Windows★Active Directoryｽﾚ

**チーママ** · 04/07/24 18:24

なかったので立てました。
管理者のみなさん、一緒にお話しませんこと？

**名無し~3.EXE** · 2006/11/03(金) 01:45:38

メンバーサーバの移行ってみんなどうしてる？一発勝負？

**名無し~3.EXE** · 2006/11/03(金) 09:19:07

>>142
ドメインじゃなくて、個々のPCのローカル権限が無いのが原因じゃない？
PCにローカルアドミンでログインして、街頭のドメインユーザに権限を割り当てる。
いちいち個々のPCで作業なので面倒だが。

**142** · 2006/11/04(土) 17:10:45

>>144
レスサンクスです。
確かに各クライアントをいじればいいのでしょうが、
台数が増えることを考えると理想的な解決法ではないし、
なにか、ドメインコントローラー側で解決できないかなと探しています。

**名無し~3.EXE** · 2006/11/08(水) 22:15:11

>>145

制限されたグループ
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/2715d832-fe71-47f7-86fd-412f013a40cd.mspx

日本語がわかりにくいので、設定例はここらへんで。

ユーザー定義のローカルグループの制限されたグループ ("所属するグループ") の動作に対する更新プログラム
http://support.microsoft.com/kb/810076/ja

**名無し~3.EXE** · 2006/11/29(水) 17:18:43

お世話になっております。
今Win2000ServerとWindowsServer2003R2を使用しています。

ActiveDirectoryで
WindowsServer2003R2の方にユーザーを追加したのですが
Win2000Serverの方に追加されません。

プライマリは多分Win2000Serverの方です。（確認方法不明）

強制同期の方法をご存知な方はお教えいただけないでしょうか？
またプライマリじゃないADサーバでユーザー登録すること自体
好ましくない行為だったりしませんでしょうか？

以上　RESをいただけますとありがたいです。

**名無し~3.EXE** · 2006/11/30(木) 00:37:18

ADの場合「プライマリ」でなく、「FSMO」などになるかと。

>またプライマリじゃないADサーバでユーザー登録する

FSMOでないDCで登録しても問題ないかと。

>強制同期の方法をご存知な方はお教えいただけないでしょうか？

こういうのですか？
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/285adrepl/adrepl.html

ADの動作確認って、よくみえないというか、結構難しいようで、書籍では、
「Ａｃｔｉｖｅ　Ｄｉｒｅｃｔｏｒｙ障害対策ガイド」に
いろいろな例が出ているようです。

たとえば、windowsfirewallの設定や、DNSの設定不良だけでも同期できなる
ことがあるのでは？（まず、動作確認できないと、原因切り分けが難しい気が）

win2000向けとして「動作保証スクリプト（要activeperl、regdmp）」
がMSから出てるので、これを実行できると、なにかわかるかも。「Ｍｉｃｒｏｓｏｆｔ
Ｗｉｎｄｏｗｓ２０００Ｓｅｒｖｅｒリソースキット〈３〉分散システムガイド（上）」
には、CDにregdmpも入ってるし、記述も役立つかも（インストールCDの
Suport/Tool あたりを入れると、dcdiag、netdiag、などが使えるようになると思います）。

以上、初心者ながら予測でした。

**147** · 2006/11/30(木) 09:07:17

>148さん
RESありがとうございます。
微妙になんとかなりました。
お教えいただいたのを参考にまだまだ勉強します。
本当にありがとうございました。

**147** · 2006/11/30(木) 09:10:21

↑だけだと味気ないのでつけたしですが
「FSMOじゃない方」のActiveDirectoryのデータを消して
FSMOに登録したら「FSMOじゃない方」にもデータがコピーされて
うまく使えるようになりました。
という感じでですけど、、、
スレ汚し失礼しましたっ

**名無し~3.EXE** · 2006/12/02(土) 16:28:05

よかったですね。

ADのテストしてみてますが、サーバ起動後、～３０分～
たたないと安定しないといった話も聞きますし（動作保証スクリプト
にも、何か出てくる）、エラーの記録も再起動しないと消えなかったり、
問題なく使えていれば、動作ＯＫと思うほかないところもあるの
でしょうかね。

**名無し~3.EXE** · 2006/12/05(火) 13:58:17

ActiveDirectoryのドメインポリシを使って、レジストリの特定の値をロックってできます？
あるアプリの挙動の一部をユーザがコントロールできないようにするのが目的で、
レジストリの位置と値は見つけたんだけど。

http;//www.microsoft.com/japan/office/ork/two/admc02.mspx
を読むと、アクセス制御リストでコントロールできそうにも読めるんだけど、
やりかたがさっぱりわからないでいます。

Windows Server 2003 R2だから、上記のドキュメントにあるようにWindows 2000で可能なら
Windoes Server 2003 R2でもできると思うんだけどなあ。

