Oracle Cloud InfrastructureのActive Directoryドメイン・サービスの作成 クイック・スタート

ORACLE WHITE PAPER | 2019年1月

2 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

免責事項 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供

を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。マテリアルや

コード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う

際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリー

スおよび時期については、弊社の裁量により決定されます。

改訂履歴 このホワイト・ペーパーには、初版発行以来、次の改訂が加えられています。 更新日

改訂内容

2019年1月9日 初版発行

Oracle Cloud Infrastructureホワイト・ペーパーの最新版は、

https://cloud.oracle.com/iaas/technical-resourcesで確認できます。

3 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

目次 概要 4

前提条件 4

ネットワーク環境の設定 5

VCNの作成 6

NATゲートウェイの作成 6

プライベート・セキュリティ・リストの作成 6

プライベート・ルート表の作成 6

セキュリティ・リスト・ルールの作成 7

サブネットの作成 8

踏み台ホストの作成 8

Windowsインスタンスの作成 8

フォレストとドメイン・コントローラの構成 9

プライマリ・ドメイン・コントローラの作成 10

2つ目のドメイン・コントローラの追加 16

新しいホストの追加 19

結論 22

リファレンス 23

付録A：ActiveDirectoryInit.ps1 23

付録B：ActiveDirectoryInit2.ps1 25

付録C：AddComputer.ps1 26

付録D：NewComputer.ps1 26

4 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

概要 Active Directory Domain Servicesは、ID管理のための実績あるソリューションです。Oracle Cloud Infrastructureは、Active Directoryフォレストを作成したり、現在ご使用のADフォレストを拡張し

たりするのに役立ちます。このホワイト・ペーパーでは、Oracle Cloud Infrastructureテナンシ内

でActive Directory環境を作成するプロセスについて説明します。2つのドメイン・コントローラを

インストールし、1つはアクティブ、1つは読み取り専用にしたうえで、それぞれを異なる可用性

ドメインに配置することで冗長性を確保します。3つ目のシステムは、テスト・サーバーとして使

用します。これを使用して、Oracle Cloud Infrastructure内に設定されたドメインに参加できるこ

とと、ログインできることを確認します。 このドキュメントでは、次の情報を提供します。

• Active Directoryサーバーのデプロイを自動化する方法

• シンプルなActive Directory環境の構築とドメインへの参加に関するベスト・プラクティス

• Oracle Cloud Infrastructure環境でのデプロイを自動化するために使用できる

スクリプト

以下のトピックは対象外であるため、このホワイト・ペーパーでは説明していません。

• Active Directoryのデザインとトポロジ

• 大規模なフォレスト、ツリー、およびリーフのデザイン

• グループのポリシーとポリシー管理

前提条件 このホワイト・ペーパーで説明されている操作を実行するには、ルート以外のコンパートメント

が必要です。

また、Oracle Cloud Infrastructureに関する基本知識に精通している必要があります。本プラット

フォームを初めてご使用になる場合は、スタートガイドのチュートリアルに目を通すことをお薦

めします。

また、Active Directoryのコンセプトに関する基本的な理解も必要です。

5 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

ネットワーク環境の設定 次の図は、このホワイト・ペーパーで説明している環境のコンポーネントを図示したものです。

ベスト・プラクティス：ドメイン・コントローラは、外部からインターネットを通じてアクセスできない

ようにしてください。Active Directoryなどのドメイン・アセットやアプリケーション・サーバーに対して

は、それぞれ個別のサブネットを作成するようにしてください。

踏み台ホストは、Active Directoryドメイン・コントローラのRemote Desktop Protocol（RDP）ポートがインターネットに公開されないようにしながら、環境にアクセスするために使用されま

