Windows★Active Directoryｽﾚ

**チーママ** · 04/07/24 18:24

なかったので立てました。
管理者のみなさん、一緒にお話しませんこと？

**名無し~3.EXE** · 2006/07/02(日) 23:06:36

混じれ酢。
諦めましょう。

**115** · 2006/07/03(月) 16:41:50

>>116
Σ(ﾟДﾟ;)
あきらめるしかないですかorz
利用頻度は低いから影響は少ないけど、
ユーザーへの説明がﾏﾝﾄﾞｸｾ

**名無し~3.EXE** · 2006/07/18(火) 00:17:38

ドメインにUSB記憶装置使用禁止のグループポリシーを設定したのですが、
ローカルでログインした場合でもこのポリシーが適用されている模様です。

これは通常通りなんでしょうか？

**名無し~3.EXE** · 2006/07/22(土) 07:27:32

>>118
通常通り

**118** · 2006/07/24(月) 00:47:59

>>119さん
ありがとうございました！！

**名無し~3.EXE** · 2006/08/02(水) 16:24:08

HOMEエディッションでＡＤのパス変更できませんか？

**名無し~3.EXE** · 2006/08/06(日) 13:27:44

>>121
そもそもADに参加できない

**名無し~3.EXE** · 2006/08/07(月) 13:33:57

そうですよねー>>122
しかし，ADに参加しないMacでは出来るんですよぉ

**名無し~3.EXE** · 2006/08/07(月) 15:49:38

マカは氏んでいいよ。
XP Proが必要。

**名無し~3.EXE** · 2006/08/08(火) 23:00:27

多重ログオンを禁止したい

ログオンスクリプトを作り込んでやろうかと思ってるんだけど
現在ログイン中のユーザを表示できる方法ってない？
・ログイン中のユーザを表示できるコマンドとか
・VBScriptのこのオブジェクトを参照すればログイン中のユーザ一覧が得られるとか
・VBScriptのこのオブジェクトはそのユーザがログインしてれば1がセットされてるとか

自分で探しては見たけど見つからない・・・
Unix系OSで言うfingerコマンドみたいな
ことができるとログオンスクリプトでそのユーザが
ログイン中だったらログオフってのができると思うので。

あとは、ログオンスクリプトでファイル作って
ログオフスクリプトでそのファイル消すってのも考えたんだけど、
それだと
PC AにユーザXでログオン→ファイル作る
PC BにユーザXでログオン→ファイルあるからログオフ、だけどログオフ時にファイル消しちゃう
PC CにユーザXでログオン→ファイルないからログオンできる
ってなって結局多重ログオンできそうなので・・・

他によさげな方法ないかなあ？

**名無し~3.EXE** · 2006/08/09(水) 20:43:05

ログオン・ログオフスクリプトって動作に失敗するときないですか？
ログ取りしてるんですが、ログオンとログオフが対になってない奴が結構あるんですけど。

**名無し~3.EXE** · 2006/08/09(水) 21:35:53

ログオフせずにいきなり電源切ってるとか

**名無し~3.EXE** · 2006/08/09(水) 23:24:16

>>127
それはありえるけど、何故かログオンが存在しない場合もあるんです。
ちなみにスクリプトではログファイルの排他制御＆リトライもしています。（つもりかも・・・）

**名無し~3.EXE** · 2006/08/13(日) 07:02:57

>>128
ケーブル抜いてログイン後にケーブル繋げばスクリプトは走らない
ログインスクリプト使わなくても多重ログインは防げるわけだが

**125** · 2006/08/13(日) 14:05:19

>>129
>>126 >>128は俺じゃないです
でも多重ログインを防ぐ方法があるなら教えてもらえない？
全然思いつかない・・・

**名無し~3.EXE** · 2006/08/14(月) 23:53:10

多重ログインを防ぐ方法を漏れも知りたい。
そんなポリシーも見つけられなかったので仕方なくＧｉｎａを作りますた・・・・

**名無し~3.EXE** · 2006/09/12(火) 06:53:15

すいません。
質問です。

DCを二つ用意し、一方をプライマリ・もう一方をバックアップとして構築し、
承認・認証はバックアップサーバで行っている環境があるのですが、これは
どこで設定しているのでしょうか？
数日、MSのサイトやグーグルとかに御世話になったのですが分かりません・・・

