Windows★Active Directoryスレ
なかったので立てました。
管理者のみなさん、一緒にお話しませんこと? >>709
DNSに問い合わせて探す。
だから、DCを知っているDNSを端末の問い合わせ先DNSに設定しておかないと当然駄目。
DC + DNS + DHCP という構成が楽なのはそういうこと。 重要なのはDNS
DNSレコードで確認できるよね
うちはDHCPはルータ様が管理しているけど
できれば、一緒のほうがいいよね
各拠点にサーバなんて置けないけど ADのドメイン名をDNSのドメイン名
として入力していない場合、最初に
NetBIOSの名前解決なりmDNSの
名前解決なりをやってるかも。 >>710 の言っていることは少し違う。
最終的に DC の IPアドレス提供を DC 自身が行うことが大前提なので、
(ドメイン参加時に必要なのは DC の FQDN ではなく、ドメインの FQDN だから)
「少なくとも、DC をフォワード先に指定している DNS を設定しておかないと駄目」
というのが正しいと思う。
>>712
何を言っているのか良く分からないが、
NetBIOS にせよ、mDNS にせよ、「ホスト名 → IPアドレス」解決しかできない。
やりたいのは「ドメイン名 → 『そのドメインの DC の』 IPアドレス」という解決。
端末をドメインに参加させる時に必要な情報は、DC のホスト名じゃなくてドメイン名だから。 なお、極端な話ではあるが、
_ldap._tcp.dc._msdcs.<ドメイン名> の SRV リソース レコードに DC の IP アドレスを入れれば >>710 でも問題ないはず。
AD 参加端末が DNS に問い合わせているのはこれ。
こんな面倒なこと、普通はやらないけど。 どのようにDCのアドレスを取得するのかという>>709の質問に、
DNSがDCを知っている必要があるという>>710に対して
知らなくてもフォワードして取得できればいいのでそれは間違っている
といいだすなんて、会話のできない奴だなあと思った。 そういう経験した俺、カッコいい
ってやつだろ、ほっといてやれよ ドメインコントローラーにDHCPを共存させるなんて
気持ち悪いですね。
ワークグループのほうがいいんでは ActiveDirectoryは糞。
やりたいことと関係ない非本質的な知識を要求されすぎ。
5つのFSMOとかGCとかSPNとかもうアホかと。
やはりパスワードを全て同じにした
WORKGROUP環境最強。 ActiveDirectoryの管理ムズすぎ。
dcdiagの結果を検索エンジンで調べながら
地道に問題を潰していく時間が無駄すぎる。
バカチョソでも管理できるようにしてくれ グループアドレスへの人の追加・削除などの変更をサーバーでは無く、ローカルPCにて変更する事は可能なんでしょうか?
どんなの方法があるのかご存知の方教えてください。
今は管理者が一手に引き受けて追加・削除をしてきましたが、一部門にも頻繁に変更があるので、
そこのみ自ら作業をしてもらえればと思っています。
なおグループアドレスは既存アドレスへの変更を考えていますので新規作成とかは出来なくても構いません。
Windows Server 2003
AD バージョン: 5.2.3 ユーザーのことじゃね?多分だけど
それなら、
ユーザーに権限与えて、管理ツールインストールでいいんじゃね? >>721
Windowsサーバーがあればできる。
GUIでヤリたいなら、MMCスナップイン。
CUIならPowerShellでいけるはず。 ドメイソコリトローラー4台の内、
1台だけ時刻が合いません。
どこを見直したら良いでしょうか?