す。RDPセッションは、踏み台ホストへのSSH接続を通じてトンネル化されます。（図に示した）

個々のサブネットは、後述のステップで作成する、プライマリおよびセカンダリ・ドメイン・コ

ントローラをホストするために使用されます。サブネットは可用性ドメインに関連付けられるた

め、各ドメイン・コントローラは異なる可用性ドメイン内に配置されます。これにより、可用性

ドメインの問題に対して回復性のあるActive Directoryドメイン構造が作成されます。後述の例で

は、仮想クラウド・ネットワーク（VCN）のIP空間として、10.0.0.0/16が使用されています。

ベスト・プラクティス：Oracle Cloud Infrastructureコンポーネントの名前を付ける際には、なるべく説明

的な名前を付けるようにしてください。説明的な名前を付けることで、後で環境に再度アクセスする必要

が生じた際に、識別がしやすくなります。

6 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

VCNの作成 Oracle Cloud Infrastructureコンソールを使用して仮想クラウド・ネットワーク（VCN）と、関連

するリソース（踏み台ホストのインターネット・ゲートウェイ、パブリック・ルーティング表、

およびパブリック・サブネットのセキュリティ・リストなど）を作成します。2つのパブリック・

サブネットが追加で作成されますが、この環境では使用されません。後続のセクションでは、環

境のプライベート・セグメント用のネットワーキング・リソースがさらに作成されます。 次のVCNと関連リソースを作成します：vcn01 NATゲートウェイの作成 NATゲートウェイを作成して、プライベートIPアドレスしかないインスタンスがインターネッ

ト・リソースにアクセスできるようにします。 次のNATゲートウェイを作成します：nat-gateway プライベート・セキュリティ・リストの作成 後述のステップでサブネットを作成する際には、セキュリティ・リストを選択する必要がありま

す。ここでは、空のセキュリティ・リストを作成し、後のステップでルールを追加します。

次のセキュリティ・リストを作成します：Production - Active Directory プライベート・ルート表の作成 プライベート・サブネット用に使用するルート表を作成します。プライベート・サブネットは、

VCN内の他のプライベート・サブネットへと自動的にルーティングできます。作成したNATゲー

トウェイは、このルート表によって、すべてのインターネット宛先用に使用されます。これによ

り、プライベートIPアドレスしかないインスタンスが、インターネット・リソースにアクセスで

きるようになります。 nat-gatewayへの0.0.0.0/0ルートを使用して、次のルート表を作成します。

名前

ターゲット・タイプ

宛先CIDRブロック

ターゲット選択

Production - Active Directory - NAT

NATゲートウェイ 0.0.0.0/0 nat-gateway

7 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

セキュリティ・リスト・ルールの作成 Active Directoryでは、通信にいくつかのプロトコルが使用されます（RPC、NetBIOS、SMB、LDAP、Kerberos、WINS、DNSを含む）。お客様の構成では一部しか使用されないかもしれませ

