Windows★Active Directoryスレ
なかったので立てました。 管理者のみなさん、一緒にお話しませんこと? メンバーサーバの移行ってみんなどうしてる?一発勝負? >>142 ドメインじゃなくて、個々のPCのローカル権限が無いのが原因じゃない? PCにローカルアドミンでログインして、街頭のドメインユーザに権限を割り当てる。 いちいち個々のPCで作業なので面倒だが。 >>144 レスサンクスです。 確かに各クライアントをいじればいいのでしょうが、 台数が増えることを考えると理想的な解決法ではないし、 なにか、ドメインコントローラー側で解決できないかなと探しています。 お世話になっております。 今Win2000ServerとWindowsServer2003R2を使用しています。 ActiveDirectoryで WindowsServer2003R2の方にユーザーを追加したのですが Win2000Serverの方に追加されません。 プライマリは多分Win2000Serverの方です。(確認方法不明) 強制同期の方法をご存知な方はお教えいただけないでしょうか? またプライマリじゃないADサーバでユーザー登録すること自体 好ましくない行為だったりしませんでしょうか? 以上 RESをいただけますとありがたいです。 ADの場合「プライマリ」でなく、「FSMO」などになるかと。 >またプライマリじゃないADサーバでユーザー登録する FSMOでないDCで登録しても問題ないかと。 >強制同期の方法をご存知な方はお教えいただけないでしょうか? こういうのですか? ttp://www.atmarkit.co.jp/fwin2k/win2ktips/285adrepl/adrepl.html ADの動作確認って、よくみえないというか、結構難しいようで、書籍では、 「Active Directory障害対策ガイド 」に いろいろな例が出ているようです。 たとえば、windowsfirewallの設定や、DNSの設定不良だけでも同期できなる ことがあるのでは?(まず、動作確認できないと、原因切り分けが難しい気が) win2000向けとして「動作保証スクリプト(要activeperl、regdmp)」 がMSから出てるので、これを実行できると、なにかわかるかも。「Microsoft Windows2000Serverリソースキット〈3〉分散システムガイド(上) 」 には、CDにregdmpも入ってるし、記述も役立つかも(インストールCDの Suport/Tool あたりを入れると、dcdiag、netdiag、などが使えるようになると思います)。 以上、初心者ながら予測でした。 >148さん RESありがとうございます。 微妙になんとかなりました。 お教えいただいたのを参考にまだまだ勉強します。 本当にありがとうございました。 ↑だけだと味気ないのでつけたしですが 「FSMOじゃない方」のActiveDirectoryのデータを消して FSMOに登録したら「FSMOじゃない方」にもデータがコピーされて うまく使えるようになりました。 という感じでですけど、、、 スレ汚し失礼しましたっ よかったですね。 ADのテストしてみてますが、サーバ起動後、〜30分〜 たたないと安定しないといった話も聞きますし(動作保証スクリプト にも、何か出てくる)、エラーの記録も再起動しないと消えなかったり、 問題なく使えていれば、動作OKと思うほかないところもあるの でしょうかね。 ActiveDirectoryのドメインポリシを使って、レジストリの特定の値をロックってできます? あるアプリの挙動の一部をユーザがコントロールできないようにするのが目的で、 レジストリの位置と値は見つけたんだけど。 http;//www.microsoft.com/japan/office/ork/two/admc02.mspx を読むと、アクセス制御リストでコントロールできそうにも読めるんだけど、 やりかたがさっぱりわからないでいます。 Windows Server 2003 R2だから、上記のドキュメントにあるようにWindows 2000で可能なら Windoes Server 2003 R2でもできると思うんだけどなあ。 ユーザー名称は英文字と2バイト文字 どちらがいいのでしょうか? 2バイト文字は問題が起こる場合があるので、 英文字を勧めているというのが一般的のようなのですが、 皆さんはどうしていますでしょうか? sharepoint で表示される「xxさんようこそ」 で漢字で表示されると うれしいものですが、英文字で表示されてもそっけない感じが・・・。 とはいえ、トラブルがないのを選びたいと思っています。 >>152 サーバの\windows\infにxxx.admを作成して、ADの管理テンプレートから追加 してポリシーを充ててる。 administrative template(拡張子がadm)か管理テンプレートで検索したら ヒントが出てきた。 IEのインターネットオプション->接続->LANの設定 「設定を自動的に検出する」のチェックを強制的に付けたいと思っています。 ActiveDIrecrtoryが動作しているサーバはWindows2003SV。 グループポリシーのユーザの構成->windows構成->InternetExplorerのメンテナンス-> ->接続->自動ブラウザ構成(優先モード)->構成ファイルを自動的に検出する にチェックを入れてもだめでした。 