利用するOSは両方ともWindows2003 Standardです。

**名無し~3.EXE** · 2006/09/12(火) 23:45:50

「マルチマスタ」で検索してみて。FSMOっていうのも要注意。
http://www.atmarkit.co.jp/fwin2k/operation/adprimer002/adprimer002_03.html

**名無し~3.EXE** · 2006/09/14(木) 04:38:06

>>133
ありがとうございます。
そこからきっかけとして以下の件が該当していました。

認証・パスワード変更・ユーザ名/コンピュータ検索はDNSのSRVレコードにより該当するサーバが行う
例）
(FQDN)._tcp._kerberos
(FQDN)._tcp._ldap
(FQDN)._tcp._kpassword

DNSレコードの全ての_kerberos(だったかな？）を修正することで認証サーバを変更することができました。

**名無し~3.EXE** · 2006/10/07(土) 13:00:25

質問です
AD移行中です。現在NTドメインで移動プロファイルを使用しています
移動プロファイルの変換はADMTで出来るのですが、移動プロファイルの格納サーバも変更となります

単純にコピーして、ADのユーザプロパティでパスだけ書き換えればよいですか？

**名無し~3.EXE** · 2006/10/09(月) 19:03:57

知らん

**名無し~3.EXE** · 2006/10/16(月) 19:00:33

移動プロファイルの質問です。

ドメイン内に所属する同一ユーザで複数台同時ログインを行ったとします。
（共有アカウントのようなイメージです）
この場合に競合するレジストリの編集を行うとどうなるのでしょうか？
後書き優先？

**名無し~3.EXE** · 2006/10/17(火) 20:03:26

移動プロファイルで共有？危険じゃない？

**名無し~3.EXE** · 2006/10/17(火) 22:03:59

>>115 cipher コマンド
俺も最近これで解決したから
あえて亀レス。

**名無し~3.EXE** · 2006/10/17(火) 22:15:32

>>137
移動プロファイルはログオフした時に書き出す。
違うアプリがインスコされいるＰＣにログオンすると
おもしろいことになるよ。

**115** · 2006/10/23(月) 11:35:27

>>139
情報thxです。調べてみるです。

**名無し~3.EXE** · 2006/10/31(火) 19:16:32

2003サーバーでActiveDirectory構築して、
移動プロファイルを生成して、
クライアントマシンでVisual Studio .net 2003を使いたいのですが、
Visual Studio .net 2003のデバッグを実行したら「ユーザーにマシンのDebugger User権限を与えてください」と出ます。
ドメインのグループにはDebugger Usersグループを追加していますが、
上記のメッセージが出てデバッグできません。

この設定をActiveDirectoryで一括設定するにはどこの設定をいじればよいのですか？

**名無し~3.EXE** · 2006/11/03(金) 01:45:38

メンバーサーバの移行ってみんなどうしてる？一発勝負？

**名無し~3.EXE** · 2006/11/03(金) 09:19:07

>>142
ドメインじゃなくて、個々のPCのローカル権限が無いのが原因じゃない？
PCにローカルアドミンでログインして、街頭のドメインユーザに権限を割り当てる。
いちいち個々のPCで作業なので面倒だが。

**142** · 2006/11/04(土) 17:10:45

>>144
レスサンクスです。
確かに各クライアントをいじればいいのでしょうが、
台数が増えることを考えると理想的な解決法ではないし、
なにか、ドメインコントローラー側で解決できないかなと探しています。

**名無し~3.EXE** · 2006/11/08(水) 22:15:11

>>145

制限されたグループ
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/2715d832-fe71-47f7-86fd-412f013a40cd.mspx

日本語がわかりにくいので、設定例はここらへんで。

ユーザー定義のローカルグループの制限されたグループ ("所属するグループ") の動作に対する更新プログラム
http://support.microsoft.com/kb/810076/ja