んが、ここではすべてのプロトコルをリストします。ご使用の環境で使用されないプロトコル

（たとえば、WINS）がある場合は、それらをリストから削除することもできます。

ベスト・プラクティスとして、すべてのドメイン・コントローラは、外部IPアドレスがないか、

インターネットからのアクセスがないサブネット内に配置するようにしてください。そうした場

合、すべてのポートで、サブネットとActive Directoryサブネット間の通信を有効にしたい場合も

あるでしょう。ただし、その場合でも、それらのサブネットからの潜在的な攻撃パスは開かれる

ことになるので注意が必要です。したがって、サブネット間では次のポートだけを開くのがベス

ト・プラクティスとなります。 名前

プロトコル

ポート

RDP TCP 3389

DNS TCP、UDP 53

LDAP TCP、UDP 389

LDAP over SSL TCP 636

グローバル・カタログLDAP TCP 3268

グローバル・カタログLDAP over SSL TCP 3269

Kerberos TCP、UDP 88

RPCエンドポイント・マッパー TCP、UDP 135

NetBIOSネーム・サービス TCP、UDP 137

NetBIOSデータグラム・サービス UDP 138

NetBIOSセッション・サービス TCP 139

SMB over IP（Microsoft-DS） TCP、UDP 445

WINS解決 TCP、UDP 1512

WINSレプリケーション TCP、UDP 42

Production - Active Directoryセキュリティ・リストにイングレス・ルールを作成して、新しい

Active Directoryサブネットに対する必要なポート通信を可能にしてください（2つのドメイン・コ

ントローラ・サブネット間でトラフィックをやり取りできるようにするには、これらのルールが

存在している必要があります）。

8 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

サブネットの作成 先ほども述べたように、プライベート・サブネットは少なくとも2つ必要です（3つ目の可用性ド

メイン内の3つ目のサブネットは、Active Directory環境の可用性をさらに高めるために使用できま

す）。 次のサブネットを作成します。

名前 可用性 ドメイン

CIDRブロック

ルート表

セキュリティ・リスト

Production - Admin - PHX-AD-1

PHX-AD-1 10.0.10.0/24 Production - Active Directory - NAT

Production - Active Directory

Production - Admin - PHX-AD-2

PHX-AD-2 10.0.20.0/24 Production - Active Directory - NAT

Production - Active Directory

Production - Application - PHX-AD-2

PHX-AD-2 10.0.100.0/24 Production - Active Directory - NAT

Production - Active Directory

踏み台ホストの作成 踏み台ホストは、Active Directory環境にアクセスするために使用されます。これにより、RDPセッションがSSHトンネルによってトンネル化され、セッションが保護されます。踏み台ホスト

の詳細については、『Bastion Hosts：仮想クラウド・ネットワークのための保護されたアクセス』

ホワイト・ペーパーを参照してください。

次の情報を使用して、踏み台ホストを作成します。

名前

イメージ

シェイプ

可用性ドメイン

サブネット

Bastion Oracle Linux 7.5 VM.Standard2.1 PHX-AD-1 パブリック・サブ

ネットPHX- AD-1

Windowsインスタンスの作成 このホワイト・ペーパーの例では、3つのWindows Server 2016インスタンスが使用されています。

2つはActive Directoryドメイン・コントローラ用に使用され、3つ目は、新しいホストとしてドメ

インに参加するために使用されます。次のセクションでインスタンスを作成する際には、次のプ

ロパティを使用します（このホワイト・ペーパーで使用されているシェイプは、推奨のシェイプ

です。必要に応じてスケールを拡張または縮小してください）。

9 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

名前

イメージ

シェイプ 可用性ドメイン

サブネット

WS16WAD3001 Windows Server 2016 Standard VM

VM.Standard2.1 PHX-AD-1 Production - Admin - PHX- AD-1

WS16WAD4001 Windows Server 2016 Standard VM

VM.Standard2.1 PHX-AD-2 Production - Admin - PHX- AD-2

WS16CN001 Windows Server 2016 Standard VM

VM.Standard2.1 PHX-AD-2 Production - Application - PHX-AD-2

各インスタンスについて、RFC1918 IPアドレスをメモします。 インスタンス

RFC1918 IP

DC-1 10.0.10.2 DC-2 10.0.20.2 Test-SRV 10.0.100.2

フォレストとドメイン・コントローラの構成 初期ドメイン・コントローラはいくつかの方法で作成できます。このホワイト・ペーパーでは、

Active Directory設定との手動でのインタラクションの量を減らすために、Cloudbase Initと統合さ

れたMicrosoft PowerShellを使用します。付録で提供されているスクリプトは、必要なWindows Server機能をインストールするものです（.NET Framework、Active Directory Domain Services、およびDNSサーバー・コンポーネントなど）。この環境の作成には、次の4つのPowerShellスクリ