**名無し~3.EXE** · 2006/12/06(水) 01:46:13

ユーザー名称は英文字と２バイト文字
どちらがいいのでしょうか？

２バイト文字は問題が起こる場合があるので、
英文字を勧めているというのが一般的のようなのですが、
皆さんはどうしていますでしょうか？

ｓｈａｒｅpｏｉｎｔで表示される「ｘｘさんようこそ」　で漢字で表示されると
うれしいものですが、英文字で表示されてもそっけない感じが・・・。

とはいえ、トラブルがないのを選びたいと思っています。　

**名無し~3.EXE** · 2006/12/09(土) 13:32:28

>>152
サーバの\windows\infにxxx.admを作成して、ADの管理テンプレートから追加
してポリシーを充ててる。

administrative template（拡張子がadm）か管理テンプレートで検索したら
ヒントが出てきた。

**名無し~3.EXE** · 2006/12/09(土) 13:48:34

IEのインターネットオプション->接続->LANの設定
「設定を自動的に検出する」のチェックを強制的に付けたいと思っています。

ActiveDIrecrtoryが動作しているサーバはWindows2003SV。
グループポリシーのユーザの構成->windows構成->InternetExplorerのメンテナンス->
->接続->自動ブラウザ構成（優先モード）->構成ファイルを自動的に検出する
にチェックを入れてもだめでした。
別なところで定義をするのでしょうか。

どうすればチェックを付けるように出来ますか。

**名無し~3.EXE** · 2006/12/10(日) 18:57:58

>>153
好きな方を使え。Exchange + Outlook の組み合わせなんかだと、ユーザプロパティの「説明」に日本語で姓名を入れておけば
sAMAccountName が英語でも Discription の方を表示してくれる。SharePoint がどうだかは知らん。

>>155
そもそもどこでポリシーを定義しているのか、対象のユーザオブジェクトがどこに格納されているのかによるので、答えようがないな。

**名無し~3.EXE** · 2007/01/29(月) 22:41:34

DCに設定したWindows2003にローカルアカウントの作り方を教えてください。

**名無し~3.EXE** · 2007/01/30(火) 06:23:37

無理。

**名無し~3.EXE** · 2007/02/07(水) 10:50:58

ユーザが共有フォルダにディレクトリやファイルを作成した時、
その作成者であってもアクセス権の設定を変更できないように
させることはできないでしょうか？

やりたいことというのは、
・アクセス権の変更をAdministrator以外はできないようにしたい
ってことなんですが、さすがにユーザが作成したファイルやフォルダの
所有者を強制的に作成者以外にするのは難しいですかね？

**名無し~3.EXE** · 2007/02/10(土) 12:51:15

対応できるのか？わかんないけど「共有アクセス権は「フルコントロール」ではなく
「変更」にする」とどう？

ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=14260&forum=6&6

**名無し~3.EXE** · 2007/02/13(火) 09:28:12

デフォルトの所有者をadministratorにするしかないかも
「変更」にしても、所有者はどうにでもできちゃうし

**名無し~3.EXE** · 2007/02/16(金) 10:23:53

ADのユーザとグループのマトリクス図ってどうやって作成したら楽？
標準の「一覧のエクスポート」はうんこなんですが・・・

**名無し~3.EXE** · 2007/02/27(火) 12:56:23

hoshu

**名無し~3.EXE** · 2007/03/02(金) 17:17:45

Barcelonaって期待外れだから買わない方がいいみたいだなぁ
待つ価値ないの解かってしまうと萎えるよなホント

**名無し~3.EXE** · 2007/03/02(金) 20:39:28

グループポリシーでクライアントPCに任意のレジストリ追加とかできるんですか？

**名無し~3.EXE** · 2007/03/05(月) 08:59:45

>>165
グループポリシーそのものがクライアントPCのレジストリを操作してるわけだ
メニューに無いものは、自分でスクリプトを書かないとダメだけどね

**名無し~3.EXE** · 2007/03/12(月) 01:24:21

2003R2EEでDC2台構成の場合、両方のサーバをGCにするのって問題ない？
2003ネイティブ(2000ネイティブ)ではGCが無くてもログオンできるたような
記憶があるので、両方で設定する必要ってあるのかな？

**名無し~3.EXE** · 2007/03/14(水) 00:08:25

２Ｋ３でＡＤ統合のＤＮＳにしているサーバ上で「ＤＨＣＰクライアント」
を無効にしてＮＳＬＯＯＫＵＰすると、ＤｅｆａｕｌｔＳｅｒｖｅｒ：
ＵｎＫｎｏｗｎになるのは仕様ということでよい？