**名無し~3.EXE** · 2006/11/29(水) 17:18:43

お世話になっております。
今Win2000ServerとWindowsServer2003R2を使用しています。

ActiveDirectoryで
WindowsServer2003R2の方にユーザーを追加したのですが
Win2000Serverの方に追加されません。

プライマリは多分Win2000Serverの方です。（確認方法不明）

強制同期の方法をご存知な方はお教えいただけないでしょうか？
またプライマリじゃないADサーバでユーザー登録すること自体
好ましくない行為だったりしませんでしょうか？

以上　RESをいただけますとありがたいです。

**名無し~3.EXE** · 2006/11/30(木) 00:37:18

ADの場合「プライマリ」でなく、「FSMO」などになるかと。

>またプライマリじゃないADサーバでユーザー登録する

FSMOでないDCで登録しても問題ないかと。

>強制同期の方法をご存知な方はお教えいただけないでしょうか？

こういうのですか？
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/285adrepl/adrepl.html

ADの動作確認って、よくみえないというか、結構難しいようで、書籍では、
「Ａｃｔｉｖｅ　Ｄｉｒｅｃｔｏｒｙ障害対策ガイド」に
いろいろな例が出ているようです。

たとえば、windowsfirewallの設定や、DNSの設定不良だけでも同期できなる
ことがあるのでは？（まず、動作確認できないと、原因切り分けが難しい気が）

win2000向けとして「動作保証スクリプト（要activeperl、regdmp）」
がMSから出てるので、これを実行できると、なにかわかるかも。「Ｍｉｃｒｏｓｏｆｔ
Ｗｉｎｄｏｗｓ２０００Ｓｅｒｖｅｒリソースキット〈３〉分散システムガイド（上）」
には、CDにregdmpも入ってるし、記述も役立つかも（インストールCDの
Suport/Tool あたりを入れると、dcdiag、netdiag、などが使えるようになると思います）。

以上、初心者ながら予測でした。

**147** · 2006/11/30(木) 09:07:17

>148さん
RESありがとうございます。
微妙になんとかなりました。
お教えいただいたのを参考にまだまだ勉強します。
本当にありがとうございました。

**147** · 2006/11/30(木) 09:10:21

↑だけだと味気ないのでつけたしですが
「FSMOじゃない方」のActiveDirectoryのデータを消して
FSMOに登録したら「FSMOじゃない方」にもデータがコピーされて
うまく使えるようになりました。
という感じでですけど、、、
スレ汚し失礼しましたっ

**名無し~3.EXE** · 2006/12/02(土) 16:28:05

よかったですね。

ADのテストしてみてますが、サーバ起動後、～３０分～
たたないと安定しないといった話も聞きますし（動作保証スクリプト
にも、何か出てくる）、エラーの記録も再起動しないと消えなかったり、
問題なく使えていれば、動作ＯＫと思うほかないところもあるの
でしょうかね。

**名無し~3.EXE** · 2006/12/05(火) 13:58:17

ActiveDirectoryのドメインポリシを使って、レジストリの特定の値をロックってできます？
あるアプリの挙動の一部をユーザがコントロールできないようにするのが目的で、
レジストリの位置と値は見つけたんだけど。

http;//www.microsoft.com/japan/office/ork/two/admc02.mspx
を読むと、アクセス制御リストでコントロールできそうにも読めるんだけど、
やりかたがさっぱりわからないでいます。

Windows Server 2003 R2だから、上記のドキュメントにあるようにWindows 2000で可能なら
Windoes Server 2003 R2でもできると思うんだけどなあ。