プトが使用されます。

• 付録A：ActiveDirectoryInit.ps1：フォレストを作成し、サーバーをActive Directoryドメイ

ン・コントローラへと昇格します。

• 付録B：ActiveDirectoryInit2.ps1：2つ目のホストを作成し、それを昇格してレプリカ・ド

メイン・コントローラにします。

• 付録C：AddComputer.ps1：新しいコンピュータの参加のためにドメインを準備します。

• 付録D：NewComputer.ps1：Windows Serverを、起動時にドメインに参加させます。

このホワイト・ペーパーでは、Oracle Cloud Infrastructureコンソールを使用して、コンピュー

ト・インスタンスの作成方法を示します。次の情報が必要となります。

• ドメイン管理者のパスワード。ベスト・プラクティスとして、ドメイン・コントローラを

作成したらすぐに、ドメイン管理者のパスワードを変更するようにしてください。

10 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

• 作成しようとしているドメインの名前。

• 新しいコンピュータをドメインに参加させる際に使用するワンタイム・パスワード。

プライマリ・ドメイン・コントローラの作成

1. Oracle Cloud Infrastructureコンソールで、「コンピュート」セクションに移動し、「イン

スタンスの作成」をクリックします。

2. インスタンス（WS16WAD3001）の名前を指定し、可用性ドメイン（PHX-AD-1）を選択

します。

11 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

3. オペレーティング・システム（Windows Server 2016 Standard）とイメージ・バージョン

を選択します。

4. インスタンス・タイプ（仮想マシン）とインスタンス・シェイプ（VM.Standard2.1）を

選択します。

注：より大きなブート・ボリュームを選択したり、鍵管理サービスを通じてブート・ボリュームを

暗号化したりすることもできます。このホワイト・ペーパーでは、この機能については説明しませ

ん。

12 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

5. ネットワーク接続を構成します。

ベスト・プラクティス：新しいドメイン・コントローラがプライベート・サブネット内にあること

を確認してください。

6. 「高度なオプション」で、「管理」ビューを選択し、コンパートメントと障害ドメインを

選択します。

13 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

7. 「ユーザー・データ」セクションで、「cloud-initスクリプトの貼り付け」を選択し、ド

メイン・コントローラを作成するためのスクリプトを追加します。付録AのActiveDirectoryInit.ps1スクリプトをコピーし、次のようにテキスト・ボックスに貼り付

けてください。

8. 「作成」をクリックします。

このスクリプトでは、Windows機能とActive Directoryツールのインストールを完了するの

に約20分かかります。

ログインして、C:\DomainJoinにあるstage1.txtログを表示すると、進捗状況を確認

できます。ログでは、.NET Framework、Active Directory Domain Services、Active Directory Administrative Center、およびDNS Server Toolsについて、「Success =

True」と表示されます。

14 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

9. 最初の再起動が完了したら、domain\administratorアカウントでホストにログインし、

最新のRunOnceスクリプトを実行します。ドメイン管理者アカウントで初回ログインす

ると、RunOnceスクリプトが起動し、プロセス全体がいつ完了するかについてのリファ

レンスが提供されます。

RunOnceスクリプトが完了すると、プロセスの一部としてインスタンスが自動的に再起

動します。

15 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

10. 再度ログインし、ログを見てエラーがないことを確認します。ログは、 C:\DomainJoinに置かれているstage1.txtとstage2.txtです。

成功の場合、stage2.txtには警告はありますが、エラーはありません。

16 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

11. 「スタート」メニューを開き、「Windows管理ツール」>「Active Directoryユーザーと

コンピューター」を選択して、ドメインが正常に作成されたことを確認します。

これで、新しいActive Directoryフォレストに1つ目のドメイン・コントローラが作成されました。

新しいフォレストは構成の準備ができた状態ですが、この構成についてはこのホワイト・ペー

パーでは説明しません（グループ・ポリシー、ドメイン信頼の追加、DNS構成など）。

2つ目のドメイン・コントローラの追加 前のセクションの手順1～6を繰り返して、バックアップ・ドメイン・コントローラを作成します。

インスタンスの名前と設定に適切な変更を加え、適切な可用性ドメインと正しい障害ドメインを

設定して、ドメインの冗長性が適切に確保するようにしてください。次の一連の手順では、付録Bのスクリプトを使用します。

ベスト・プラクティス：最善の可用性を確保するため、デプロイには複数の可用性ドメインを使用するか、

1つの可用性ドメイン内で障害ドメインを使用することをお薦めします。

1. 「高度なオプション」の「ユーザー・データ」セクションで、「cloud-initスクリプトの

貼り付け」を選択します。付録BのActiveDirectorInit2.ps1スクリプトをコピーし、テキ

スト・ボックスに貼り付けます。スクリプト内で、先ほど作成したドメイン・コントロー

ラのプライベートIPアドレスに合わせて、$DnsServer変数を調整します。 $DnsServer = 'Private IP for Current DC'