**名無し~3.EXE** · 2007/03/14(水) 09:06:28

ADじゃなくても昔からそうじゃなかったっけ？
記憶が薄れてしまっててあれなんだが

**名無し~3.EXE** · 2007/03/15(木) 23:01:51

2003サーバーのドメインにVISTA入れたけど
グループポリシーが反映されないのは仕様なんですか？
ファイアーウォール無効化が適用されません・・・

**名無し~3.EXE** · 2007/03/18(日) 18:02:26

SANBA入りのNASをドメイン参加させたけど
DNS使っての名前解決ができない時ってどうするんですか？

**名無し~3.EXE** · 2007/03/26(月) 09:43:13

もうなんかこのスレ終わってるな
一応ageてみるか

**名無し~3.EXE** · 2007/03/29(木) 05:03:53

>>162
Excelで落として、なんとかせい、ってのが普通だと思うけど、
VISIOに精通しているなら、VBAでADSIつかえば、でできそうなきもする。
でも難しそう～。っーか、大量だとでかい図になるし。
そういう需要ありそうだから、これをネタに、製品作る人とかいそうだなｗ

**名無し~3.EXE** · 2007/03/29(木) 09:26:29

>>173
これ、たぶん需要あるよね。
先に表を作れって話なのかも知れないけど。

何でもそうなんだけどね。
ユーザとか権限の台帳っていうのは、管理者的には自分がわかればいいだけなんだけど、
ある日突然上から作れって言われたりして、右往左往。

**名無し~3.EXE** · 2007/04/02(月) 16:51:24

　　　　　　　　＿＿＿_
　　　　　　　／　　　　＼
　　　　　／　　─　　 ─＼
　　　　／　　（●）　（●）＼　　　＜春だなぁ・・・と
　　　　|　　　　（__人__）　　 |　＿＿＿＿＿＿＿_
　　　＼　　　　｀ ⌒´ 　 ,／　.| |　　　　　　　　　　|
　　　　ノ　　　　　　　　　　　＼　| |　　　　　　　　　　|
　／´ 　　　　　　　　　　　　　 | |　　　　　　　　　　|
　|　　　　ｌ　　　ｶﾀｶﾀ　　　　 | |　　　　　　　　　　|
　ヽ　　　 -一ー_~､⌒)^),-､　　　| |_＿＿＿＿＿＿__|
　　ヽ＿＿＿＿,ノγ⌒ヽ)ニニ-￣　　　| |　　|　　　　　＿＿＿_

**名無し~3.EXE** · 2007/04/03(火) 05:02:45

ずっと疑問に思っている事があるんだけど！！！builtin　ってどういう時使うの？検索しても使い道わからん。
usersとはっきりした区別もわからん。　なんの為にあるんじゃろ？？

**名無し~3.EXE** · 2007/04/03(火) 12:42:15

builtin！！！
って叫びながら巨人にダイブする時に使う

**名無し~3.EXE** · 2007/04/03(火) 20:49:43

グループポリシーを使って
すべてのクライアントローカルのアクセス権を変更はできますかね？

たとえばDドライブを使用不可能にしたり。

**名無し~3.EXE** · 2007/04/04(水) 08:38:50

VISTAってサーバーとの通信の種類違うの？

**名無し~3.EXE** · 2007/04/05(木) 13:22:27

built in　の事でしょ？

**名無し~3.EXE** · 2007/04/14(土) 15:19:13

active directoryのグループポリシーで電源オプションの変更できますか？
制限ユーザーのデフォルト電源設定だと10分で休止モードに入ってしまうため
非常に使いにくいです。

ポリシーの変更箇所を教えていただきたいです。

**名無し~3.EXE** · 2007/04/18(水) 01:19:32

ADで登録したアカウント情報をODBC接続などでデータを引っ張ってくる事は可能でしょうか？
またその際Accessと既存のODBC接続で十分でしょうか？

**名無し~3.EXE** · 2007/04/21(土) 17:30:19

新規でNTドメインから、ADへ移行あるいはアップグレードする場合って
クライアント数分CALって必要ですか？

**名無し~3.EXE** · 2007/04/22(日) 00:53:30

yes.

**名無し~3.EXE** · 2007/04/23(月) 09:05:49

はて？MSのサポートってついて無いんだっけ？
保守ベンダがいない管理者は自力でなんとかするしかないのかな。
質問の内容を見ていると、そう思う。

**名無し~3.EXE** · 2007/04/29(日) 10:53:35

サーバーＯＳって未知の領域なんですが
グループポリシーに標準である変更テンプレ以外で
クライアント側の任意のレジストリを書き換えたりできるのでしょうか？
レジストリ作成→クライアントへ配信可能なのでしょうか？？

**名無し~3.EXE** · 2007/04/29(日) 18:04:25

>>186
できます。

**名無し~3.EXE** · 2007/05/02(水) 23:44:23

どうやるの？

**名無し~3.EXE** · 2007/05/03(木) 23:04:19

>>186
何でもいいからadmファイルをメモ帳で開いて自分で勉強してください。

**名無し~3.EXE** · 2007/05/10(木) 21:46:01

>>162

http://www.microsoft.com/japan/technet/community/columns/scripts/sg0405.mspx

OUごとにエクスポートする必要もない。エクスポートで出せない詳細情報も出せる
ただし複数の値を持つオブジェクトが上手くでない。

ユーザーをキーにして所属グループを綺麗にだせるようになったら俺にも教えてくれ

**名無し~3.EXE** · 2007/05/16(水) 12:11:41

初心者ですいません。Windows2003R2でADを構築するのですが、セキュリティ
的な面からドメインコントローラ(2台)にWindowsFirewallを設定しようと考え
ています。ただFSMOやレプリケーションといったDC間の同期等に影響がないか
心配です。そもそもDCにWindowsFirewallって使うものなのでしょうか？

**名無し~3.EXE** · 2007/05/18(金) 00:33:16

こんなページがある。

Windows Firewall: Domain controller
Updated: March 02, 2005
You must turn off Windows Firewall to use this server role.
ttp://technet2.microsoft.com/windowsserver/en/library/2a1e2951-7ec8-4297-9c94-757766fb94671033.mspx?mfr=true

でも、こんなページも ...