**名無し~3.EXE** · 2006/12/06(水) 01:46:13

ユーザー名称は英文字と２バイト文字
どちらがいいのでしょうか？

２バイト文字は問題が起こる場合があるので、
英文字を勧めているというのが一般的のようなのですが、
皆さんはどうしていますでしょうか？

ｓｈａｒｅpｏｉｎｔで表示される「ｘｘさんようこそ」　で漢字で表示されると
うれしいものですが、英文字で表示されてもそっけない感じが・・・。

とはいえ、トラブルがないのを選びたいと思っています。　

**名無し~3.EXE** · 2006/12/09(土) 13:32:28

>>152
サーバの\windows\infにxxx.admを作成して、ADの管理テンプレートから追加
してポリシーを充ててる。

administrative template（拡張子がadm）か管理テンプレートで検索したら
ヒントが出てきた。

**名無し~3.EXE** · 2006/12/09(土) 13:48:34

IEのインターネットオプション->接続->LANの設定
「設定を自動的に検出する」のチェックを強制的に付けたいと思っています。

ActiveDIrecrtoryが動作しているサーバはWindows2003SV。
グループポリシーのユーザの構成->windows構成->InternetExplorerのメンテナンス->
->接続->自動ブラウザ構成（優先モード）->構成ファイルを自動的に検出する
にチェックを入れてもだめでした。
別なところで定義をするのでしょうか。

どうすればチェックを付けるように出来ますか。

**名無し~3.EXE** · 2006/12/10(日) 18:57:58

>>153
好きな方を使え。Exchange + Outlook の組み合わせなんかだと、ユーザプロパティの「説明」に日本語で姓名を入れておけば
sAMAccountName が英語でも Discription の方を表示してくれる。SharePoint がどうだかは知らん。

>>155
そもそもどこでポリシーを定義しているのか、対象のユーザオブジェクトがどこに格納されているのかによるので、答えようがないな。

**名無し~3.EXE** · 2007/01/29(月) 22:41:34

DCに設定したWindows2003にローカルアカウントの作り方を教えてください。

**名無し~3.EXE** · 2007/01/30(火) 06:23:37

無理。

**名無し~3.EXE** · 2007/02/07(水) 10:50:58

ユーザが共有フォルダにディレクトリやファイルを作成した時、
その作成者であってもアクセス権の設定を変更できないように
させることはできないでしょうか？

やりたいことというのは、
・アクセス権の変更をAdministrator以外はできないようにしたい
ってことなんですが、さすがにユーザが作成したファイルやフォルダの
所有者を強制的に作成者以外にするのは難しいですかね？

**名無し~3.EXE** · 2007/02/10(土) 12:51:15

対応できるのか？わかんないけど「共有アクセス権は「フルコントロール」ではなく
「変更」にする」とどう？

ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=14260&forum=6&6

**名無し~3.EXE** · 2007/02/13(火) 09:28:12

デフォルトの所有者をadministratorにするしかないかも
「変更」にしても、所有者はどうにでもできちゃうし

**名無し~3.EXE** · 2007/02/16(金) 10:23:53

ADのユーザとグループのマトリクス図ってどうやって作成したら楽？
標準の「一覧のエクスポート」はうんこなんですが・・・

**名無し~3.EXE** · 2007/02/27(火) 12:56:23

hoshu

**名無し~3.EXE** · 2007/03/02(金) 17:17:45

Barcelonaって期待外れだから買わない方がいいみたいだなぁ
待つ価値ないの解かってしまうと萎えるよなホント

**名無し~3.EXE** · 2007/03/02(金) 20:39:28

グループポリシーでクライアントPCに任意のレジストリ追加とかできるんですか？

**名無し~3.EXE** · 2007/03/05(月) 08:59:45

>>165
グループポリシーそのものがクライアントPCのレジストリを操作してるわけだ
メニューに無いものは、自分でスクリプトを書かないとダメだけどね

**名無し~3.EXE** · 2007/03/12(月) 01:24:21

2003R2EEでDC2台構成の場合、両方のサーバをGCにするのって問題ない？
2003ネイティブ(2000ネイティブ)ではGCが無くてもログオンできるたような
記憶があるので、両方で設定する必要ってあるのかな？

**名無し~3.EXE** · 2007/03/14(水) 00:08:25

２Ｋ３でＡＤ統合のＤＮＳにしているサーバ上で「ＤＨＣＰクライアント」
を無効にしてＮＳＬＯＯＫＵＰすると、ＤｅｆａｕｌｔＳｅｒｖｅｒ：
ＵｎＫｎｏｗｎになるのは仕様ということでよい？