別なところで定義をするのでしょうか。 どうすればチェックを付けるように出来ますか。 >>153 好きな方を使え。Exchange + Outlook の組み合わせなんかだと、ユーザプロパティの「説明」に日本語で姓名を入れておけば sAMAccountName が英語でも Discription の方を表示してくれる。SharePoint がどうだかは知らん。 >>155 そもそもどこでポリシーを定義しているのか、対象のユーザオブジェクトがどこに格納されているのかによるので、答えようがないな。 DCに設定したWindows2003にローカルアカウントの作り方を教えてください。 ユーザが共有フォルダにディレクトリやファイルを作成した時、 その作成者であってもアクセス権の設定を変更できないように させることはできないでしょうか? やりたいことというのは、 ・アクセス権の変更をAdministrator以外はできないようにしたい ってことなんですが、さすがにユーザが作成したファイルやフォルダの 所有者を強制的に作成者以外にするのは難しいですかね? 対応できるのか?わかんないけど「共有アクセス権は「フルコントロール」ではなく 「変更」にする」とどう? ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=14260&forum=6&6 デフォルトの所有者をadministratorにするしかないかも 「変更」にしても、所有者はどうにでもできちゃうし ADのユーザとグループのマトリクス図ってどうやって作成したら楽? 標準の「一覧のエクスポート」はうんこなんですが・・・ Barcelonaって期待外れだから買わない方がいいみたいだなぁ 待つ価値ないの解かってしまうと萎えるよなホント グループポリシーでクライアントPCに任意のレジストリ追加とかできるんですか? >>165 グループポリシーそのものがクライアントPCのレジストリを操作してるわけだ メニューに無いものは、自分でスクリプトを書かないとダメだけどね 2003R2EEでDC2台構成の場合、両方のサーバをGCにするのって問題ない? 2003ネイティブ(2000ネイティブ)ではGCが無くてもログオンできるたような 記憶があるので、両方で設定する必要ってあるのかな? 2K3でAD統合のDNSにしているサーバ上で「DHCPクライアント」 を無効にしてNSLOOKUPすると、DefaultServer: UnKnownになるのは仕様ということでよい? ADじゃなくても昔からそうじゃなかったっけ? 記憶が薄れてしまっててあれなんだが 2003サーバーのドメインにVISTA入れたけど グループポリシーが反映されないのは仕様なんですか? ファイアーウォール無効化が適用されません・・・ SANBA入りのNASをドメイン参加させたけど DNS使っての名前解決ができない時ってどうするんですか? もうなんかこのスレ終わってるな 一応ageてみるか >>162 Excelで落として、なんとかせい、ってのが普通だと思うけど、 VISIOに精通しているなら、VBAでADSIつかえば、でできそうなきもする。 でも難しそう〜。っーか、大量だとでかい図になるし。 そういう需要ありそうだから、これをネタに、製品作る人とかいそうだなw >>173 これ、たぶん需要あるよね。 先に表を作れって話なのかも知れないけど。 何でもそうなんだけどね。 ユーザとか権限の台帳っていうのは、管理者的には自分がわかればいいだけなんだけど、 ある日突然上から作れって言われたりして、右往左往。 ____ / \ / ─ ─\ / (●) (●) \ <春だなぁ・・・と | (__人__) | ________ \ ` ⌒´ ,/ .| | | ノ \ | | | /´ | | | | l カタカタ | | | ヽ -一ー_~、⌒)^),-、 | |_________| ヽ ____,ノγ⌒ヽ)ニニ- ̄ | | | ____ ずっと疑問に思っている事があるんだけど!!!builtin ってどういう時使うの?検索しても使い道わからん。 usersとはっきりした区別もわからん。 なんの為にあるんじゃろ?? builtin!!! って叫びながら巨人にダイブする時に使う グループポリシーを使って すべてのクライアントローカルのアクセス権を変更はできますかね? たとえばDドライブを使用不可能にしたり。 active directoryのグループポリシーで電源オプションの変更できますか? 制限ユーザーのデフォルト電源設定だと10分で休止モードに入ってしまうため 非常に使いにくいです。 ポリシーの変更箇所を教えていただきたいです。 ADで登録したアカウント情報をODBC接続などでデータを引っ張ってくる事は可能でしょうか? またその際Accessと既存のODBC接続で十分でしょうか? 新規でNTドメインから、ADへ移行あるいはアップグレードする場合って クライアント数分CALって必要ですか? はて?MSのサポートってついて無いんだっけ? 保守ベンダがいない管理者は自力でなんとかするしかないのかな。 質問の内容を見ていると、そう思う。 サーバーOSって未知の領域なんですが グループポリシーに標準である変更テンプレ以外で クライアント側の任意のレジストリを書き換えたりできるのでしょうか? レジストリ作成→クライアントへ配信可能なのでしょうか?? >>186 何でもいいからadmファイルをメモ帳で開いて自分で勉強してください。 >>162 http://www.microsoft.com/japan/technet/community/columns/scripts/sg0405.mspx OUごとにエクスポートする必要もない。エクスポートで出せない詳細情報も出せる ただし複数の値を持つオブジェクトが上手くでない。 ユーザーをキーにして所属グループを綺麗にだせるようになったら俺にも教えてくれ 初心者ですいません。Windows2003R2でADを構築するのですが、セキュリティ 的な面からドメインコントローラ(2台)にWindowsFirewallを設定しようと考え ています。ただFSMOやレプリケーションといったDC間の同期等に影響がないか 心配です。そもそもDCにWindowsFirewallって使うものなのでしょうか? こんなページがある。 Windows Firewall: Domain controller Updated: March 02, 2005 You must turn off Windows Firewall to use this server role. ttp://technet2.microsoft.com/windowsserver/en/library/2a1e2951-7ec8-4297-9c94-757766fb94671033.mspx?mfr=true でも、こんなページも ... ファイアウォール越しにActive Directoryを利用する方法 ttp://www.microsoft.com/japan/technet/archive/ittasks/tasks/adrepfir.mspx 500台のクライアントのDCにするのは Celeron D 3.33GHz メモリ1Gだときついですかね? すみません。どなたか教えてください ADのドメインのプロパティのGPOが開けなくなってしまったのですが 修復またはツールみたいなものありましたらご教授ください たまにドメインユーザマネジャも開かなくなるときがあります。 再インストするしかないですかね。 パソコン一般板質問スレッドVol.26 より 誘導されました。 Win2003ServerのActiveDirectoryでドメイン管理しているのですが、 Vistaマシンがドメインアカウントでログイン出来なくなってしまいました。 なお、同一アカウントにxpでログインする事は可能です。 ログインパスワードを変更した事が原因だと思うのですが、 解決方法はありますか? ログインパスワードは、新しいものや古いものへ戻したりも 試してみました。 よろしくお願いします。 復旧しました。 参考までに。 ローカルの管理者権限で入り、再度ドメイン設定をするような形で アカウントの接続設定を行う事で、ドメインにログインする事が出来ました。 あと、もし同じような感じで困っている方がいたら、 ウィルスバスター等のファイアーウォール設定も 切って試してみると良さそうです。 グループポリシーでネットワークのプロパティを開いて クライアントの設定変更できなくしたいんだけど なかなかうまくできません・・・ 似たような項目を全部変えてみたんだけど・・ souiya WindowsServer2008になったら、ADずいぶん変わるみたいね・・・ デュアルコアXEONの3Gのメモリ2Gで 180台のクライアントのDCと20人のファイルサーバーを兼任できます? スペック的にも厳しいかな? ファイルサーバの使い方にもよると思うけど、大丈夫でしょ。 台数の方が問題じゃないかな?故障時とか。 ありがとうございます。 2003 serverのDCが他に3台あれば大丈夫かな? だからDCなんぞは1台でも大丈夫だろうけどファイルサーバの使い方が問題でしょ。 あとはトラフィック。 DFS使った方がいいよ。 >>201 PC250台ぐらいで、ちょっと前のHP DL360だけど、タスクマネージャーで見る限りはベタ底です。 DC2台あって認証は勝手に分散されてるけど、1台でも負荷的には問題ないと思いますよ。 うちは一斉起動が殆ど無いって言うのもありますが。 >>202 も言ってるけど、ファイルのやりとりに掛かる負荷が問題でしょう。 移動プロファイルもやるつもりなら、かなり事情が変わるかも知れません。 DCとしてだけなら、4台もあれば十分過ぎるんじゃないですかね。 ファイルサーバーって事はアクセス監査もすると考えれば 結構な負荷が掛かるかも。 Windows 2000 serverのActive Directoryについて教えていただきたいことがあります。 他に適切なスレッドがあれば、誘導ねがいます。 本文が長すぎると警告されたので分割して掲載します。 当初 Windows 2000 server 2台をドメインコントローラとしていました。 ある日一台のDC(DC2.foo.localとします)がクラッシュし、起動しなくなりました。 (マザーのトランスの一部が焦げていたので復旧できませんでした) 幸いサブの(スキーママスタやインフラストラクチャマスタではない方)のDCだったので http://support.microsoft.com/kb/216498/ja を参考にクラッシュしたDC2.foo.localを 生きているドメインコントローラ(DC1.foo.local)から削除しました。 