検証用お手軽ActiveDirectory環境をぽちぽちつくろう

こちらはYuruvent Advent Calendar 2025 7日目の記事です☃️

はじめに

用意されたものを触るのもいいですが、自分で用意することで新しい気付きがあったりします。
また、PowerShellやAnsibleを使えば楽ではありますがGUIでぽちぽちすることで「なんだこの項目」みたいな寄り道が発生したりして楽しかったりします。

ということで、Lets’ ぽちぽち！

想定読者

• Active DirectoryやWindows Serverの基礎を学びたい人
• 「Active Directoryの攻撃、知識では知ってるけど実際どういうものなのかよくわかってないです」みたいな人
• 「ハードニング参加するんですけど、AD触ったことないんすよね」みたいな人

このように、手軽にAD環境を構築して実際に触ってみたい方向けの内容です。

注意事項

• 本記事で作成する環境は学習や検証を目的とした構成です。実運用環境としてのセキュリティや冗長性は考慮していません。
• 本記事の内容は執筆時点の情報に基づいています。OSのバージョンや仕様変更により手順が変わる可能性があります。
• 本記事はあくまで安全性の向上や技術理解を目的としており、不正利用や悪用を助長するものではありません。
• 本記事の内容を利用して発生したいかなる問題や損害についても、筆者は一切の責任を負いかねます。利用は自己責任でお願いします。
• この記事を書いているのは実務経験のない学生です。Active Directoryを知り尽くしたプロではありません。変なことを言っている可能性はあります。

構成

ドメインコントローラー 1台、クライアント 1台 の超ミニマム構成です。
今回はドメインコントローラはWindows Server2025、クライアントはWindows11で、日本語版を使用する想定です。
ただし、Windows Server2022、Windows10 を使用してもほぼ同じ手順です。

事前準備

同じネットワーク上にまっさらなWindows Server2025、Windows11 を用意してください。
私はVMware Workstation Proを使用してVMを作成し、それぞれにホストオンリーのネットワークアダプタ（VMnet1）をさしておくことが多いです。

Windows Server はデスクトップエクスペリエンス、Windows11はProエディションなどのドメイン参加可能なものを用意してください。

ドメインコントローラ（DC）の設定

Windows Server から設定していきます。

基本設定

ここらへんはGUIでの操作は普段Windows使っている人であればわかりそうなのでPowerShell使っちゃいます

ホスト名の変更

PowerShellを管理者として実行し、以下のコマンドを実行する

Rename-Computer -NewName <DCのホスト名>

Rename-Computer -NewName "DC01"

必須ではないがわかりやすいように変えるのがおすすめです
再起動後に変更が適用されます
すぐにやらなくても大丈夫ですが、”必要な役割のインストール”の手順に入るよりも前の段階で再起動してください

IPアドレスの固定

アドレスはご自身の環境に合わせて設定してください（今回は 192.168.102.150）
ただし、固定はしてください

PowerShellを管理者として実行し、以下のコマンドを実行する

Get-NetAdapter -Name <アダプタ名> |
    New-NetIPAddress `
        -AddressFamily IPv4 `
        -IPAddress <割り当てたいIPアドレス> `
        -PrefixLength <プレフィックス長> `
        -DefaultGateway <ゲートウェイ（必要な場合）>

Get-NetAdapter -Name Ethernet0 | New-NetIPAddress -AddressFamily IPv4 -IPAddress 192.168.102.150 -PrefixLength 24

ipconfig コマンドを実行し、該当アダプタのセクションの IPv4 アドレス が指定したアドレスになっていたら成功です

ファイアウォールの設定

必須ではありませんがping応答するように設定します

PowerShellを管理者として実行し、以下のコマンドを実行する

Set-NetFirewallRule -DisplayGroup "ファイルとプリンターの共有" -Enabled True -Profile Domain

必要な役割のインストール

Active Directory ドメインサービスとDNS サーバーのインストールを行います

サーバーマネージャーを開く

役割と機能の追加をクリック

次へ

「役割ベースまたは機能ベースのインストール」を選択し、次へ

「サーバープールからサーバーを選択」にチェックが入り、DC用のホストが選択されていることを確認し、次へ

「Active Directory ドメインサービス」「DNSサーバー」を選択し、次へ


「Active Directory ドメインサービス」の選択時

「DNSサーバー」の選択時

特に何も追加で選択せず、次へ

次へ

次へ

「必要に応じて対象サーバーを自動的に再起動する」を選択し、次へ

待機です

しばらくするとこのような画面になります

「このサーバーをドメインコントローラーに昇格する」か「閉じる」をクリックします

ドメインコントローラーへの昇格

前画面で「このサーバーをドメインコントローラーに昇格する」を選択する

もしくはサーバーマネージャーのダッシュボード上部の 旗印 > 「このサーバーをドメインコントローラーに昇格する」をクリック


「新しいフォレストを追加する」を選択し、
ルートドメイン名を設定する

「フォレストの機能レベル」「ドメインの機能レベル」はご自身の用途に合わせて選んでください
こだわりがなければそのままでいいと思います
ドメインコントローラーの機能は「ドメインネームシステム（DNS）サーバー」「グローバルカタログ（GC）」にチェックを入れる