**名無し~3.EXE** · 2007/03/14(水) 09:06:28

ADじゃなくても昔からそうじゃなかったっけ？
記憶が薄れてしまっててあれなんだが

**名無し~3.EXE** · 2007/03/15(木) 23:01:51

2003サーバーのドメインにVISTA入れたけど
グループポリシーが反映されないのは仕様なんですか？
ファイアーウォール無効化が適用されません・・・

**名無し~3.EXE** · 2007/03/18(日) 18:02:26

SANBA入りのNASをドメイン参加させたけど
DNS使っての名前解決ができない時ってどうするんですか？

**名無し~3.EXE** · 2007/03/26(月) 09:43:13

もうなんかこのスレ終わってるな
一応ageてみるか

**名無し~3.EXE** · 2007/03/29(木) 05:03:53

>>162
Excelで落として、なんとかせい、ってのが普通だと思うけど、
VISIOに精通しているなら、VBAでADSIつかえば、でできそうなきもする。
でも難しそう～。っーか、大量だとでかい図になるし。
そういう需要ありそうだから、これをネタに、製品作る人とかいそうだなｗ

**名無し~3.EXE** · 2007/03/29(木) 09:26:29

>>173
これ、たぶん需要あるよね。
先に表を作れって話なのかも知れないけど。

何でもそうなんだけどね。
ユーザとか権限の台帳っていうのは、管理者的には自分がわかればいいだけなんだけど、
ある日突然上から作れって言われたりして、右往左往。

**名無し~3.EXE** · 2007/04/02(月) 16:51:24

　　　　　　　　＿＿＿_
　　　　　　　／　　　　＼
　　　　　／　　─　　 ─＼
　　　　／　　（●）　（●）＼　　　＜春だなぁ・・・と
　　　　|　　　　（__人__）　　 |　＿＿＿＿＿＿＿_
　　　＼　　　　｀ ⌒´ 　 ,／　.| |　　　　　　　　　　|
　　　　ノ　　　　　　　　　　　＼　| |　　　　　　　　　　|
　／´ 　　　　　　　　　　　　　 | |　　　　　　　　　　|
　|　　　　ｌ　　　ｶﾀｶﾀ　　　　 | |　　　　　　　　　　|
　ヽ　　　 -一ー_~､⌒)^),-､　　　| |_＿＿＿＿＿＿__|
　　ヽ＿＿＿＿,ノγ⌒ヽ)ニニ-￣　　　| |　　|　　　　　＿＿＿_

**名無し~3.EXE** · 2007/04/03(火) 05:02:45

ずっと疑問に思っている事があるんだけど！！！builtin　ってどういう時使うの？検索しても使い道わからん。
usersとはっきりした区別もわからん。　なんの為にあるんじゃろ？？

**名無し~3.EXE** · 2007/04/03(火) 12:42:15

builtin！！！
って叫びながら巨人にダイブする時に使う

**名無し~3.EXE** · 2007/04/03(火) 20:49:43

グループポリシーを使って
すべてのクライアントローカルのアクセス権を変更はできますかね？

たとえばDドライブを使用不可能にしたり。

**名無し~3.EXE** · 2007/04/04(水) 08:38:50

VISTAってサーバーとの通信の種類違うの？

**名無し~3.EXE** · 2007/04/05(木) 13:22:27

built in　の事でしょ？

**名無し~3.EXE** · 2007/04/14(土) 15:19:13

active directoryのグループポリシーで電源オプションの変更できますか？
制限ユーザーのデフォルト電源設定だと10分で休止モードに入ってしまうため
非常に使いにくいです。

ポリシーの変更箇所を教えていただきたいです。

**名無し~3.EXE** · 2007/04/18(水) 01:19:32

ADで登録したアカウント情報をODBC接続などでデータを引っ張ってくる事は可能でしょうか？
またその際Accessと既存のODBC接続で十分でしょうか？

**名無し~3.EXE** · 2007/04/21(土) 17:30:19

新規でNTドメインから、ADへ移行あるいはアップグレードする場合って
クライアント数分CALって必要ですか？

**名無し~3.EXE** · 2007/04/22(日) 00:53:30

yes.