17 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

2. 「作成」をクリックします。

「Active Directoryユーザーとコンピューター」で、現在のドメイン・コントローラの

「Domain Controllers」セクションを見ると、進捗状況を確認できます。必要なすべて

のWindows Server機能がインストールされ、サーバーがドメインに追加されるまでには、

約20分かかります。

3. ホストの最後の再起動が完了したら、ドメイン管理者パスワードでログインし、インス

トールを確認します。C:\DomainJoin\stage3.txtログを確認してください。また、

Active Directoryツールがホストにロードされたことも確認します。

stage3.txtファイルでは、エラーは記録されず、.NET Framework、Active Directory Domain Services、Active Directory Administrative Center、およびDNS Server Toolsにつ

いて、「Success = True」と表示されます。警告のみでエラーはなく、DCPromoにつ

いてはSuccessと表示され、再起動が必要であることが記載されます。5分後、スクリプ

トによってホストが再起動されます。

18 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

4. PowerShellコマンド・プロンプトからGet-ADForestを実行して、ドメインとの通信を

確認します。

出力には、Active Directoryドメインとフォレストの正しいドメインと名前が表示されます。

19 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

5. ドメイン・コントローラがインストールされたら、Set-ADAccountPasswordコマンド

を使用してドメイン管理者パスワードを変更します。組織のパスワード標準に準拠した、

強力なパスワードを使用するようにしてください。

これで、Oracle Cloud Infrastructureテナンシに完全なActive Directoryフォレストを構築するため

の、プライマリActive Directoryドメイン・コントローラとセカンダリ・ドメイン・コントローラ

が配置されました。手順5はスキップしないようにしてください。これを行わないと、Active Directoryドメインにセキュリティ上の脅威が生じる可能性があります。また、ご使用の環境に必

要なグループ・ポリシーやユーザーを追加することも忘れないようにしてください。

新しいホストの追加 この時点で、ドメインに新しいホストを追加できるようになりました。新しいActive Directoryドメインに新しいコンピュータを参加させるには、様々な方法があります。このホワイト・ペー

パーでは、あらかじめ定義されたコンピュータ資格情報を使用してドメインに新しいホストを追

加するために、Microsoft PowerShellの例を使用します。MicrosoftのWebサイトでは、ドメインに

ホストを追加するために使用できる例が、他にも複数提供されています。

ベスト・プラクティス：あらかじめ定義されたコンピュータ資格情報を使用してドメインに新しいホストを

追加する、Microsoft PowerShellの例を使用することをお薦めします。

20 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

1. ドメイン管理者アカウントを使用して、プライマリ・ドメイン・コントローラにログイン

します。

2. PowerShellウィンドウを開き、付録CのAddComputer.ps1スクリプトを実行します。

このスクリプトは、New-ADComputerコマンドを実行して、ドメイン・コントローラに

新しいコンピュータ・レコードを追加します。

3. 「Active Directoryユーザーとコンピューター」の「Computers」セクションをチェック

して、コンピュータが追加されたことを確認します。

コンピュータを追加したら、Oracle Cloud Infrastructureテナンシにインスタンスを作成す

ることができます。

4. Oracle Cloud Infrastructureコンソールにサインインし、このドキュメントの「プライマ

リ・ドメイン・コントローラの作成」セクションにある手順1～6に従って、Windows Server 2016インスタンスを作成します。適切な名前を使用し、それを可用性ドメインと

障害ドメインに配置して、ニーズに合ったサブネットとシェイプを選択してください。

21 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

5. 「高度なオプション」をクリックし、「ユーザー・データ」セクションの「cloud-initスクリプトを貼り付け」を選択します。付録DのNewComputer.ps1スクリプトをコピーし、