DSRMのパスワードを設定する（参考：ディレクトリ サービス復元モード (DSRM) で AD ノードにログオンするための管理者パスワードの設定）

そのまま次へ
警告が出ていますが全く新しく環境を作成するのであれば気にしなくて問題ないです

特にこだわりなければ表示されたNetBIOSドメイン名のまま次へ

そのまま次へ

そのまま次へ

#
# AD DS 配置用の Windows PowerShell スクリプト
#

Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath "C:\WINDOWS\NTDS" `
-DomainMode "Win2025" `
-DomainName "onigashima.local" `
-DomainNetbiosName "ONIGASHIMA" `
-ForestMode "Win2025" `
-InstallDns:$true `
-LogPath "C:\WINDOWS\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\WINDOWS\SYSVOL" `
-Force:$true

前提条件のチェックに合格していればインストール

勝手に再起動され、完成です

クライアントの設定

Windows11 を設定していきます。

基本設定

ホスト名の変更

PowerShellを管理者として実行し、以下のコマンドを実行する

Rename-Computer -NewName <クライアントのホスト名>

Rename-Computer -NewName "IT01"

Windows11はOSインストール時にホスト名を設定出来ると思うのでそこでやってもOKです
必須ではないがわかりやすいように変えるのがおすすめです
再起動後に変更が適用されます
すぐにやらなくても大丈夫ですが、”ドメイン参加させる” の前には再起動しておくのがおすすめです

IPアドレスの固定

必須ではなく、DHCPでも問題ありません
アドレスはご自身の環境に合わせて設定してください（今回は 192.168.102.160）

PowerShellを管理者として実行し、以下のコマンドを実行する

Get-NetAdapter -Name <アダプタ名> |
    New-NetIPAddress `
        -AddressFamily IPv4 `
        -IPAddress <割り当てたいIPアドレス> `
        -PrefixLength <プレフィックス長> `
        -DefaultGateway <ゲートウェイ（必要な場合）>

Get-NetAdapter -Name Ethernet0 | New-NetIPAddress -AddressFamily IPv4 -IPAddress 192.168.102.160 -PrefixLength 24

ドメイン参加のための設定

DNSサーバーの指定

コントロールパネルを起動し、以下のようにページを進める

コントロールパネル > ネットワークとインターネット > ネットワークと共有センター（ネットワークの状態とタスクの表示） > アダプターの設定の変更 > 目当てのアダプタ名（DCとの通信に使うもの）をダブルクリック > プロパティ > インターネットプロトコル バージョン４(TCP/IPv4) を選択し、プロパティ

優先DNSサーバーにドメインのDNSサーバ のIPを指定する（今回はDCと一緒に設定したものを使用するので 192.168.102.150 ）

ドメイン参加

設定を起動し、以下のようにページを進める

システム > バージョン情報 > デバイスの仕様 の ドメインまたはワークグループ
システムのプロパティというウィンドウが現れ、コンピューター名 というタブが表示される
変更 をクリックする

所属するグループとして ドメイン を選択、先ほど作成したドメイン名を指定し、OK

資格情報の入力を求められるのでドメインのユーザーの資格情報を入力する

成功したらようこそメッセージが出てきます

再起動を求められるので再起動すると、参加完了です！

DCからコンピューターオブジェクトが作成されていることが確認できる

[おまけ] トラブルシューティング

ドメイン参加したのに net user /domain できない！

拒否された！？って焦りますよね

しかし、胸に手を当てて考えてみてください
そのコマンドを実行しているのは誰ですか？
ドメインのユーザーですか？
心当たりがある方はサインアウトしてドメインのユーザーでサインインしましょう

ドメイン参加出来ない！

Homeエディションを使用している

Homeエディションはドメイン参加出来ません、ADを使用して家族のPCを管理する家族… 素敵ですがなかなかいないですよね多分
Proエディションを使用しましょう
（参考：Windows 11 の法人向けエディションを比較する、Windows 11 の比較、Windows 11 バージョンの比較 、法人向け Windows 11 エディションの比較）

「ドメイン名が正しく入力されていることを確認してください。」というエラーが出る

しかし正しく入力されている場合

まず、DCに通信が飛ばせるかを確認します
powershellなどを開いて ping <DCのIP> を実行します
応答が返ってきていたら通信は飛ばせてそうです
（返ってこない場合はDCのファイアウォールの設定が出来ていないか、ネットワークの設定がおかしいかもしれません（VMware なら同じアダプタが刺さっていないとか））
次はDNSの設定が出来ているかを確認します
nslookup <ドメイン名> を実行してみてください
解決出来なかった場合DNSの設定を見直してください

クローンを使用している

以前、既にドメインに参加しているマシンをクローンした際、SIDの重複が原因でドメイン参加に失敗した経験があります。
当時はホスト名を変更していたと思いますが、問題解決のために Sysprep を実行したというメモが残っています。
そのため、Sysprep の実行が確実な対処法だと思われます。
しかし本ブログの執筆にあたり、同様の状況を再現するためにクローンを作成しドメイン参加を試みたところ、問題なく成功しました。
なぜ成功したのか、成功しているように見えて問題が発生していないかは現時点で不明です。
以下、再現が出来なかった要因となりそうなポイントを挙げますが、以前の状況を完全には把握していないため推測です。

• クローンの作成方法の違い
• 失敗した際のマシンがドメインコントローラー（DC）のクローンだった可能性
• OSのバージョンやエディションの違い
• ホスト名の変更の有無

おわりに

作るだけであれば割と何も考えずにぽちぽちしてたら出来上がりますね。お手軽です。
本当はAD CSも使ったりしたかったのですが、思ったより長くなってしまったので、また分けて書きます🐟