**名無し~3.EXE** · 2007/04/23(月) 09:05:49

はて？MSのサポートってついて無いんだっけ？
保守ベンダがいない管理者は自力でなんとかするしかないのかな。
質問の内容を見ていると、そう思う。

**名無し~3.EXE** · 2007/04/29(日) 10:53:35

サーバーＯＳって未知の領域なんですが
グループポリシーに標準である変更テンプレ以外で
クライアント側の任意のレジストリを書き換えたりできるのでしょうか？
レジストリ作成→クライアントへ配信可能なのでしょうか？？

**名無し~3.EXE** · 2007/04/29(日) 18:04:25

>>186
できます。

**名無し~3.EXE** · 2007/05/02(水) 23:44:23

どうやるの？

**名無し~3.EXE** · 2007/05/03(木) 23:04:19

>>186
何でもいいからadmファイルをメモ帳で開いて自分で勉強してください。

**名無し~3.EXE** · 2007/05/10(木) 21:46:01

>>162

http://www.microsoft.com/japan/technet/community/columns/scripts/sg0405.mspx

OUごとにエクスポートする必要もない。エクスポートで出せない詳細情報も出せる
ただし複数の値を持つオブジェクトが上手くでない。

ユーザーをキーにして所属グループを綺麗にだせるようになったら俺にも教えてくれ

**名無し~3.EXE** · 2007/05/16(水) 12:11:41

初心者ですいません。Windows2003R2でADを構築するのですが、セキュリティ
的な面からドメインコントローラ(2台)にWindowsFirewallを設定しようと考え
ています。ただFSMOやレプリケーションといったDC間の同期等に影響がないか
心配です。そもそもDCにWindowsFirewallって使うものなのでしょうか？

**名無し~3.EXE** · 2007/05/18(金) 00:33:16

こんなページがある。

Windows Firewall: Domain controller
Updated: March 02, 2005
You must turn off Windows Firewall to use this server role.
ttp://technet2.microsoft.com/windowsserver/en/library/2a1e2951-7ec8-4297-9c94-757766fb94671033.mspx?mfr=true

でも、こんなページも ...

ファイアウォール越しにActive Directoryを利用する方法
ttp://www.microsoft.com/japan/technet/archive/ittasks/tasks/adrepfir.mspx

**名無し~3.EXE** · 2007/05/20(日) 10:26:00

500台のクライアントのＤＣにするのは
Celeron　D 　3.33GHz　メモリ１Ｇだときついですかね？

**名無し~3.EXE** · 2007/05/24(木) 00:46:06

すみません。どなたか教えてください
ＡＤのドメインのプロパティのＧＰＯが開けなくなってしまったのですが
修復またはツールみたいなものありましたらご教授ください
たまにドメインユーザマネジャも開かなくなるときがあります。

再インストするしかないですかね。

**名無し~3.EXE** · 2007/06/01(金) 18:28:15

パソコン一般板質問スレッドVol.26 より
誘導されました。

Win2003ServerのActiveDirectoryでドメイン管理しているのですが、
Vistaマシンがドメインアカウントでログイン出来なくなってしまいました。

なお、同一アカウントにxpでログインする事は可能です。

ログインパスワードを変更した事が原因だと思うのですが、
解決方法はありますか？

ログインパスワードは、新しいものや古いものへ戻したりも
試してみました。

よろしくお願いします。

**195** · 2007/06/01(金) 19:59:46

復旧しました。

参考までに。

ローカルの管理者権限で入り、再度ドメイン設定をするような形で
アカウントの接続設定を行う事で、ドメインにログインする事が出来ました。

あと、もし同じような感じで困っている方がいたら、
ウィルスバスター等のファイアーウォール設定も
切って試してみると良さそうです。

**名無し~3.EXE** · 2007/06/08(金) 00:27:35

グループポリシーでネットワークのプロパティを開いて
クライアントの設定変更できなくしたいんだけど
なかなかうまくできません・・・
似たような項目を全部変えてみたんだけど・・