その後、今後に備えて新しいハードを用意し、Window Server 2003 R2を購入し ドメインに参加させ、ドメインコントローラに昇格させようとしているのですが adprepは、特に問題なく完了したのですが、 「ソースフォレストの Active Directory スキーマのバージョンはこのコンピュータの Active Directory のバージョンと互換性がありません。」 となり、昇格できません。 adprepを行う前にDC1のシステム状態を戻し、 http://support.microsoft.com/kb/325379/ を参考に作業しているのですが、Server 2003にて C:\Program Files\Support Tools>repadmin /replsummary DC1.foo.local /bysrc /bydest /sort:delta Replication Summary Start Time: 2007-07-16 13:11:53 Beginning data collection for replication summary, this may take awhile: .... Source DC largest delta fails/total %% error Destination DC largest delta fails/total %% error Assertion となり、Active Directory レプリケーションの確認ができません。 DC1でのActive Directory サイトとサービスは Sites Default-First-Site - Servers - DC1 - NTDS Setting[グローバルカタログ] Licensing Site Settings[コンピュータ:DC1 ドメイン:foo.local] NTDS Setting[サイト間トポロジ ジェネレータ サーバー:DC1 サイト:Default-First-Site] Inter-Site Transports - IP - DEFAULTIPSITELINK[このサイト リンクにあるサイト:Default-First-Site] SMTP Subnets - 192.168.1.0/24 となっております。 何か間違っている点、試すべきことなどありましたら、宜しくお願いします。 操作マスタというかFSMOは無事だったのでしょうか?(まず、そのあたりの 確認と、バックアップが必要?) ・FSMO 役割のホルダの確認方法 (サーバー) ttp://support.microsoft.com/default.aspx?scid=kb;ja;234790 ttp://www.atmarkit.co.jp/fwin2k/win2ktips/439fsmorole/fsmorole.html で、こういった記述があったけど。 ・ActivedirectoryでFSMOを強制移動する際の注意点について ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=19419&forum=6&start=8 「adprep」は、Win2000serverで動かしてるの? ・Windows 2000 ドメインまたはフォレストに Windows Server 2003 ドメイン コントローラを作成する場合... ttp://support.microsoft.com/kb/278875/ja 「ドメインコントローラ(DC1.foo.local)の削除」は、最後に行うことだったかも。 ADがよく見えないで操作すると、結構大変になる気もするんで、 ADデータを失うとか、最悪の場合も考えて対応した方がよいかも。 テスト環境などがあって、文献調査なども済んで、テスト してからの対応でないと、危ないかも。 障害復旧関連だと、以下など? ・第 10 章 ‐ ブランチ オフィス環境の障害復旧 ttp://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/adguide/addeploy/addch10.mspx ・Windows Server 2003 Technology Active Directory 障害対策ガイド ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328 以上、無保証です。 皆さんはどんなADでポリシーを設定してるの? ずっとNTドメイン使ってたんだけどNTが保証切れたのでようやく2003環境になった んだけど全然ADを使いこなせてないです まだポリシーゼロです 例えばこれやっとくとクライアント管理が便利だよとかあったら教えて欲しいです うちもやっと全社にAD導入 まだNTドメインひっぱっている課もあるが… ポリシーはとりあえずパスワードの有効期限とか複雑さを要求する設定にしているだけ。 しかしパスワード忘れるユーザー多くてロックアウトされたから解除してくれって依頼が多い。 あとはWSUS使っているからUpdateサーバーを指定している。 IEのproxy設定かな。あと場合によってはホームページとか。 >>209 パスワード付きスクリーンセーバー。 JISQ15001対応には求められる。 ドメコン二台目追加したんだけど なぜかSYSVOLが共有されなくてレプリケーションされない・・・・ それ以外のところはすべて問題ないんだけど なんでか分かる人います? 