ上に同時にセットアップするというシナリオに沿って進めていこう。

改良されたdcpromoをDCのセットアップに使う
　Windows Server 2003はNT 4.0と異なり，OSをインストールするときに最初からDCとしてセットアップすることはできない。一度，ドメインに所属しないスタンドアロン・サーバーか既存のドメインに所属するメンバー・サーバーとして構成して，その後に「dcpromo」というツールを利用してDCに「昇格」（DC機能を追加）するという流れになる。

　スタンドアロン・サーバーとしてWindows 2003を構成する方法は連載第1回で掲載したものと同じである。DCへの昇格は，第2回で取り上げた「サーバーの役割管理」でも行うことができるが，「dcpromo」を利用したほうがウィザードの手順が明確で分かりやすい。

△　図表をクリックすると拡大されます 図3●Active Directory用のDNSサーバーを指定する

　また今回はDCとしてセットアップするWindows 2003上でDNSサーバーも稼働させる。Windows 2003をDNSサーバーとして利用する場合は，TCP/IPのパラメータを手動で設定しなければならない。既定ではDHCP（Dynamic Host Configuration Protocol）クライアントになっているので，必ずこの設定を変更する。手順は以下の通りだ。

●［コントロールパネル］－［ネットワーク接続］から［ローカルエリア接続］のプロパティを開き，［インターネットプロトコル（TCP/IP）］のプロパティを開く。
●［次のIPアドレスを使う］を選択して，IPアドレスとサブネット・マスクを設定する。既存のネットワーク環境と通信可能にする場合は，既存のネットワークで使用しているのと同じネットワーク・アドレスとサブネット・マスクなどを設定する。［優先DNSサーバー］には，前述した条件を満たすActive Directory用のDNSサーバーを指定する（図3）。今回は自分自身がDNSサーバーになるのでそのIPアドレスを設定している。