**名無し~3.EXE** · 2007/06/08(金) 01:02:32

souiya
WindowsServer2008になったら、ADずいぶん変わるみたいね・・・

**名無し~3.EXE** · 2007/07/10(火) 22:28:24

デュアルコアXEONの３Gのメモリ２Gで
180台のクライアントのDCと２０人のファイルサーバーを兼任できます？
スペック的にも厳しいかな？

**名無し~3.EXE** · 2007/07/10(火) 22:53:50

ファイルサーバの使い方にもよると思うけど、大丈夫でしょ。
台数の方が問題じゃないかな？故障時とか。

**名無し~3.EXE** · 2007/07/10(火) 22:56:41

ありがとうございます。
2003 serverのDCが他に３台あれば大丈夫かな？

**名無し~3.EXE** · 2007/07/11(水) 00:22:48

だからDCなんぞは1台でも大丈夫だろうけどファイルサーバの使い方が問題でしょ。
あとはトラフィック。

DFS使った方がいいよ。

**200** · 2007/07/11(水) 00:44:59

>>201
PC250台ぐらいで、ちょっと前のHP DL360だけど、タスクマネージャーで見る限りはベタ底です。
DC2台あって認証は勝手に分散されてるけど、1台でも負荷的には問題ないと思いますよ。
うちは一斉起動が殆ど無いって言うのもありますが。

>>202も言ってるけど、ファイルのやりとりに掛かる負荷が問題でしょう。
移動プロファイルもやるつもりなら、かなり事情が変わるかも知れません。

DCとしてだけなら、4台もあれば十分過ぎるんじゃないですかね。

**名無し~3.EXE** · 2007/07/13(金) 00:28:01

ファイルサーバーって事はアクセス監査もすると考えれば
結構な負荷が掛かるかも。

**名無し~3.EXE** · 2007/07/16(月) 14:14:07

Windows 2000 serverのActive Directoryについて教えていただきたいことがあります。
他に適切なスレッドがあれば、誘導ねがいます。
本文が長すぎると警告されたので分割して掲載します。

当初 Windows 2000 server 2台をドメインコントローラとしていました。
ある日一台のDC(DC2.foo.localとします)がクラッシュし、起動しなくなりました。
(マザーのトランスの一部が焦げていたので復旧できませんでした)
幸いサブの(スキーママスタやインフラストラクチャマスタではない方)のDCだったので
http://support.microsoft.com/kb/216498/ja　を参考にクラッシュしたDC2.foo.localを
生きているドメインコントローラ(DC1.foo.local)から削除しました。

その後、今後に備えて新しいハードを用意し、Window Server 2003 R2を購入し
ドメインに参加させ、ドメインコントローラに昇格させようとしているのですが
adprepは、特に問題なく完了したのですが、
「ソースフォレストの Active Directory スキーマのバージョンはこのコンピュータの Active Directory のバージョンと互換性がありません。」
となり、昇格できません。

**205** · 2007/07/16(月) 14:14:38

adprepを行う前にDC1のシステム状態を戻し、
http://support.microsoft.com/kb/325379/　を参考に作業しているのですが、Server 2003にて

C:\Program Files\Support Tools>repadmin /replsummary DC1.foo.local /bysrc /bydest /sort:delta
Replication Summary Start Time: 2007-07-16 13:11:53

Beginning data collection for replication summary, this may take awhile:
....

Source DC largest delta fails/total %% error

Destination DC largest delta fails/total %% error
Assertion

となり、Active Directory レプリケーションの確認ができません。

**205** · 2007/07/16(月) 14:15:49

DC1でのActive Directory サイトとサービスは
Sites
　　Default-First-Site - Servers - DC1 - NTDS Setting[グローバルカタログ]
　　　　Licensing Site Settings[コンピュータ:DC1 ドメイン:foo.local]
　　　　NTDS Setting[サイト間トポロジジェネレータサーバー:DC1 サイト:Default-First-Site]
　　Inter-Site Transports - IP - DEFAULTIPSITELINK[このサイトリンクにあるサイト:Default-First-Site]
　　　　SMTP
　　Subnets - 192.168.1.0/24
となっております。

何か間違っている点、試すべきことなどありましたら、宜しくお願いします。

**名無し~3.EXE** · 2007/07/16(月) 16:33:12

操作マスタというかFSMOは無事だったのでしょうか？（まず、そのあたりの
確認と、バックアップが必要？）
・FSMO 役割のホルダの確認方法 (サーバー)
ttp://support.microsoft.com/default.aspx?scid=kb;ja;234790
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/439fsmorole/fsmorole.html