何故か大昔に使っていた外部NTPを見に行こうと
してARPを投げようとします。
w32tm /config /updateや
net time /setsntpは正しく設定しており、レジストリに古いNTPの情報はどこにも見あたりません。
Windows Timeサービスの再起動しても治りません。2003です。
dcdiagしてもそれらしい原因が見つからず。。 LinuxでAD互換環境が作れるソフトってないの? 職場ではADが導入されたんだけど、自宅でも検証とか勉強をしたいから、近い環境がないかなって探してるだけでさ、で乞食呼ばわりとは。
>>728>>730
理論上はLDAPサーバとKerberos v5サーバとDNSサーバとSMBサーバを
用意してそれぞれを連動する様にすればAD互換とはなるよ。但し手間
は半端ないだろうけどね。2008R2の評価版とVMWARE Playerで動作確認
するなら金もかからないんじゃない? まだベータ版(アルファ版?)?ながら
samba4にADのDCの機能があるよ。
主な設定はWindowsからになるよう。 公式解説書で理解できないので、知恵拝借
nw-a と nw-b があって、お互いルーティングはできる。
nwセグメントも別で、それぞれがdhcpもってる。
それぞれにDCが立ってて、それをdc-a、dc-bとする。
で、nw-aのクライアントをnw-bに接続して、nw-bのipアドレスもらってクライアントとして動作させつつ、dc-bじゃなくてdc-aにログインさせたい
でも、dc-aとdc-bとで信頼とか委任とかの設定は(規則上)できない。
これって、可能? 操作対象のコンピューターはNICが2つあって
片方はドメインネットワーク(172.16.*.*)、
片方は開発ネットワーク(192.168.0.*)
に接続しています。
どちらも物理的に別のネットワークです。双方名前解決はできません。
操作対象のコンピューターは、ドメインネットワークに参加しています。
ドメインネットワークから、操作対象のコンピューターにドメインアカウントでリモートデスクトップはできる。
開発ネットワークから、操作対象のコンピューターにローカルアカウントでリモートデスクトップはできる。
開発ネットワークから、操作対象のコンピューターにドメインアカウントでリモートデスクトップはできない。
って状態です。
開発ネットワークから、操作したいパソコンにドメインアカウントでリモートデスクトップはできるようにするには
どのような設定が必要ですか? 実環境で色々試せないので鼻毛鯖に2003とActive Directoryをいれて実験環境構築中・・・ >>734
できない理由が思い当たらないのだけど。
少なくともDHCPでIPアドレスが貰えれば
後はルーターをまたごうと繋がる
>>735
リモートデスクトップ有効にして
ユーザーをリモート接続グループに追加して
ファイアウォールに穴あけるだけじゃね? ADでドメインコントローラにwsus入れたら、
ドメインに参加したクライアントってグループポリシーの設定しなくても
wsusのサーバを参照するようになる?
ログ見ると参照しにいって8001B0001のエラーになるんだよね
ドメインに入る前はwindowsUpdate出来てたのに sharepointを試すのにADが要るってんで、適当に手を出してエライ目にあってます。
開発マシンをDCにしたらそのマシンのSQLサーバが使えなくなったんで、
こりゃイカンとDCのアンスコ(降格)したら今までのアカウントの設定がぶっ飛んでしまいました。
(正確には、降格時に新アカウントが作成されて、旧アカウントに入れなくなった?)
Windowsバックアップはとってあるんですが、Cドライブは復元できないと怒られますorz
旧アカウントを復活させる方法はないのでしょうか? server2008+vistaのネットワーク
グループポリシーでvistaクライアント上のofficeのマクロを禁止したいけど、どうすればいいの?
そのものずばりの設定箇所はないけど。 >>742 おれに言ってるの?
なんで? ADのポリシーで設定できないか、って質問なんだけど。 M3mwkK5A
server2008+vistaのネットワーク
グループポリシーでvistaクライアント上のコリャ英和!のマクロを禁止したいけど、どうすればいいの?
そのものずばりの設定箇所はないけど。 古代のWindows 2003 Server稼働機がディスクトラブルでブートしない助けてって言われて見に行った。
Windowsの起動プロセスのどこでこけてるとかそういうのは正直わからんので、
とりあえずレスキュー作業をした。
ていうかPXEで適当なOSをブートしてディスク覗いたらだいたい健全で、NTFSパーティションは基本全部吸い出せた。
だったら修復インストールとかin-placeなんちゃらができるかなーと思ったらうまくいかんので
新規インストールを提案したら泣いて嫌がるの。
聞いてみたら、Active Directoryの再設定したくないんだって。
調べたらntds.ditだったけかに情報が集約されてると書いてあるのだが、
Windowsの外からこのファイルをがりっと上書きしてブートすればミッション達成でしょうか?