一通り調べたんですが、どこにも載ってない ドメインコントローラをいったん削除して また入れなおしてみては? MS製品は、手順などが違ったりして、動作がうまくいかなくなると、 難しくなるんで、対応するとすると、インストールメディアから「Support Tools」 入れたり、文献やログ参照しつつ、各種調査しながら、地道にやるのかね。 「入れ直す」っていうのがよいこともあるかもね。 コマンドだと、netdiag、dcdiag、repadminなどを使ってる例もみかける。 ・第 11 章 ‐ ブランチ オフィス環境のトラブルシューティング ガイドライン TCP/IP および DNS 構成、Active Directory の複製のトラブルシューティング〜 ttp://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/adguide/addeploy/addch11.mspx#EAE ・レプリケーションのトラブルシューティング ttp://technet2.microsoft.com/WindowsServer/ja/library/22764cb5-9860-4f8f-95e7-337df24edf741041.mspx?mfr=true ・Troubleshoot Active Directory Alerts Active Directory 警告のトラブルシューティング ttp://www.microsoft.com/japan/technet/serviceproviders/library3/CMSU_OSBP_Run_CONC_Troubleshooting_Active_Directory_Alerts.mspx?mfr=true ・Windows Server 2003 Technology Active Directory 障害対策ガイド ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328 ・Active Directory 複製の監視 ttp://www-1.ibm.com/support/docview.wss?uid=pcd1syj0-00ef8a5&aid=1 ・DNSLint を使用して Active Directory レプリケーションに関する問題のトラブルシューティングを行う方法 ttp://support.microsoft.com/kb/321046/ja ・ActiveDirectoryでレプリケーションが成功しない ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=19583&forum=6&2 >なぜかSYSVOLが共有されなくて... コマンドプロンプトで「net share」やったり、「管理ツール/コンピュータの管理/ 共有フォルダ/共有」みても出て来ていない? 「WindowsFirewallが悪さしてた」ってのは? 一旦削除して追加しなおしは2回ほどやりましたが結果は同じでした また>>216 さんのリンクはまさに自分が探している時に見つけてやりましたが駄目 ファイヤーウォールもマイクロソフトのHPに出てたのでチェックしましたが無効でした @ITとマイクロソフトのHPのSYSVOL、レプリケーションに関するものはほぼすべてチェックしましたが ほとんど外れでした はっきりいって途方にくれてるとこ・・・・・・・・ * * * うそです + n ∧_∧ n + (ヨ(* ´∀`)E) Y Y * さすがにそれはないと思うけど... でも、まだ変だったら、DNS関連を含めて、1台目、2台目など、 以下あたりの作業状況は知りたいかも。 ・Active Directoryの導入 ttp://www.atmarkit.co.jp/fwin2k/operation/2003adprimer07/2003adprimer07_01.html 詳細に状況を書くと 1台のドメコンで動いていたもの(旧)に現場担当者が2台目(新)を追加 しかし不十分なやり方で移行したため、現在2台で動いてはいるが、旧の方をシャットダウンすると クライアントからログインできなくなる つまり新の方はドメコンとして動いていないように思われる 旧のリースが消えるため、なんと新に移したい。(その現場担当者はもうやめていていない) というところです で作業は新を一旦降格して、旧だけに戻しました するとクライアントからログインはできます で、新を再昇格しました すると新の方でユーザーも作れるし、見た目上、おかしなところはありません これで旧の方をシャットダウンするとやっぱりクライアントからログインできません 調べてみるとSYSVOLが共有されてなくて空っぽでした どうもレプリケーションができていない模様 DNSでの名前解決はできている という感じですが・・・・ 誰か同じような経験にあった人いませんか? 205です。 いろいろと調査中ですが、生きている2000serverSP4(DC1.foo.local)上でrepadminをかけたところ 以下のような表示がでました。 inbound,outbound共に何も表示されないので、これ以降の作業はDCを再起動できないので 週末に作業します。 