ファイアウォール越しにActive Directoryを利用する方法
ttp://www.microsoft.com/japan/technet/archive/ittasks/tasks/adrepfir.mspx

**名無し~3.EXE** · 2007/05/20(日) 10:26:00

500台のクライアントのＤＣにするのは
Celeron　D 　3.33GHz　メモリ１Ｇだときついですかね？

**名無し~3.EXE** · 2007/05/24(木) 00:46:06

すみません。どなたか教えてください
ＡＤのドメインのプロパティのＧＰＯが開けなくなってしまったのですが
修復またはツールみたいなものありましたらご教授ください
たまにドメインユーザマネジャも開かなくなるときがあります。

再インストするしかないですかね。

**名無し~3.EXE** · 2007/06/01(金) 18:28:15

パソコン一般板質問スレッドVol.26 より
誘導されました。

Win2003ServerのActiveDirectoryでドメイン管理しているのですが、
Vistaマシンがドメインアカウントでログイン出来なくなってしまいました。

なお、同一アカウントにxpでログインする事は可能です。

ログインパスワードを変更した事が原因だと思うのですが、
解決方法はありますか？

ログインパスワードは、新しいものや古いものへ戻したりも
試してみました。

よろしくお願いします。

**195** · 2007/06/01(金) 19:59:46

復旧しました。

参考までに。

ローカルの管理者権限で入り、再度ドメイン設定をするような形で
アカウントの接続設定を行う事で、ドメインにログインする事が出来ました。

あと、もし同じような感じで困っている方がいたら、
ウィルスバスター等のファイアーウォール設定も
切って試してみると良さそうです。

**名無し~3.EXE** · 2007/06/08(金) 00:27:35

グループポリシーでネットワークのプロパティを開いて
クライアントの設定変更できなくしたいんだけど
なかなかうまくできません・・・
似たような項目を全部変えてみたんだけど・・

**名無し~3.EXE** · 2007/06/08(金) 01:02:32

souiya
WindowsServer2008になったら、ADずいぶん変わるみたいね・・・

**名無し~3.EXE** · 2007/07/10(火) 22:28:24

デュアルコアXEONの３Gのメモリ２Gで
180台のクライアントのDCと２０人のファイルサーバーを兼任できます？
スペック的にも厳しいかな？

**名無し~3.EXE** · 2007/07/10(火) 22:53:50

ファイルサーバの使い方にもよると思うけど、大丈夫でしょ。
台数の方が問題じゃないかな？故障時とか。

**名無し~3.EXE** · 2007/07/10(火) 22:56:41

ありがとうございます。
2003 serverのDCが他に３台あれば大丈夫かな？

**名無し~3.EXE** · 2007/07/11(水) 00:22:48

だからDCなんぞは1台でも大丈夫だろうけどファイルサーバの使い方が問題でしょ。
あとはトラフィック。

DFS使った方がいいよ。

**200** · 2007/07/11(水) 00:44:59

>>201
PC250台ぐらいで、ちょっと前のHP DL360だけど、タスクマネージャーで見る限りはベタ底です。
DC2台あって認証は勝手に分散されてるけど、1台でも負荷的には問題ないと思いますよ。
うちは一斉起動が殆ど無いって言うのもありますが。

>>202も言ってるけど、ファイルのやりとりに掛かる負荷が問題でしょう。
移動プロファイルもやるつもりなら、かなり事情が変わるかも知れません。

DCとしてだけなら、4台もあれば十分過ぎるんじゃないですかね。

**名無し~3.EXE** · 2007/07/13(金) 00:28:01

ファイルサーバーって事はアクセス監査もすると考えれば
結構な負荷が掛かるかも。

**名無し~3.EXE** · 2007/07/16(月) 14:14:07

Windows 2000 serverのActive Directoryについて教えていただきたいことがあります。
他に適切なスレッドがあれば、誘導ねがいます。
本文が長すぎると警告されたので分割して掲載します。

当初 Windows 2000 server 2台をドメインコントローラとしていました。
ある日一台のDC(DC2.foo.localとします)がクラッシュし、起動しなくなりました。
(マザーのトランスの一部が焦げていたので復旧できませんでした)
幸いサブの(スキーママスタやインフラストラクチャマスタではない方)のDCだったので
http://support.microsoft.com/kb/216498/ja　を参考にクラッシュしたDC2.foo.localを
生きているドメインコントローラ(DC1.foo.local)から削除しました。