テキスト・ボックスに貼り付けます。

6. スクリプト内で、$DnsServer変数をドメイン・コントローラの正しいIPアドレスに更新

します。

7. 「作成」をクリックします。

新しいコンピュータがドメインに参加すると、コンピュータが自動的に再起動します。ス

クリプトには、ドメインのレプリケーションが確実に発生するように、5分間のスリープ

が含まれています。

8. 新しいホストにログインし、C:\DomainJoin\Stage4.txtログでエラーがないか確認

します。

22 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

「Active Directoryユーザーとコンピューター」管理アプリケーションで、ドメイン・コ

ントローラのコンピュータ・プロパティをチェックすることもできます。

これで、Active Directoryドメインが完全に機能するようになりました。お客様は、新しいコン

ピュータを追加し、組織のニーズに合わせてドメインを拡張することができます。

結論 このホワイト・ペーパーでは、Oracle Cloud Infrastructureの個別の可用性ドメイン、障害ドメイ

ン、およびサブネットに配置された、冗長性のあるドメイン・コントローラを使用して、Active Directoryドメインを構築し、インフラに耐障害性を組み込むための主な手順について説明しまし

た。お客様は、ドメインに追加するアプリケーション・サーバーを作成することもできます。こ

れらは、Active Directoryドメインの構成要素となります。グループ・ポリシーを作成し、ドメイ

ンを組織の標準に準拠させる作業は、お客様の責任で行っていただきます。 Oracle Cloud Infrastructureでは、Active Directoryドメインの構成要素をデプロイし、Active Directoryフォレストに対する必要な拡張機能をサポートして、今日のコンピューティング環境に

おける高レベルなニーズに対応することができます。

23 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

リファレンス • Oracle Cloud Infrastructureドキュメント

• Oracle Cloud Infrastructureのリージョンと可用性ドメイン

• Oracle Cloud Infrastructureの仮想クラウド・ネットワークの作成

• Oracle Cloud Infrastructureの踏み台ホスト

• Active Directoryの追加に関するユーザー・ガイド

• Active Directory Domain Services

• Active Directory Domain Servicesの機能

• Active DirectoryのPowerShellコマンド

• RunOnceレジストリ・キー

• Microsoft PowerShellドキュメント

付録A：ActiveDirectoryInit.ps1 #ps1_sysnative ######## # Title: ActiveDirectoryInit.ps1 # Version & Date: v1 31 Oct 2018 # Creator: john.s.parker@oracle.com # Warning: This script is a representation of how to use PowerShell to create an Active Directory Domain controller # and build the first DC in a new Active Directory Forest. This script creates and uses the domain administrator account # there are potential for mistakes and destructive actions. USE AT YOUR OWN RISK!! # This is the first script in the Active Directory Series that will establish the first # Active Directory Domain Controller. This script will unlock the local administrator account # this account will become the Domain Administrator. # # This script will install the required Windows features that are required for Active # Directory. This script will install the prerequisites for Active Directory, then create a # one-time executed script on the login after the reboot. This script will reboot the host # a total of 2 times to add the windows features, create the forest, and promote the domain controller. # # Variables for this script # $password - this is the password necessary to unlock the administrator account # - and is used in both runs of the AD build. # $FullDomainName - the full name for the AD Domain example: CESA.corp # $ShortDomainName - the short name for the AD Domain example: CESA # $encrypted - you must encrypt the password so that you can use it as you set up your domain controller # $addsmodule02 - this is the text block that will be used to create the RunOnceScript that will finish the installation # - of the domain controller. # $RunOnceKey - this is the key that will create the command to complete the installation of the domain controller. Try { # # Start the logging in the C:\DoimainJoin directory # Start-Transcript -Path "C:\DomainJoin\stage1.txt" # Global Variables