うーん、未知の世界すぎる… スレ進んで無さ過ぎ…。
去年の分からだけでもレスしとこうか…。
>>738
するようにならない。
>>739
DC に SQL Server を入れるのは MS の非推奨。
詳細は知らんが何が起こっても不思議じゃないので俺はやったことない。
>>741
Office は Office でそれ用のポリシーがある。インポートして使う。
Office のバージョン毎にあるから泣けること必須。
>>745
助けて、と言ってきた相手による。 csvdeか何かで、特定ou内の特定の複数のグループについてメンバーを取得したいのですがご教示いただけないでしょうか。
目的は現時点でのグループに所属している者を一覧でわかりやすく開示するためです。 今やSamba4でタダで組める時代になったので隔世の感が
個人用に適当に実験するだけなら十分かな まあ評価版WindowsServerも180日使えるし、
お好きな方法で、といったところか。 ソフトウェア開発環境に対して、外部(GlobalSignとかVeriSign)から得たコードサイニング証明書を
再配布する(複数端末利用可の証明であることは前提として)ことは可能でしょうか?
AD CS でコード証明書を発行する( ttps://gallery.technet.microsoft.com/scriptcenter/6ae5d016-3c55-4b26-a0db-ebb0580cad7b )
という記事から、「証明書の発行」が可能なことは理解できているつもりなのですが、
自己発行で無い証明書の、署名実施のための配布というのは可能なのでしょうか? windows(7-10) pro クライアントpcを複数台使っているんですけど、
ドメインコントローラーを用意したら、ユーザー管理、リソースへのアクセス管理、
それ以外にどんなことができるんですか。
各PCの設定、アプリケーションのインストールが自動的にできたら素晴らしいなと思っているんですが。
また、windows phone 10 を参加させるとどんないいことがあるんでしょうか。
windows phone 10 に遠隔ロックをかけるなんてこともできるんでしょうか。
MDMの機能がほしいなあと。 Azure ADとAD FSを勉強した方がいい
アプリの配布は一応できる >>754
ありがとうございます。
まさかAzureを使った管理サービスの勉強をすることになるとは思ってもみませんでした。
自分は、linuxでsamba4をつかって、ドメインコントローラーを構築してマシンを管理できたら良いなくらいに思っていたので。
(linuxは触ってきたんですが、windows serverは今までに一度もないです。)
やはり、Azureということは、windows phoneなど様々なネット上のデバイスの統合の必要があるって理解で良いでしょうか。
これは、これまでのようにプライベートネット内にwindows serverでドメインコントローラーを動作させる時代が終わりになること意味するんでしょうか。
windows phone 10には興味があるので、やはり、Azure上のそういうドメインコントローラー代わり?のサービスについて知るために本屋に行ってきます・・・
間違っているところがあれば、どうかご指摘ください。
ありがとうございます。 勉強用の為にサーバー買ってAD環境作ってみようとしたけど全然あかん。
参考書通りの設定してんのにドメインにアクセスできないとかいってADツールは立ち上がらないし
、dcdiagコマンド叩けばグローバルカタログが停止してるしnetlogonとsysvolには共有化かかってないし、
ドメインネットワークに繋がってないしどこが悪いんだか。
ADのアンインストールからOSの入れなおしてからのリトライしても状況変らんしお手上げだ。 テスト環境作りたいのですが本番環境を丸コピーすると
ドメインまでかぶってコピーしたつもりがコピーになってなかったとかあるんでしょうか? 参考書自体は5000円近くして分厚い構築・運用・管理パーフェクトガイドってやつ。
おそらく、おかしいのではないと思われる。
ネットワークは
インターネット---ルーター(プロバイダの)-------ローカルサーバー
の構成でやってダメ(サーバーへはPCからリモートデスクトップで操作)
ADインストール時の問題は特になし、ただ昇格させようとした時に問題が発生しているようで
DNSでForestDomainZoneとDomain names Zoneが作成されない為、全てが上手くいかないものと思われる。
ちなみに、上記二つのゾーンを作成しようとしてもドメインがみつからないとか言って作成できない。
そのくせ、nslookupやdcdiagでの動きは上手くいくんだよなぁ。 先週のWindows Update
グループポリシーのトラブルで嵌った人、います?
>>756
OS書いたら?
参考書と自環境のOSは、同じだよね? そこまで即座にupdate当てられる運用出来てていいなー
みたいな。 クライアント 250台 windows鯖14台 +Mac 等 50代の会社のおひとり世話係りだからね
一応、ISO27001取ってるし
ゼロディアタックも喰らってるから(社内記録はもみ消されたが)
シンクラと違い百人百様の環境
OSもビスタから10までの、まともに管理できる環境じゃないしね
まあ、問題出す訳には行かんので
今回も何とか、自力回復できてよかった 2012R2サーバをファイルサーバ兼2台目のドメインコントローラーとして使っているんですけど
ローカルユーザを追加してドメインに参加していないクライアントを共有フォルダへアクセスさることはできますか? ドメイングループポリシーのコンピューターの構成ってコンピュータオブジェクトが入ってるOUにしか効果ないの?
部署単位でユーザーオブジェクトが入ってるOUにリンクさせても無意味? あとオペレーションミスでユーザーオブジェクト消しちゃう人がいるんだけど
わかりやすくユーザーオブジェクトが消されたときにわかる履歴ってとる手段ないだろうか?
消された時間と消されたユーザーオブジェクトの名前(SIDではない)とかだけフィルターをかけて出したいけど WIndows Server 2016でのADの新機能
特権アクセス管理 (Privileged Access Management: PAM)
ハイブリッド ID 管理
Windows Hello for Business(旧称、Microsoft Passport for Work)
SYSVOL と NETLOGON 共有のセキュリティ強化 (MS15-011 対策)
この期に及んでもまだ新機能あるのな、みたいな。
まあ半分はAAD対応で一つはセキュリティアップデートみたいな。 スレ汚し失礼します。
質問はここでよかったでしょうか?
違ってれば誘導していただければと。
以下に示すネットワークは全てVPNで接続されローカルとして扱えるものとします。
現在 ABC拠点がありそれぞれに拠点のドメインコントローラが存在します。
また現在は各拠点のクライアントPCは自身の拠点にあるドメインコントローラにしか現在接続しないものとします。
(拠点AのクライアントはSV Aにしか繋ぎません。)
SV A: ADDS,DNS aaa.test.co.jp
SV B: ADDS,DNS bbb.test.co.jp
SV C: ADDS,DNS ccc.test.co.jp
ここにPC Dを追加しABCの各ドメインのバックアップを持たせ
各拠点のドメインコントローラが死んだ際にはDへ接続出来るようにしたいと考えています。
プライマリ、セカンダリのDNS設定で優先先は決定できると思っているのですが。。。
PC Dにドメインをどのように作成していいかがわかりません。
そもそもそのようなことは出来ない等、情報をご教示いただければと思っております。
よろしくお願いいたします。 >>772
PC Dはドメイン情報のバックアップするだけ。ドメインコントローラーは全部死なない限り相互で自動同期取る仕様なんで。自動昇格とかは各ドメイン配下のサーバーで設定しないと。 ここで聞くことじゃないかもしれんが、sambaのADって使い物になるの? 友達がWindowsで稼げている情報など。ニュースというか参考までに。
⇒ http://kuchibeta.sblo.jp/article/181868190.html
興味がある方のために書きました。
HF7Y7ZC55U v6プラスにしたら
pcがDC見つけられなくてドメインに追加できなくなった。
pcのipv6を無効にしたら
ドメインに参加できたけどなんだこれ。 ADとは、直接関係無いのだが
悪意のあるソフト削除ツール は、更新で当月分以外は不要でO.K?