その後、今後に備えて新しいハードを用意し、Window Server 2003 R2を購入し
ドメインに参加させ、ドメインコントローラに昇格させようとしているのですが
adprepは、特に問題なく完了したのですが、
「ソースフォレストの Active Directory スキーマのバージョンはこのコンピュータの Active Directory のバージョンと互換性がありません。」
となり、昇格できません。

**205** · 2007/07/16(月) 14:14:38

adprepを行う前にDC1のシステム状態を戻し、
http://support.microsoft.com/kb/325379/　を参考に作業しているのですが、Server 2003にて

C:\Program Files\Support Tools>repadmin /replsummary DC1.foo.local /bysrc /bydest /sort:delta
Replication Summary Start Time: 2007-07-16 13:11:53

Beginning data collection for replication summary, this may take awhile:
....

Source DC largest delta fails/total %% error

Destination DC largest delta fails/total %% error
Assertion

となり、Active Directory レプリケーションの確認ができません。

**205** · 2007/07/16(月) 14:15:49

DC1でのActive Directory サイトとサービスは
Sites
　　Default-First-Site - Servers - DC1 - NTDS Setting[グローバルカタログ]
　　　　Licensing Site Settings[コンピュータ:DC1 ドメイン:foo.local]
　　　　NTDS Setting[サイト間トポロジジェネレータサーバー:DC1 サイト:Default-First-Site]
　　Inter-Site Transports - IP - DEFAULTIPSITELINK[このサイトリンクにあるサイト:Default-First-Site]
　　　　SMTP
　　Subnets - 192.168.1.0/24
となっております。

何か間違っている点、試すべきことなどありましたら、宜しくお願いします。

**名無し~3.EXE** · 2007/07/16(月) 16:33:12

操作マスタというかFSMOは無事だったのでしょうか？（まず、そのあたりの
確認と、バックアップが必要？）
・FSMO 役割のホルダの確認方法 (サーバー)
ttp://support.microsoft.com/default.aspx?scid=kb;ja;234790
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/439fsmorole/fsmorole.html

で、こういった記述があったけど。
・ActivedirectoryでFSMOを強制移動する際の注意点について
ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=19419&forum=6&start=8

「adprep」は、Win2000serverで動かしてるの？
・Windows 2000 ドメインまたはフォレストに Windows Server 2003 ドメインコントローラを作成する場合...
ttp://support.microsoft.com/kb/278875/ja

「ドメインコントローラ(DC1.foo.local)の削除」は、最後に行うことだったかも。

ADがよく見えないで操作すると、結構大変になる気もするんで、
ADデータを失うとか、最悪の場合も考えて対応した方がよいかも。

テスト環境などがあって、文献調査なども済んで、テスト
してからの対応でないと、危ないかも。

障害復旧関連だと、以下など？
・第 10 章 ‐ ブランチオフィス環境の障害復旧
ttp://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/adguide/addeploy/addch10.mspx

・Windows Server 2003 Technology Active Directory 障害対策ガイド
ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328

以上、無保証です。

**名無し~3.EXE** · 2007/07/16(月) 23:06:42

皆さんはどんなADでポリシーを設定してるの？
ずっとNTドメイン使ってたんだけどNTが保証切れたのでようやく2003環境になった
んだけど全然ADを使いこなせてないです
まだポリシーゼロです
例えばこれやっとくとクライアント管理が便利だよとかあったら教えて欲しいです

**名無し~3.EXE** · 2007/07/16(月) 23:52:57

うちもやっと全社にAD導入
まだNTドメインひっぱっている課もあるが…
ポリシーはとりあえずパスワードの有効期限とか複雑さを要求する設定にしているだけ。
しかしパスワード忘れるユーザー多くてロックアウトされたから解除してくれって依頼が多い。
あとはWSUS使っているからUpdateサーバーを指定している。

**名無し~3.EXE** · 2007/07/17(火) 01:18:55

IEのproxy設定かな。あと場合によってはホームページとか。

**名無し~3.EXE** · 2007/07/17(火) 10:04:19

>>209
パスワード付きスクリーンセーバー。
JISQ15001対応には求められる。

**名無し~3.EXE** · 2007/07/17(火) 14:33:22

ドメコン二台目追加したんだけど
なぜかSYSVOLが共有されなくてレプリケーションされない・・・・
それ以外のところはすべて問題ないんだけど
なんでか分かる人います？
一通り調べたんですが、どこにも載ってない

**名無し~3.EXE** · 2007/07/17(火) 21:58:59

ドメインコントローラをいったん削除して
また入れなおしてみては？

**名無し~3.EXE** · 2007/07/17(火) 22:34:14

MS製品は、手順などが違ったりして、動作がうまくいかなくなると、
難しくなるんで、対応するとすると、インストールメディアから「Support Tools」
入れたり、文献やログ参照しつつ、各種調査しながら、地道にやるのかね。
「入れ直す」っていうのがよいこともあるかもね。

