このガイドでは、既存のActive Directory環境に新しいフォレストを追加する方法を紹介します。新しいフォレストを追加する必要があるコンプライアンスまたはセキュリティ要件があるかもしれません。
この記事は以下に適用されます:Windows Server 2016、Windows Server 2019、Windows Server 2022、およびWindows Server 2025。
ただし、既存のフォレストcontoso.comがある場合は、別のフォレストnorthwindtraders.comを追加し、オプションでそれらの間に信頼関係を構築することもできます。すべてをLAN環境内で行います。
Windows ServerにActive Directory Domain Servicesサーバーロールを追加します
最終的なシナリオでは、環境に新しいフォレストを追加します。このオプションを指示するいくつかの論理設計があります。完全にゼロから始める場合、最初のドメインコントローラーを追加し、最初の(フォレストルート)ドメインを作成するという選択肢しかありません。
別のシナリオは、ドメイン間のより明確な分離が必要な場合です。別の企業と合併している場合、テスト環境に新しいフォレストを追加したいと考えるかもしれません。これにより、フォレストドメイン構造とテストの間に完全な分離が可能になります。
ただし、前述のように、ユーザーが片方のフォレストから他方のフォレストのコンピュータにシームレスにログインできるようにフォレストトラストを作成できます。
別のWindows Server 2022 Datacenter Hyper-V VMを構築し、WS22-FOREST-DC1と名付けました。
再度、私は行って、Active Directory Domain Services 役割を追加しました。
新しい Active Directory フォレストを構成します
新しいフォレストを構成しましょう。
- DC昇格ウィザードを開始して、サーバーをドメインコントローラーに昇格させます。
- 私は3番目のオプション「新しいフォレストを追加」を選択し、ドメイン名として「reinderscorp.local」を入力しました。
- 次へをクリックしました。
ここで、フォレスト機能レベルのオプションが表示されます。古いバージョンのWindows Serverを実行するドメインコントローラーを含める必要がある場合は、今その調整を行う必要があります。後からレベルを下げることはできません。これらのレベルは上げることしかできません。
- 私は私のフォレストをWindows Server 2016 レベルに保つことにします。
- DSRM パスワードを入力し、次へをクリックします。
- DNS オプション画面では、以前のシナリオ同様、DNS 委任を作成できないという一般的な警告が表示されます。それは、連絡先の親(DNS)ドメイン名がないためです。
- 追加オプション画面では、私たちには NetBIOS ドメイン名が表示されます – ‘REINDERSCORP’。そしてパス画面では、デフォルトを受け入れて次へをクリックしました。
- レビューオプション画面では、新しいフォレストのすべての計画された構成を見ることができます。バックグラウンドで実行されるPowerShellスクリプトをすぐに確認するために再度スクリプトを表示ボタンをクリックしました。
- その後、次へボタンをクリックしました。
- 信頼できるMicrosoftエンジニアによって承認されたため、前提条件のチェック画面でインストールボタンをクリックできるようになりました。
- サーバーが再起動した後、管理者としてログインし、すべてが予想どおりであることを確認します。
Source:
https://petri.com/add-new-forest-to-active-directory/