C:\Documents and Settings\admiral>repadmin /kcc Consistency check on localhost successful. C:\Documents and Settings\admiral>repadmin /showreps Default-First-Site\DC1 DSA Options : IS_GC objectGuid : 450cea91-591e-4974-ba27-8d87deb4428e invocationID: c284769b-98c1-4149-bf30-a86fa9c98c4a ==== INBOUND NEIGHBORS ====================================== ==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============ >>222 追加したDCからドメインコントローラポリシー(だっけ?)って開けるの? >すると新の方でユーザーも作れるし、見た目上、おかしなところはありません >これで旧の方をシャットダウンするとやっぱりクライアントからログインできません こういう状況だとすると、 ・DNSがまず気になります DNSについて理解していますか?「ActiveDirectory統合DNSサーバ」にしてますか? ・「操作マスタ(FSMO)」の必要性や扱いは理解していますか? 「旧サーバ」が最初のDCで、FSMOなのでしょうけど、まず、 >>208 の文書をあたって、確実に確認し、新サーバに機能を 移すのであれば、FSMOの転送が必要です(FSMOがない状態でしたら、 強制する必要も)。 ・「グローバルカタログ」については? 1台目のDCは「グローバルカタログ」でもあり、「グローバルカタログ」 がないとユーザはドメインへログオンできないようです。 このため、旧サーバを停止するのであれば、新サーバにも 「グローバルカタログ」を設定する必要があるでしょう。 設定方法は「グローバル・カタログ、操作マスタ、サイト」に 出ています。 ttp://www.atmarkit.co.jp/fwin2k/operation/adprimer004/adprimer004_01.html 結構、いろいろな話の組み合わせだったりしているので、 状況が見えない状態でいきなりやっても、うまく行かない 可能性も考えられます。 復旧できなくなる可能性も考えられます。 理想的には、無料で利用できるvmwareserver と、win2003serve評価版を使うなどして、手順、動作確認してから やったほうがよいでしょうし、作業前にバックアップを取ることも 必要でしょうし(一通り、書籍や研修などで確認できるとよいのですが...)。 以上、無保証ですが、DNS、FSMO、グローバルカタログあたりを まず抑えてみては? FSMOの確認は、 dcdiag /test:knowsofroleholders /v でも行えます。 ttp://www.windows-world.jp/images/_main/200504/152417.jpg ttp://www.windows-world.jp/faq/-/15241.html その他、単純な構成(1フォレスト、1ドメイン)ではなく、より 複雑な構成をしている場合だと、「グローバルカタログ」と「インフラストラクチャ マスタ」 は同じサーバにならないようになどの話も出てくるようなので、より、注意が必要です。 Active Directory ドメイン コントローラ上への FSMO の配置と最適化 ttp://support.microsoft.com/kb/223346/ja なんかADに関する複合的なトラブルのような気がするね。 ここらへんはもうチェック済み? SYSVOL および NETLOGON 共有が存在しない場合のトラブルシューティング http://support.microsoft.com/kb/257338/ja それと、イベントログにはなんか変なエラーとか上がってないのかな? (アプリケーションとシステムだけじゃなく、FRSとかDirectory Serviceのイベントもね) あと、ADの復旧の話もなんかあったみたいだけど、2003でスキーマが拡張されたり 細かい部分で変わってるけど、基本的なところは 2000の ADとあまり変わらないので このドキュメントは非常にわかりやすくて参考になると思う。あくまで基本的な考え方ね。 Active Directory? 障害復旧ガイド http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/techinfo/administration/activedirectory/addrstep.mspx 返信ありがとうございます 操作マスタ、グローバルカタログは問題なく移せています コマンドプロンプトのntutilからも確認できます 共有が存在しない時のトラブルシューティングも確認しましたが、 実際どう操作していいのか分からない イベントヴューアはすべてのイベントIDについて調べましたが、 特に解決に結びつくものはありませんでした また一回新サーバーを降格して入りなおしもしましたが駄目 クライアントのログインだけができないのです クライアントのDNSはもちろんちゃんと設定しているので名前解決はできています あと、サーバーでユーザー等を作成する時に若干操作が遅くなるのは気になるところかな やっぱり入れなおししかないでしょうかね? 800ユーザーなんですが・・・・・・・・・ 実際どう操作していいのかわからないってのはやってみろとしか言えないけど、 他に解決に結びつくものがないと言われると、こっちとしては「そうですか」としか 言えなくなっちゃうので、何かしらの情報がもらえないとアドバイスのしようがないねぇ。 