24 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

$password="P@ssw0rd123!!" # Set the Administrator Password and activate the Domain Admin Account # net user Administrator $password /logonpasswordchg:no /active:yes # Install the Windows features necessary for Active Directory # Features # - .NET Core # - Active Directory Domain Services # - Remote Active Directory Services # - DNS Services # Install-WindowsFeature NET-Framework-Core Install-WindowsFeature AD-Domain-Services Install-WindowsFeature RSAT-ADDS Install-WindowsFeature RSAT-DNS-Server # Create text block for the new script that will be ran once on reboot # $addsmodule02 = @" #ps1_sysnative Try { Start-Transcript -Path C:\DomainJoin\stage2.txt `$password = "P@ssw0rd123!!" `$FullDomainName = "cesa.corp" `$ShortDomainName = "CESA" `$encrypted = ConvertTo-SecureString `$password -AsPlainText -Force Import-Module ADDSDeployment Install-ADDSForest `` -CreateDnsDelegation:`$false `` -DatabasePath "C:\Windows\NTDS" `` -DomainMode "WinThreshold" `` -DomainName `$FullDomainName `` -DomainNetbiosName `$ShortDomainName `` -ForestMode "WinThreshold" `` -InstallDns:`$true `` -LogPath "C:\Windows\NTDS" `` -NoRebootOnCompletion:`$false `` -SysvolPath "C:\Windows\SYSVOL" `` -SafeModeAdministratorPassword `$encrypted `` -Force:`$true } Catch { Write-Host $_ } Finally { Stop-Transcript } "@ Add-Content -Path "C:\DomainJoin\ADDCmodule2.ps1" -Value $addsmodule02 # Adding the run once job # $RunOnceKey = "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce" set-itemproperty $RunOnceKey "NextRun" ('C:\Windows\System32\WindowsPowerShell\v1.0\Powershell.exe - executionPolicy Unrestricted -File ' + "C:\DomainJoin\ADDCmodule2.ps1") # End the logging # } Catch { Write-Host $_ } Finally { Stop-Transcript } # Last step is to reboot the local host

25 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

# Restart-Computer -ComputerName "localhost" -Force

付録B：ActiveDirectoryInit2.ps1 #ps1_sysnative ######## # Title: ActiveDirectoryInit2.ps1 # Version & Date: v1 31 Oct 2018 # Creator: john.s.parker@oracle.com # Warning: This script is a representation of how to use PowerShell to create an Active Directory Domain controller # and build the first DC in a new Active Directory Forest. This script creates and uses the domain administrator account # there are potential for mistakes and destructive actions.USE AT YOUR OWN RISK!! # This is the second script in the Active Directory Series that will establish the second # Active Directory Domain Controller. This script will unlock the local administrator account. # # This script will install the required Windows features that are required for Active # Directory. This script will install the prerequisites for Active Directory. This script will reboot the host after it has added the # Windows features installed the Active Directory Services and promoted the domain controller. # # Variables for this script # $password - this is the password necessary to unlock the administrator account # - and is used in both runs of the AD build. # $DomainName - this is the full name of the domain that you will be adding the DC # $DomainUser - this account must have the Domain Admin role # $EncryptedPass - the encrypted password # $Credential - the encrypted domain # $DnsServer - this is the private IP address of the Primary Domain Controller Try { Start-Transcript -Path "C:\DomainJoin\Stage3.txt" -Force $Password="P@ssw0rd123!!" $DomainName="cesa.corp" $DomainUser="cesa\administrator" $EncryptedPass = ConvertTo-SecureString $Password -AsPlainText -Force $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $DomainUser, $EncryptedPass $DnsServer = '192.168.0.1' #Set the Administrator Password and activate the Domain Admin Account net user Administrator $Password /logonpasswordchg:no /active:yes ################## # Create the Second Domain Controller # ################## Install-WindowsFeature NET-Framework-Core Install-WindowsFeature AD-Domain-Services Install-WindowsFeature RSAT-ADDS Install-WindowsFeature RSAT-DNS-Server Set-DnsClientServerAddress -InterfaceAlias Ethernet -ServerAddresses $DnsServer Install-ADDSDomainController -InstallDns -Credential $Credential -DomainName $DomainName - SafeModeAdministratorPassword $EncryptedPass -Force -NoRebootOnCompletion

26 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

} Catch { Write-Host $_ } Finally { Stop-Transcript } start-sleep -s 300 Restart-Computer -ComputerName "localhost" -Force

