Windows★Active Directoryスレ
なかったので立てました。
管理者のみなさん、一緒にお話しませんこと? 実際どう操作していいのかわからないってのはやってみろとしか言えないけど、
他に解決に結びつくものがないと言われると、こっちとしては「そうですか」としか
言えなくなっちゃうので、何かしらの情報がもらえないとアドバイスのしようがないねぇ。
とりあえず、クライアントからのWindowsドメインログオンが出来ないってことは
Netlogonに問題があるので、どうでもいい端末をクライアントに仕立てて、
障害発生時の環境でデバッグログ取ってみたら?
Net Logon サービスのデバッグ用ログを有効にします。
http://support.microsoft.com/kb/109626/ja
金さえ出せるんなら、障害復旧ガイドにも書いてあったけどPSSに泣きつくのも手かとは思うけど。 >>227
>...
>以上、無保証ですが、DNS、FSMO、グローバルカタログあたりを
>まず抑えてみては?
DNSについて、補足です。
DC、クライアントともに同じDNS情報を参照できる状態になってる必要があります。
旧DCにはDNSが入っているのだと思いますが、
・旧、新DC、テスト用クライアントの「インターネットプロトコル(TCP/IP)
のプロパティ」のDNS設定にて旧DCのIPアドレスを「優先...」として設定しておきます。
新DCのDNSの設定はどうなってますか?たとえば、旧DCのDNSを参照して
いないため、DC追加作業、同期などがうまく行っていない可能性は?。
・新DCにも「ActiveDirectory統合DNSサーバ」として入れる必要があるでしょう。
・DC追加後、DNS、DCの動作確認ができたら、以下を実施?
ドメイン コントローラでは DNS の照会先に自分自身を指定する。
ttp://support.microsoft.com/kb/291382/ja
・クライアントパソコンのDNSの設定に、旧DCの他、新DCを「代替...」として追加
旧DC停止時にDNS参照できるよう。
>>229
>...
>SYSVOL および NETLOGON 共有が存在しない場合...
これも問題なのだとすると、この解決をしないとDCの設定、動作確認
ができないかもですか。ということで、最優先なのかね。 あっ、進んでる...
>共有が存在しない時のトラブルシューティングも確認しましたが、
>実際どう操作していいのか分からない
>
>イベントヴューアはすべてのイベントIDについて調べましたが、
>特に解決に結びつくものはありませんでした
コマンド系だと、たとえば、windows server 2000
のリソースキット(どの分冊でもOKかも。AD関連のは、かなり
記述もあるけど)を持っているようだと、activeperl(2003環境だと、
最新のactiveperlで動いた)を使った「動作保証スクリプト」が使えたりする
と思うんだけど。
dcdiag、netdiag、readminなどを手でたたくより、
内容をまとめてくれてるためだったか?問題点がわかったことがあった。
>>232
>>やっぱり入れなおししかないでしょうかね?
>>800ユーザーなんですが・・・・・・・・・
最悪、そうなったとしても、dsadd dsquery dsmod...など
コマンドを駆使すれば、初期パスワードを設定した形での
環境までは復元できるのでは。アクセス権とかは、大変かな(どうですか?)。
・前使ってたDC名を使っていないか?
・Win2000serverのDCを追加してみると? 解決してよかったです。
うまく行かなかった時のエラーメッセージは、dcpromoのウイザード
んとこで出てたの?イベントログ?どっかのログファイル?
・Windows Server 2003 Technology Active Directory 障害対策ガイド
ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328
には、ログ出力によってのトラブル時の具体的な対応方法が
かかれているよう。状況によっては、SYSVOLなどの
バックアップが必要になるようだ。「adprep」の記述があるか?は不明。 Active Directoryの質問じゃないのかもしれないですが教えてください
前任者がクライアントの管理をほとんどせず辞めてしまったのですが
ADなどを使ってクライアントのCPUスペックやと搭載メモリを調べること
ってできますでしょうか?