とりあえず、クライアントからのWindowsドメインログオンが出来ないってことは Netlogonに問題があるので、どうでもいい端末をクライアントに仕立てて、 障害発生時の環境でデバッグログ取ってみたら? Net Logon サービスのデバッグ用ログを有効にします。 http://support.microsoft.com/kb/109626/ja 金さえ出せるんなら、障害復旧ガイドにも書いてあったけどPSSに泣きつくのも手かとは思うけど。 >>227 >... >以上、無保証ですが、DNS、FSMO、グローバルカタログあたりを >まず抑えてみては? DNSについて、補足です。 DC、クライアントともに同じDNS情報を参照できる状態になってる必要があります。 旧DCにはDNSが入っているのだと思いますが、 ・旧、新DC、テスト用クライアントの「インターネットプロトコル(TCP/IP) のプロパティ」のDNS設定にて旧DCのIPアドレスを「優先...」として設定しておきます。 新DCのDNSの設定はどうなってますか?たとえば、旧DCのDNSを参照して いないため、DC追加作業、同期などがうまく行っていない可能性は?。 ・新DCにも「ActiveDirectory統合DNSサーバ」として入れる必要があるでしょう。 ・DC追加後、DNS、DCの動作確認ができたら、以下を実施? ドメイン コントローラでは DNS の照会先に自分自身を指定する。 ttp://support.microsoft.com/kb/291382/ja ・クライアントパソコンのDNSの設定に、旧DCの他、新DCを「代替...」として追加 旧DC停止時にDNS参照できるよう。 >>229 >... >SYSVOL および NETLOGON 共有が存在しない場合... これも問題なのだとすると、この解決をしないとDCの設定、動作確認 ができないかもですか。ということで、最優先なのかね。 あっ、進んでる... >共有が存在しない時のトラブルシューティングも確認しましたが、 >実際どう操作していいのか分からない > >イベントヴューアはすべてのイベントIDについて調べましたが、 >特に解決に結びつくものはありませんでした コマンド系だと、たとえば、windows server 2000 のリソースキット(どの分冊でもOKかも。AD関連のは、かなり 記述もあるけど)を持っているようだと、activeperl(2003環境だと、 最新のactiveperlで動いた)を使った「動作保証スクリプト」が使えたりする と思うんだけど。 dcdiag、netdiag、readminなどを手でたたくより、 内容をまとめてくれてるためだったか?問題点がわかったことがあった。 >>232 >>やっぱり入れなおししかないでしょうかね? >>800 ユーザーなんですが・・・・・・・・・ 最悪、そうなったとしても、dsadd dsquery dsmod...など コマンドを駆使すれば、初期パスワードを設定した形での 環境までは復元できるのでは。アクセス権とかは、大変かな(どうですか?)。 ・前使ってたDC名を使っていないか? ・Win2000serverのDCを追加してみると? 解決してよかったです。 うまく行かなかった時のエラーメッセージは、dcpromoのウイザード んとこで出てたの?イベントログ?どっかのログファイル? ・Windows Server 2003 Technology Active Directory 障害対策ガイド ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328 には、ログ出力によってのトラブル時の具体的な対応方法が かかれているよう。状況によっては、SYSVOLなどの バックアップが必要になるようだ。「adprep」の記述があるか?は不明。 Active Directoryの質問じゃないのかもしれないですが教えてください 前任者がクライアントの管理をほとんどせず辞めてしまったのですが ADなどを使ってクライアントのCPUスペックやと搭載メモリを調べること ってできますでしょうか? メモリ128MBでXPが大量に動いていてメモリを増やす計画が出たのですが 128MBのPCが何台ぐらいあるのか調べたいんです。 全国の拠点で300台ぐらいあるのでリモートで調べられる方法があれば 教えてもらえると助かります wsh、wmiなどもあるのかもだけど、systeminfoはどう? systeminfoコマンドでシステムの情報を収集する ttp://www.atmarkit.co.jp/fwin2k/win2ktips/506sysinfo/sysinfo.html デスクトップをフォルダリダイレクトしている状態だと、デスクトップから ショートカットを開くたびに「セキュリティの警告」ダイアログが表示され てしまいます。 リダイレクト先は DC なんですが、警告を表示しないようにできないでしょうか? こういうのは参考になるのかな? セキュリティの警告ダイアログの回避方法が知りたい ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=26030&forum=7&start=16&23 read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる