AD(Active Directory )とは
AD(Active Directory)とはネットワーク上のユーザやコンピューターを一元管理する『巨大な名簿を持った司令塔』的なものです
会員制の高級ホテルな感じで
宿泊者(ユーザー)が来たら身分証が会員名簿にあるか確認して、ある場合は鍵(チケット)を渡します。
鍵(チケット)があれば、自分の部屋だけでなく、ラウンジやプール(共有ファイルサーバやプリンターなど)も自由に使えるようになります。
またこの宿泊者にはプールは使わせないなども出来ます。
ADへのドメイン参加とは
会社など同一のドメイン管理しているドメインコントローラへ仲間入りして管理下に入る事です。
ホテルに事前に予約して会員名簿に名前を作ってもらい
ユーザはそのホテルに宿泊できるように鍵を貰いに行く行為みたいなものです。
ドメイン参加の流れ
ドメイン参加したいPCで名前解決ができることを確認
参加したいドメインの名前解決ができることが絶対です
初期セットアップの PC は『WORKGROUP』なので、ドメイン参加を行います
設定 > システム > バージョン情報 > ドメインまたはワークグループ を選択
これでも可能です
キーボードで 「Win + R キー」 を同時に押す
ファイル名を指定して実行で【sysdm.cpl】を記載してOK
システムプロパティ
変更 を選択
ユーザ名とパスワードを指定
※ここでのユーザとパスワードはADサーバにドメイン参加させられることが条件なので、ADサーバの管理者ユーザとパスワードを指定します。
PCのユーザ名ではないので注意
(デフォルト設定では一般ユーザでも 10 台までなら参加させることができますが、失敗の恐れがあるので管理者で実行をお勧めします)
指定したドメインに参加出来たら、右記が表示
ドメイン参加したら再起動が必要なので、再起動の準備が出来たら再起動します
ログイン画面が表示されたら、ADに登録されているユーザとパスワードを指定
サインイン先がドメインになっていることを確認
上記でログイン出来ていれば問題無いですが、確認したい場合はシステムのプロパティでドメインが
WorkGroup → 指定ドメイン
に変わっていることを確認
コマンドプロンプトで確認
確認コマンドはこちらを参考
ドメイン参加が出来ない場合
①
Home エディションの場合
残念ながら、Windows Home(家庭用)はドメイン参加に対応していません。
ボタンがグレーアウトし、クリックできないようになっています。
Pro / Enterprise / Education の場合
通常は選択可能ですが、もしグレーアウトしているなら、ネットワークアダプターが無効になっているか、ライセンス認証が完了していない可能性があります。
②名前解決ができない
ドメイン参加したいPCでドメインの名前解決が出来ないとドメイン参加できないので、DNSサーバの指定を確認してください。
③時刻のズレ
ドメイン参加に使用するフローで使用するKerberosは時刻差5分以内でないと失敗するので、ADサーバとPCの時間を確認してください
④名前の重複
同じコンピューター名が既にAD上に存在しており、上書きする権限がないと失敗します。
権限がある場合は上書きされてしまうので注意
⑤資格情報の入力ミス
入力した管理者ユーザー名やパスワードが間違っていないか確認してください。
⑥疎通不可
ドメイン参加にはいろんなプロトコルが使われるので、途中にファイヤーウォールなどがある場合は下記のプロトコルが解放されているか確認してください。
| プロトコル | ポート番号 | TCP/UDP |
| DNS | 53 | TCP/UDP |
| Kerberos | 88 | TCP/UDP |
| LDAP/CLDAP | 389 | TCP/UDP |
| LDAPS | 636 | TCP |
| SMB | 445 | TCP |
| RPCエンドポイントマッパ | 135 | TCP |
| 動的RPCポート | 49152-65535 | TCP |
| NTP | 123 | UDP |
コメント