メモリ128MBでXPが大量に動いていてメモリを増やす計画が出たのですが
128MBのPCが何台ぐらいあるのか調べたいんです。
全国の拠点で300台ぐらいあるのでリモートで調べられる方法があれば
教えてもらえると助かります wsh、wmiなどもあるのかもだけど、systeminfoはどう?
systeminfoコマンドでシステムの情報を収集する
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/506sysinfo/sysinfo.html デスクトップをフォルダリダイレクトしている状態だと、デスクトップから
ショートカットを開くたびに「セキュリティの警告」ダイアログが表示され
てしまいます。
リダイレクト先は DC なんですが、警告を表示しないようにできないでしょうか? こういうのは参考になるのかな?
セキュリティの警告ダイアログの回避方法が知りたい
ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=26030&forum=7&start=16&23 >>240
ありがとうございます
ちょっとページが今は見れないですが明日見てみますね 2003のDCが3台あってメインじゃないDCを
メンバーサーバーに降格させた場合って
他のDC側でも何か設定変更するのでしょうか?
単純に該当DCの機能を削除するでけでOKなのかな? DCがなくなる場合の文書ってみかけないんで、気になるな。
正常に降格した場合は、不要な情報は、消えてくれるんだろうか。
FSMOの強制の場合だと、FSMOのDCの情報はWINSのはそのうち消えて
くれるとして、「Active Directory ユーザとコンピュータ/Domain Controllers」、
「ActiveDirectory サイトとサービス、DNSあたりのは手動での
削除が必要かもだけど。
そういえば、こういう文書があった。
ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法
ttp://support.microsoft.com/kb/216498/JA/
誰か知ってたら教えてください。
ドメインアカウントの”プロファイルパス”、”ホームディレクトリ”などの情報を
システムメンテナンスにともない一括して書き換えたいんですが、普通どういうふうにやるの?
ドメインバージョンはWindows2000です。
adduser.exeというツールがリソキにあるけど、既存のアカウントの上書きとかもできるんでしょうか?
要望にあってるか、普通かは分らないけど、スクリプト組むんじゃないかな。
ホームディレクトリでいうと
ttp://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/dec05/hey1202.mspx
みたいな。 addusers はどうだったか忘れたけど、ldifde や csvde を使うか、リソキがあれば cusrmgr で書き換えるのも可。 dsmodも使えそう。
ttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/3558c421-ba3d-4b8f-a107-b9058cc0f286.mspx?mfr=true クライアントのドメイン参加設定時に
一部のフォルダにだけアクセス権限の変更がうまく
渡されない原因って何でしょうか? Windows Administrator語でおk おそれいります。現在MCPの勉強しているものですが、Win2000Serverについて理解できない点があります。
Q.
貴方はAコンピュータというハードウェア製造会社のネットワーク管理者です。
貴方はソフトウェア開発部門内に、20台の新しいWindosw2000Serverコンピュータを
展開しています
ソフトウェアテスターが、これらのサーバーをテストのために使用します
それぞれのテスターは、Power Usersグループのメンバーで、新しいハードウェアと
デバイスドライバをこれらのサーバー上にインストールできる必要があります。
貴方は、これらのテスターが、問題なく、ドライバをインストールする
カスタムアプリケーションをテストできるようにしたい。
貴方は展開のためのシステムイメージを準備するために、1台のコンピュータ上に
Windows2000Serverをインストールしました。あなたは、ソフトウェアテスターたちの
要望にこたえるように、このシステムイメージを設定する必要があります。
なにを行うべきですか?
A.Power Usersグループに、[デバイスドライバのロードとアンロード]権利を与える。
解説:
問題中で、テスターたちはPower Usersグループのメンバーだといっていますので、
Power Usersグループに、[デバイスドライバのロードとアンロード]権利を与える事で、
彼らがデバイスドライバをインストールするカスタムアプリケーションをテストする事を
許可することができます。
ユーザ権利の割り当ては、[コンピュータの構成/Windowsの設定/セキュリティの設定/
ローカルポリシー/ユーザー権利の割り当て]で行う事ができます。
[デバイスドライバのロードとアンロード]ユーザー権利はデバイスドライバを
動的にロードまたはアンロードできるユーザーを決定します。
この特権は、プラグアンドプレイデバイスのドライバをインストールするために
必要になります。既定では、Administratorsグループだけがこの権利を持っています。
経緯
解説を読んでPower Usersグループについて調べたところ、
ドメインコントローラーにはPowerUsersが無いようなのですが・・・
これはWindows2000Serverがドメイン管理じゃなくて
メンバーサーバーとして動いていると理解すればいいのでしょうか?
よろしくお願いします DC に Power Users はないんだから、そう考えるしかないでしょ。
それに、設問中「ドメインコントローラ」とはどこにも書いてない。 みんなバックアップソフトは何使ってる?
やっぱアークサーブ? BackupExecのシステムリカバリーってバージョンあるけど
アークサーブ使ってるのはアホですか? ドメインコントローラバックアップするなら当然NTバックアップだろ >>244
>>245
レプリケーションが正常ならたぶんうまく消える。
でも念のため、DCから降格後にADSIEditやNtdsutilを使って
後処理(ディレクトリ情報の削除)を実行するのが無難。
あとは念のため、DNSのSRVレコードに降格したDCのレコードがないか確認し、
あれば手動で削除。 クライアント60人の8時間稼動(電源は24時間ON)の
普通のファイルサーバー用構成だとどんな感じがベストですか?
グローバルグループに属する
メンバー一覧をエクスポートしたいんだが
csvde.exeでできる?マジ助けてくれ
こういうのは、動くかな?
dsget group "cn=grptest,cn=Users,dc=example,dc=com" -members
"CN=usr1,CN=Users,DC=example,DC=com"
"CN=usr2,CN=Users,DC=example,DC=com"
...
グループ名とグループが入ってるOUなどの
指定は直して。
んな事やるぐらいならスプリクト組んだ方が楽ちゃうのん?
ここ参考にしる。
ttp://www.microsoft.com/japan/technet/scriptcenter/scripts/ad/default.mspx win2000のCSVDEをADでやったら表示名がUFT-8で変換されん 初歩的な質問で失礼致します。
ActiveDirectoryを、Unix系のLDAPに置き換えることは不可能ですか?
Windowsドメインの管理はやはりWinServerのADにしかできませんか? やりたいことによるんじゃないの。
認証って意味だけなら、Samba + LDAP でもできると思うけど。
一概に Windows ドメインの管理って言ったってたくさん機能あるんだし
出来ることと出来ないことがあるだろう。
詳しいことは向こうの板なりスレなりで聞いてくれ。 こういうのあったよ。
次世代Samba 4.0系列の概要を知る
ttp://www.thinkit.co.jp/free/article/0707/7/1/
[ANNOUNCE] Samba 4.0.0alpha1
ttp://lists.samba.org/archive/samba-announce/2007/000124.html 特定のPCだけ ログイン出来るユーザを限定するにはどうしたらいいか
誰か教えていただけないでしょうか そのユーザーがログオン出来るPCを限定するなら
アカウントのログオン先でPCを指定すれば可能だけど >>274
確認取れましたありがとうございます。
こちらの設定の関係上このコンピュータはこのアカウントのみ許可する
とか出来るとありがたいのですがどうでしょうか
出来るかどうかわからないけど、
そのコンピュータ上でグループポリシーエディタ(gpedit.msc)を開き
「ローカルコンピュータセキュリティポリシー」
「ローカルポリシー」 => 「ユーザ権利の割り当て」 => 「ローカルログオン」で、
ユーザーを限定することで可能かもしれません
見てみましたが、Domain Usersも許可されていなく
AD関係は一切許可されていませんでした
名前の通りローカルにしか適用されない項目なんだと思います
残念でした >>275
ポリシー関連では無理だとおもわれ。
ログオンスプリクトで弾くか、Ginaで弾くかしないと無理ちゃうか。
素直にログオン先で設定しる。又はスプリクトで設定するとか。
DCのIPを変更したら他のDC側でも手動変更する設定あるのかな?