付録C：AddComputer.ps1 ######## # Title: AddComputer.ps1 # Version & Date: v1 31 Oct 2018 # Creator: lawrence.gabriel@oracle.com & john.s.parker@oracle.com # Warning: This script is a representation of how to use PowerShell to create an Active Directory Domain controller # and build the first DC in a new Active Directory Forest.This script creates and uses the domain administrator account # there are potential for mistakes and destructive actions.USE AT YOUR OWN RISK!! # This is the third script in the Active Directory Series that will join a computer to your new Active Directory Domain. This script # will create the computer account to the Active Directory Domain. You will need to use an account that has the Add Computer domain role. # Source: # From https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/add- computer?view=powershell-5.1#examples # Variables for this script # $NewComputerName - this is the name of the new computer that you want to add to your domain # ## Run as Administrator on a domain computer. $NewComputerName = "WS16CN001" New-ADComputer -Name $NewComputerName -AccountPassword (ConvertTo-SecureString -String 'TempJoinPA$$' - AsPlainText -Force)

付録D：NewComputer.ps1 #ps1_sysnative ######## # Title: newcomputer.ps1 # Version & Date: v1 31 Oct 2018 # Creator: lawrence.gabriel@oracle.com & john.s.parker@oracle.com # Warning: This script is a representation of how to use PowerShell to create an Active Directory Domain controller # and build the first DC in a new Active Directory Forest.This script creates and uses the domain administrator account # there are potential for mistakes and destructive actions.USE AT YOUR OWN RISK!! # This is the forth script in the Active Directory Series that will join a computer to your new Active Directory Domain. This script # will join the newly created host to an Active Directory Domain. # # Variables for this script # $DnsServer - this is the private IP address of the Primary Domain Controller # $DnsServer2 - this is the private IP address of the Secondary Domain Controller # $DomaintoJoin - this is the full name of the domain you want to join. # $JoinCred - this will be the encrypted credential #

27 | CREATING ACTIVE DIRECTORY DOMAIN SERVICES IN ORACLE CLOUD INFRASTRUCTURE

Try { Start-Transcript -Path "C:\DomainJoin\Stage4.txt" -Force $DnsServer = '192.168.0.1' $DnsServer2 = '192.168.0.2' $DomainToJoin = 'cesa.corp' ####### # Sets the DNS to the DC. ####### Set-DnsClientServerAddress -InterfaceAlias Ethernet -ServerAddresses ($DnsServer, $DnsServer2) ####### # Build the one time use password ####### $JoinCred = New-Object pscredential -ArgumentList ([pscustomobject]@{

UserName = $null Password = (ConvertTo-SecureString -String 'TempJoinPA$$' -AsPlainText -Force)[0]

}) Add-Computer -Domain $DomainToJoin -Options UnsecuredJoin,PasswordPass -Credential $JoinCred } Catch { Write-Host $_ } Finally { Stop-Transcript } ####### # # This wait is to ensure that the Add-Computer command finishes before the restart. # ####### start-sleep -s 300 Restart-Computer -ComputerName "localhost" -Force

Oracle Corporation, World Headquarters Worldwide Inquiries 500 Oracle Parkway Phone: +1.650.506.7000 Redwood Shores, CA 94065, USA Fax: +1.650.506.7200

CONNECT WITH US

blogs.oracle.com/oracle

facebook.com/oracle

twitter.com/oracle

oracle.com

Copyright © 2019, Oracle and/or its affiliates. All rights reserved.本文書は情報提供のみを目的として提供されており、ここに

記載されている内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さら

に、口述による明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含

み、いかなる他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認

し、本文書によって直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を

前もって得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信す

ることはできません。

OracleおよびJavaはオラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標であ

る場合があります。

Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、

SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。0119

Oracle Cloud InfrastructureのActive Directoryドメイン・サービスの作成 2019年1月 著者：John S Parker（john.s.parker@oracle.com）、Lawrence Gabriel（lawrence.gabriel@oracle.com）、基となった文書

の作成者：Barry Shilmover