で、こういった記述があったけど。
・ActivedirectoryでFSMOを強制移動する際の注意点について
ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=19419&forum=6&start=8

「adprep」は、Win2000serverで動かしてるの？
・Windows 2000 ドメインまたはフォレストに Windows Server 2003 ドメインコントローラを作成する場合...
ttp://support.microsoft.com/kb/278875/ja

「ドメインコントローラ(DC1.foo.local)の削除」は、最後に行うことだったかも。

ADがよく見えないで操作すると、結構大変になる気もするんで、
ADデータを失うとか、最悪の場合も考えて対応した方がよいかも。

テスト環境などがあって、文献調査なども済んで、テスト
してからの対応でないと、危ないかも。

障害復旧関連だと、以下など？
・第 10 章 ‐ ブランチオフィス環境の障害復旧
ttp://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/adguide/addeploy/addch10.mspx

・Windows Server 2003 Technology Active Directory 障害対策ガイド
ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328

以上、無保証です。

**名無し~3.EXE** · 2007/07/16(月) 23:06:42

皆さんはどんなADでポリシーを設定してるの？
ずっとNTドメイン使ってたんだけどNTが保証切れたのでようやく2003環境になった
んだけど全然ADを使いこなせてないです
まだポリシーゼロです
例えばこれやっとくとクライアント管理が便利だよとかあったら教えて欲しいです

**名無し~3.EXE** · 2007/07/16(月) 23:52:57

うちもやっと全社にAD導入
まだNTドメインひっぱっている課もあるが…
ポリシーはとりあえずパスワードの有効期限とか複雑さを要求する設定にしているだけ。
しかしパスワード忘れるユーザー多くてロックアウトされたから解除してくれって依頼が多い。
あとはWSUS使っているからUpdateサーバーを指定している。

**名無し~3.EXE** · 2007/07/17(火) 01:18:55

IEのproxy設定かな。あと場合によってはホームページとか。

**名無し~3.EXE** · 2007/07/17(火) 10:04:19

>>209
パスワード付きスクリーンセーバー。
JISQ15001対応には求められる。

**名無し~3.EXE** · 2007/07/17(火) 14:33:22

ドメコン二台目追加したんだけど
なぜかSYSVOLが共有されなくてレプリケーションされない・・・・
それ以外のところはすべて問題ないんだけど
なんでか分かる人います？
一通り調べたんですが、どこにも載ってない

**名無し~3.EXE** · 2007/07/17(火) 21:58:59

ドメインコントローラをいったん削除して
また入れなおしてみては？

**名無し~3.EXE** · 2007/07/17(火) 22:34:14

MS製品は、手順などが違ったりして、動作がうまくいかなくなると、
難しくなるんで、対応するとすると、インストールメディアから「Support Tools」
入れたり、文献やログ参照しつつ、各種調査しながら、地道にやるのかね。
「入れ直す」っていうのがよいこともあるかもね。

コマンドだと、netdiag、dcdiag、repadminなどを使ってる例もみかける。

・第 11 章 ‐ ブランチオフィス環境のトラブルシューティングガイドライン
TCP/IP および DNS 構成、Active Directory の複製のトラブルシューティング～
ttp://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/adguide/addeploy/addch11.mspx#EAE
・レプリケーションのトラブルシューティング
ttp://technet2.microsoft.com/WindowsServer/ja/library/22764cb5-9860-4f8f-95e7-337df24edf741041.mspx?mfr=true
・Troubleshoot Active Directory Alerts
Active Directory 警告のトラブルシューティング
ttp://www.microsoft.com/japan/technet/serviceproviders/library3/CMSU_OSBP_Run_CONC_Troubleshooting_Active_Directory_Alerts.mspx?mfr=true
・Windows Server 2003 Technology Active Directory 障害対策ガイド
ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328
・Active Directory 複製の監視
ttp://www-1.ibm.com/support/docview.wss?uid=pcd1syj0-00ef8a5&aid=1
・DNSLint を使用して Active Directory レプリケーションに関する問題のトラブルシューティングを行う方法
ttp://support.microsoft.com/kb/321046/ja