>>279
DNSのSRVを変更すればOKでない。
DCの数が少ないなら、優先DNSを変更でもOKかと。 ADのグループポリシーで
「コンピュータの構成」→「管理テンプレート」→「Windows Update」
→自動更新を構成する
を有効にしWindowsUpdateの自動更新設定をしても設定の効果が
表れないで困っています。
クライアントのローカルグループポリシーで同様の設定を行った場合には
うまく動作しています。
質問ばかりで申し訳ないのですが、力になっていただけるとありがたいです。
書き忘れましたが環境は
サーバ 2003 R2
クライアント XP Pro
です >>280
優先DNSを変更ってIP変更するPCのですか? >>281
設定の効果が表れないというのは、ポリシーは効いているがWindows Updateの疎通に失敗するのか、
ポリシー自体がそもそも効いてないのかどっちなのか。
[スタート] - [ヘルプとサポート] - [ツールを使ってコンピュータ情報を〜] - [システムの詳細情報] - [適用しているグループポリシーの設定を表示する]
からポリシーがそもそも効いてるのか確認してみそ。gpresult /v でも見えるかもしれんけど。 >>284
アドバイスありがとうございます
ポリシー自体がそもそも聞いていない感じです
「適用しているグループポリシーの設定を表示する」をやってみたところ
正常に動いているクライアントは
適用されたグループポリシーのところが
・Default Domain Policy
・ローカルグループポリシー
になっているのですが
正常に動作してないクライアントは
・ローカルグループポリシー
しか適用されていないことがわかりました
Windows Updateの設定はDefault Domain Policyで行っています
Default Domain Policyが当たっていないなんて考えもしませんでしたが
正常・異常クライアントは同じように設定してあるはずです
なぜこんなことになってしまったのでしょう・・・ 失礼、「Default Domain Policyが当たっていない」んですね。
クライアントパソコンのドメインへの参加手順や
ADへのクライアントパソコンのコンピュータアカウントの登録状況は
どうですか?ドメインへの参加やドメインへのログオンが
できているのでしたら「Default Domain Policy」はあたってそうですが。 >>285
ポリシーがあたらないのは1台だけ?
イベントログに Userenv とか netlogon のエラーが大量に上がってたりしない?
例えばの話ドメイン参加し直してコンピュータアカウント作り直すとか、
エラーが出てるんならそれを解消させることだね。 >>287
>>288
解決しました。本当にありがとうございました。
時間がズレ過ぎとログに書いてあって
そんな馬鹿なと思って時間見てもズレてなかったけれど
よくみたらタイムゾーンがなぜか他のゾーンになってて
時差分がずれてしまってたということでした
時間って大切なのね
そしてログちゃんと見ようね・・・・ってことでした
netlogonって結局どういう役割の意味なんでしょうか?
調べてもまったく出てこないのは基本過ぎてなのかな・・ なんでこんなに人いないの??
ところで皆さんのおすすめのポリシーって無いですか?
これだけはやっとけ!みたいなやつ
自分で一つ定番出すと
[次のパスワードの変更で LAN マネージャのハッシュの値を保存しない]
を有効にする
ですかね?w ごめん誤解をまねいたね
一定時間入力なかったらモニタを消したり
HDDの電源きったりスタンバイに移行したり
ってのをADで管理したいのよ
このあたりの設定ってなぜか管理者権限ないと
変更できないんだもん
Vistaからはできるらしいけども・・・
試しに2台目のドメインコントローラー追加してみようと思うんだけど
DCの追加ウィザードで完了なの?
DNSサーバーも追加しなきゃダメなのでしょうか? DNSも一緒に追加するとなおよろしい。
DNSのレコード(だっけ?)も一緒に複製してくれる。
2003 serverだとDCの追加ウィザード完了で
自動でDNSサーバーも追加される? 2003R2のインストールCDからインストールしたらSP1なのな
SP2まで入れてくれよ >>297
サーバの役割管理画面とかで入れてやらなきゃならんハズ >>6
>サーバから、クライアントのWinXPのハードディスクのdefragができた。
恐ろしく亀レスですがそんなことできるんですか?
もしかしてログオンスクリプトでやるとか?