WSUSの容量減らしたくて >>772
ぶら下がっている奴はADサーバも兼ねているだろ
GPOでDNSをまとめて設定すりゃいい >>782
使いもしないパッチを減らせば
OSも種類もあるけどMSのソフトなんていらないだろに
少なくともオフィスの特定のバージョンだけとか
少なくとも何を使ってるかは把握してるんだろうし。 >>772
無知で日本語のパッチレベルで適応させると400GB以上になるよw
大半が無駄パッチ
下手なADサーバーだとそれで死ぬ。
WSUSなっていい加減に設定するとハマるんだよ。
余裕がないのなら限定して組まないと共倒れになるぞw >>782
というか、パッチの置き換えがあったかをトーナメント表みたいな
アイコンで表示できるでしょ。
優勝アイコンもしくはアイコンが表示されないパッチ以外は
全部削除してクリーンアップで容量は激減するよ。 >>785
>>787
レス有難うございます。
やってはいるんですけど、糞鯖な物で
たぶんテレメ入り(蚤じゃない方)のマンスリーと同じだと思うんだけど 容量が多いのは、高速パッチが原因なのは判るけども
前任者が調達含め、いい加減な対応しかしてないので
ほとんど、おまかん状態
導入済みソフトの調査だけで、大変だった
で、結局悪意の古いのは要るの?要らないの? >>789
>>787をやってるんだな?
じゃあ答えは出てるだろ。
糞鯖とか前任者とか全く関係なく、お前の理解不足。 Windows10からデフォルトログオンドメインの挙動変わった?
w8.1まではポリシー設定効いてたのに効かない
ワークグループ環境での挙動が違うだけなのかもしれんが お家のネットワークに、最新のSamba 4.8.0でAD DCを構築。
Windowsは値段が高いし、これで十分だね。 基本的なグループポリシーは問題ないみたい。
(PC管理がずいぶん楽になった。)
今はお試し版のWindowsServerを同時に動かして、いろいろ弄っているところ。 友達から教えてもらった簡単確実稼げる秘密の方法
関心がある人だけ見てください。
グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』
8CBPS 友達から教えてもらったネットで稼げる情報とか
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
H3273 ドメイン取ってないようなとこで.localの代わりに何使ってるのか気になって覗いたけど
過疎スレだね★
客先で.testもあれだしなぁ さんきゅ
とりあえず、DNSが解決しないドメイン名にした。
つかなんで手のひら返したように.localは使うなとか言いだすんだよ。中途半端な知識の情シスがうるせえうるせえ。 導入数年のAD管理任されました
今までユーザーのパスワード無期限を、約半年単位で変更と言うことに落ち着きました、
正月休み明けから、実行を考えていますが
12/1に有効期間30日でGP設定 1/10に183日に変更で思ったような運用可能でしょうか?
最初の30日設定のカウント開始が判らず、当日にパスワード変更要求がかかるなら1月に設定変更しますので と言われましても、社内統一パスワードの設定なので
アホとしか思えん >>801
これから運用するものにlocalなんて使っちゃだめですよ。
新しくドメイン作って末尾を.jpにしてますよ。
フォレスト同士を信頼関係で結んで接続すれば
双方のドメインでユーザーはログイン可能。
ただドメインが違うのでログイン時に、ドメイン名+アカウント名を入れないとダメだけど メアド用にお名前.comなんかで取ったドメイン名にサブドメイン勝手に作ってもいいのかな?
ad.onamae.com みたいなドメイン名で、ログオン時に user@ad.onamae.com って作っちゃうとなんかメアドと間違えられそうだし・・・
.localなんて十数年実績あるんだからなんで勝手に予約語にしたんだか グループポリシーについて教えて下さい。
本部OUと支社OUにそれぞれGPOを作成しました。
本部OUのユーザーが支社OUのコンピューターにログインした時は、本部OUのユーザーの構成が適用されるで合っていますでしょうか?
支社OUのコンピューターの構成でループバックの置換を設定すると支社OUのユーザーの構成が適用されますでしょうか?
何故かループバックの設定をしてないのに、本部OUのユーザーが支社OUのコンピューターにログインしたら支社のユーザーの構成が適用されました。何故でしょうか。
また、コンピューターの構成を適用したい場合はユーザーの構成を無効にする以外は方法無いでしょうか?? >>809
ユーザーの構成はユーザーアカウントに適用
コンピュータの構成はコンピュータアカウントに適用
gpupdate /force & gpresult /R で端末確認しながら勉強しろ
諸悪の根源はこいつか、、、
ttps://support.apple.com/ja-jp/HT204684
.private
.intranet
.internal
.lan
上記4つもいずれは、、、と考えるとサブドメインかね