コマンドだと、netdiag、dcdiag、repadminなどを使ってる例もみかける。

・第 11 章 ‐ ブランチオフィス環境のトラブルシューティングガイドライン
TCP/IP および DNS 構成、Active Directory の複製のトラブルシューティング～
ttp://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/adguide/addeploy/addch11.mspx#EAE
・レプリケーションのトラブルシューティング
ttp://technet2.microsoft.com/WindowsServer/ja/library/22764cb5-9860-4f8f-95e7-337df24edf741041.mspx?mfr=true
・Troubleshoot Active Directory Alerts
Active Directory 警告のトラブルシューティング
ttp://www.microsoft.com/japan/technet/serviceproviders/library3/CMSU_OSBP_Run_CONC_Troubleshooting_Active_Directory_Alerts.mspx?mfr=true
・Windows Server 2003 Technology Active Directory 障害対策ガイド
ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328
・Active Directory 複製の監視
ttp://www-1.ibm.com/support/docview.wss?uid=pcd1syj0-00ef8a5&aid=1
・DNSLint を使用して Active Directory レプリケーションに関する問題のトラブルシューティングを行う方法
ttp://support.microsoft.com/kb/321046/ja

**名無し~3.EXE** · 2007/07/17(火) 23:01:57

・ActiveDirectoryでレプリケーションが成功しない
ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=19583&forum=6&2

>なぜかSYSVOLが共有されなくて...

コマンドプロンプトで「net share」やったり、「管理ツール／コンピュータの管理／
共有フォルダ／共有」みても出て来ていない？

「WindowsFirewallが悪さしてた」ってのは？

**213** · 2007/07/17(火) 23:09:24

一旦削除して追加しなおしは2回ほどやりましたが結果は同じでした

また>>216さんのリンクはまさに自分が探している時に見つけてやりましたが駄目
ファイヤーウォールもマイクロソフトのHPに出てたのでチェックしましたが無効でした

＠ITとマイクロソフトのHPのSYSVOL、レプリケーションに関するものはほぼすべてチェックしましたが
ほとんど外れでした
はっきりいって途方にくれてるとこ・・・・・・・・

**名無し~3.EXE** · 2007/07/18(水) 21:12:06

ＬＡＮの線が外れていました

**名無し~3.EXE** · 2007/07/18(水) 22:01:03

おおおおおおおおおおおおおおいっ！！！！

**名無し~3.EXE** · 2007/07/18(水) 22:31:45

　　　　*　　　　　　*
　　＊　　うそです　　　＋　　
　　　 n ∧＿∧　n
　＋　(ﾖ（* ´∀｀）E)
　　　 Y 　　　 Y　　　　＊

**名無し~3.EXE** · 2007/07/18(水) 23:52:43

さすがにそれはないと思うけど...

でも、まだ変だったら、DNS関連を含めて、１台目、２台目など、
以下あたりの作業状況は知りたいかも。

・Active Directoryの導入
ttp://www.atmarkit.co.jp/fwin2k/operation/2003adprimer07/2003adprimer07_01.html

**213** · 2007/07/19(木) 10:14:19

詳細に状況を書くと
1台のドメコンで動いていたもの（旧）に現場担当者が２台目（新）を追加
しかし不十分なやり方で移行したため、現在２台で動いてはいるが、旧の方をシャットダウンすると
クライアントからログインできなくなる
つまり新の方はドメコンとして動いていないように思われる
旧のリースが消えるため、なんと新に移したい。（その現場担当者はもうやめていていない）
というところです

で作業は新を一旦降格して、旧だけに戻しました
するとクライアントからログインはできます
で、新を再昇格しました
すると新の方でユーザーも作れるし、見た目上、おかしなところはありません
これで旧の方をシャットダウンするとやっぱりクライアントからログインできません

調べてみるとSYSVOLが共有されてなくて空っぽでした
どうもレプリケーションができていない模様
DNSでの名前解決はできている

という感じですが・・・・
誰か同じような経験にあった人いませんか？

**205** · 2007/07/19(木) 20:08:56

205です。
いろいろと調査中ですが、生きている2000serverSP4(DC1.foo.local)上でrepadminをかけたところ
以下のような表示がでました。
inbound,outbound共に何も表示されないので、これ以降の作業はDCを再起動できないので
週末に作業します。

C:\Documents and Settings\admiral>repadmin /kcc
Consistency check on localhost successful.