どなたか教えて下さい
ADに問題なくログインできているのにグループポリシーが適用
されていないPCが発見されました
PCにはUserenvエラーが大量に発生していましたが、ウイルスバスター
のファイヤーウォールを切ることでこの問題は解決できました
問題は他にもこういったPCが存在していないかチェックする方法
なのですが・・・
グループポリシーの適用に失敗しているPCを知る良い方法は
ありませんでしょうか? gpresult 使えばリモートのポリシー適用状態がわかる。
ポリシーの結果セットウィザードとかでもわかった気はするが、数十台とか面倒くさくてやる気にならんな。
gpresult でも、数百台〜数千台になるとたまらんかもしれんが。 グループポリシーは適用されてると信じるしかないっていうw
ログオンスクリプトでサーバーにイベント書き込みするようにする
とかすればわかるかも
おっと、よく読んで無かったけど
>さらにインストールされたアプリケーション、プロセッサ名や速度、
>インストールされた修正プログラムのリストなどの詳細なシステム
>情報を効果的に取り出すこともできます。
だって。なんか便利そう。
既出なのかもしれませんが教えて下さい
ユーザIDの使いまわしやなりすましを見つけるために
ユーザが多重ログインできないようにする方法って
標準であるのでしょうか?
できたらそれを監査対象に入れたいと思っているのですが
>>307
標準機能で多重ログインを防ぐ方法はない。確かそんなポリシーも無かった希ガス。
なので手段は限られてくる。
VistaならばICredentialProvider ,XP以前であればGinaをなんとかするか
ログインスプリクトで何かで判定して強制ログアウト等の方法ぐらいちゃうか?
ADのデータってバックアップどうやって取ればいいんでしょう?
みなさんどうしてます?
ドメインコントローラ2台あればOKでバックアップしないのが
普通でしょうか? >>310
厳密には1度ログインしてセッション数見て多かったら強制ログアウトみたいな
感じですね。
>>309
システム状態をバックアップしてやればOK
できればADの情報だけバックアップできた方が精神衛生上よいんだけどね パソコンショップ最強完全リンク!!!
ttp://want-pc●.com
●はとってね。 CALはWindowsServerってことで統一してくれよ セキュリティログなんとかならんのかな
ログインログオフでも監査でもIISの匿名アクセスでも全部まとめて記録される
からすぐログ溢れるし見づらいったらありゃしない
みなさんどうされてますか?
うちはドメコンのセカンダリをファイルサーバーにしてるんでログを100Mぐらい
にしててもあっという間に溢れちゃいます>< >>318
必要のない監査はGPOで切ればいいんじゃないか? desktop.iniがファイルサーバの監査ログに大量に引っかかって非常に邪魔くさい。
誰かアイコンでも換えてるんだろうか?
>>319
一番うざいのがIISのログなんだけどこれって切れたっけ? >>318
カスタムログで分けられないのかな?
やり方は知らんがw
皆さんDFS使ってます?
便利そうだけどどうもトラブルやしそうで敬遠しちゃってます
安定してますか? うちもDFSそろそろ使ってみようかと思ってるけど二の足踏んじゃってるな
ぐぐっても分からなかったんだけどDFSで作った共有フォルダにもドライブ割り当てってできる? R2のDFSって同期してる片方のファイルサーバーが停止したら
同期先のフォルダに自動でアクセス切り替わるのかな? >>325
ドメイン名でアクセスしてれば移る。
けど、ユーザーに使わせるときには説明がすごい大変。
>>356
レスありがとう。
そうなんだぁ、なんかややこしそうだねぇ
メインのファイルサーバーが止まった時に自動で切り替わる
待機用の複製ファイルサーバーとして使いたいんだけど
用途はあってるかな?w
凝ったことをやろうとするから
サーバがおかしくなるんだ。
DFS-Rって同期してるサーバーの片方だけに通常は全員アクセスするってできるの?
できればかなり使えそうな機能だよね。 あぁ、昨日書き忘れてたけど。。。
DFS-R使う時って、レプリカ用のキャッシュに思ったよりも容量食うから
気をつけてね。
必要量の見積は多めにしとかないと、本末転倒になるぞ。