C:\Documents and Settings\admiral>repadmin /showreps
Default-First-Site\DC1
DSA Options : IS_GC
objectGuid : 450cea91-591e-4974-ba27-8d87deb4428e
invocationID: c284769b-98c1-4149-bf30-a86fa9c98c4a

==== INBOUND NEIGHBORS ======================================

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

**名無し~3.EXE** · 2007/07/19(木) 21:37:20

>>222
追加したＤＣからドメインコントローラポリシー（だっけ？）って開けるの？

**名無し~3.EXE** · 2007/07/19(木) 22:08:29

>>224

開けますよ

**名無し~3.EXE** · 2007/07/19(木) 22:27:03

>すると新の方でユーザーも作れるし、見た目上、おかしなところはありません
>これで旧の方をシャットダウンするとやっぱりクライアントからログインできません

こういう状況だとすると、

・DNSがまず気になります
DNSについて理解していますか？「ActiveDirectory統合DNSサーバ」にしてますか？

・「操作マスタ（FSMO）」の必要性や扱いは理解していますか？
「旧サーバ」が最初のDCで、FSMOなのでしょうけど、まず、
>>208の文書をあたって、確実に確認し、新サーバに機能を
移すのであれば、FSMOの転送が必要です（FSMOがない状態でしたら、
強制する必要も）。

・「グローバルカタログ」については？
１台目のDCは「グローバルカタログ」でもあり、「グローバルカタログ」
がないとユーザはドメインへログオンできないようです。
このため、旧サーバを停止するのであれば、新サーバにも
「グローバルカタログ」を設定する必要があるでしょう。

設定方法は「グローバル・カタログ、操作マスタ、サイト」に
出ています。
ttp://www.atmarkit.co.jp/fwin2k/operation/adprimer004/adprimer004_01.html

**名無し~3.EXE** · 2007/07/19(木) 22:37:32

結構、いろいろな話の組み合わせだったりしているので、
状況が見えない状態でいきなりやっても、うまく行かない
可能性も考えられます。

復旧できなくなる可能性も考えられます。

理想的には、無料で利用できるvmwareserver
と、win2003serve評価版を使うなどして、手順、動作確認してから
やったほうがよいでしょうし、作業前にバックアップを取ることも
必要でしょうし（一通り、書籍や研修などで確認できるとよいのですが...）。

以上、無保証ですが、DNS、FSMO、グローバルカタログあたりを
まず抑えてみては？

FSMOの確認は、

dcdiag /test:knowsofroleholders /v

でも行えます。

ttp://www.windows-world.jp/images/_main/200504/152417.jpg
ttp://www.windows-world.jp/faq/-/15241.html

**名無し~3.EXE** · 2007/07/19(木) 22:45:21

その他、単純な構成（１フォレスト、１ドメイン）ではなく、より
複雑な構成をしている場合だと、「グローバルカタログ」と「インフラストラクチャマスタ」
は同じサーバにならないようになどの話も出てくるようなので、より、注意が必要です。

Active Directory ドメインコントローラ上への FSMO の配置と最適化
ttp://support.microsoft.com/kb/223346/ja

**名無し~3.EXE** · 2007/07/19(木) 22:49:29

なんかADに関する複合的なトラブルのような気がするね。
ここらへんはもうチェック済み？

SYSVOL および NETLOGON 共有が存在しない場合のトラブルシューティング
http://support.microsoft.com/kb/257338/ja

それと、イベントログにはなんか変なエラーとか上がってないのかな？
（アプリケーションとシステムだけじゃなく、FRSとかDirectory Serviceのイベントもね）

あと、ADの復旧の話もなんかあったみたいだけど、2003でスキーマが拡張されたり
細かい部分で変わってるけど、基本的なところは 2000の ADとあまり変わらないので
このドキュメントは非常にわかりやすくて参考になると思う。あくまで基本的な考え方ね。

Active Directory? 障害復旧ガイド
http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/techinfo/administration/activedirectory/addrstep.mspx

**名無し~3.EXE** · 2007/07/19(木) 23:17:27

>>229
>...
>Active Directory? 障害復旧ガイド
>http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/techinfo/administration/activedirectory/addrstep.mspx

おっ、ここにあったんだ。また、リンクがなくなったかと思って
心配したよ。ありがと。

**213** · 2007/07/19(木) 23:53:00

返信ありがとうございます

操作マスタ、グローバルカタログは問題なく移せています
コマンドプロンプトのntutilからも確認できます

共有が存在しない時のトラブルシューティングも確認しましたが、
実際どう操作していいのか分からない

イベントヴューアはすべてのイベントIDについて調べましたが、
特に解決に結びつくものはありませんでした

また一回新サーバーを降格して入りなおしもしましたが駄目

クライアントのログインだけができないのです
クライアントのDNSはもちろんちゃんと設定しているので名前解決はできています
あと、サーバーでユーザー等を作成する時に若干操作が遅くなるのは気になるところかな

**213** · 2007/07/19(木) 23:53:37

やっぱり入れなおししかないでしょうかね？
800ユーザーなんですが・・・・・・・・・

**名無し~3.EXE** · 2007/07/20(金) 00:10:26

実際どう操作していいのかわからないってのはやってみろとしか言えないけど、
他に解決に結びつくものがないと言われると、こっちとしては「そうですか」としか
言えなくなっちゃうので、何かしらの情報がもらえないとアドバイスのしようがないねぇ。

とりあえず、クライアントからのWindowsドメインログオンが出来ないってことは
Netlogonに問題があるので、どうでもいい端末をクライアントに仕立てて、
障害発生時の環境でデバッグログ取ってみたら？

Net Logon サービスのデバッグ用ログを有効にします。
http://support.microsoft.com/kb/109626/ja

金さえ出せるんなら、障害復旧ガイドにも書いてあったけどPSSに泣きつくのも手かとは思うけど。

**名無し~3.EXE** · 2007/07/20(金) 00:17:12

>>227
>...
>以上、無保証ですが、DNS、FSMO、グローバルカタログあたりを
>まず抑えてみては？

DNSについて、補足です。

DC、クライアントともに同じDNS情報を参照できる状態になってる必要があります。

旧DCにはDNSが入っているのだと思いますが、

・旧、新DC、テスト用クライアントの「インターネットプロトコル（TCP/IP）
のプロパティ」のDNS設定にて旧DCのIPアドレスを「優先...」として設定しておきます。

新DCのDNSの設定はどうなってますか？たとえば、旧DCのDNSを参照して
いないため、DC追加作業、同期などがうまく行っていない可能性は？。

・新DCにも「ActiveDirectory統合DNSサーバ」として入れる必要があるでしょう。

・DC追加後、DNS、DCの動作確認ができたら、以下を実施？
ドメインコントローラでは DNS の照会先に自分自身を指定する。
ttp://support.microsoft.com/kb/291382/ja

・クライアントパソコンのDNSの設定に、旧DCの他、新DCを「代替...」として追加
旧DC停止時にDNS参照できるよう。

>>229
>...
>SYSVOL および NETLOGON 共有が存在しない場合...

これも問題なのだとすると、この解決をしないとDCの設定、動作確認
ができないかもですか。ということで、最優先なのかね。

**名無し~3.EXE** · 2007/07/20(金) 00:29:28

あっ、進んでる...

>共有が存在しない時のトラブルシューティングも確認しましたが、
>実際どう操作していいのか分からない
>
>イベントヴューアはすべてのイベントIDについて調べましたが、
>特に解決に結びつくものはありませんでした

コマンド系だと、たとえば、windows server 2000
のリソースキット（どの分冊でもＯＫかも。AD関連のは、かなり
記述もあるけど）を持っているようだと、activeperl（2003環境だと、
最新のactiveperlで動いた）を使った「動作保証スクリプト」が使えたりする
と思うんだけど。

dcdiag、netdiag、readminなどを手でたたくより、
内容をまとめてくれてるためだったか？問題点がわかったことがあった。

>>232
>>やっぱり入れなおししかないでしょうかね？
>>800ユーザーなんですが・・・・・・・・・

最悪、そうなったとしても、dsadd dsquery dsmod...など
コマンドを駆使すれば、初期パスワードを設定した形での
環境までは復元できるのでは。アクセス権とかは、大変かな（どうですか？）。

**名無し~3.EXE** · 2007/07/20(金) 00:48:47

・前使ってたDC名を使っていないか？
・Win2000serverのDCを追加してみると？

**205** · 2007/07/24(火) 14:06:25

原因は
http://support.microsoft.com/kb/917385/ja
でした。

**名無し~3.EXE** · 2007/07/24(火) 23:51:38

解決してよかったです。

うまく行かなかった時のエラーメッセージは、dcpromoのウイザード
んとこで出てたの？イベントログ？どっかのログファイル？

・Windows Server 2003 Technology Active Directory 障害対策ガイド
ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328

には、ログ出力によってのトラブル時の具体的な対応方法が
かかれているよう。状況によっては、SYSVOLなどの
バックアップが必要になるようだ。「adprep」の記述があるか？は不明。

**名無し~3.EXE** · 2007/07/26(木) 20:50:44

Active Directoryの質問じゃないのかもしれないですが教えてください

前任者がクライアントの管理をほとんどせず辞めてしまったのですが
ADなどを使ってクライアントのCPUスペックやと搭載メモリを調べること
ってできますでしょうか？
メモリ128MBでXPが大量に動いていてメモリを増やす計画が出たのですが
128MBのPCが何台ぐらいあるのか調べたいんです。
全国の拠点で３００台ぐらいあるのでリモートで調べられる方法があれば
教えてもらえると助かります

**名無し~3.EXE** · 2007/07/26(木) 21:40:37

wsh、wmiなどもあるのかもだけど、systeminfoはどう？

systeminfoコマンドでシステムの情報を収集する
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/506sysinfo/sysinfo.html

**名無し~3.EXE** · 2007/07/26(木) 21:53:10

デスクトップをフォルダリダイレクトしている状態だと、デスクトップから
ショートカットを開くたびに「セキュリティの警告」ダイアログが表示され
てしまいます。

リダイレクト先は DC なんですが、警告を表示しないようにできないでしょうか?

**名無し~3.EXE** · 2007/07/26(木) 22:23:33

こういうのは参考になるのかな？

セキュリティの警告ダイアログの回避方法が知りたい
ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=26030&forum=7&start=16&23