[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
まず、赤本とかで基本用語を覚えないと回答内容が理解できない。
(質問)
親子ドメインについて
類似した質問がなかったので、質問します。
はじめました、××××です。
test.local(親ドメイン)にtokyo(子ドメイン)のDCを作成しました。
その際、DNSのゾーン(tokyo.test.local)が作成されませんでしたが、それは正常な動作なのでしょうか?
もしくは、手動で作成すべものなのでしょうか?
また、親子ドメインの作成に関するwebサイトも探しています。
『TechNet オンラインコンシェルジェ』に【 Windows Server 2003 で Active Directory を
構築した際の子ドメインの追加方法 】で問い合わせをしましたところ、下記の情報を頂きました。
【 Windows Server 2003 Active Directory での追加のドメインコントローラーのセットアップ 】
http://technet.microsoft.com/ja-jp/library/cc967028.aspx
どなたかの他の情報をご存知でしたら、ご教授お願い致します。
---------------------------
(回答)
○○○○です。
△△△ さんのコメントに補足します。
Active Directory で(ドメインツリーの)子ドメインを作った場合、親ドメインコントローラの DNS サーバを指定すると、親ドメイン内にサブドメインが作成され、その中にゾーン情報が格納されます。たとえば、exmaple.com の子ドメイン sub1.example.com なら、[exnample.com]ゾーン内に[sub1]というサブドメインが作成されているはずですよ。
ただ、うえの設定行った場合、親ドメインコントローラがダウンしたら子ドメインが使えなくなること(親ドメインコントローラへのネットワークトラフィックも増えます)、DNS ゾーン情報の管理を子ドメインコントローラで制御できない、と問題があるので、こういう使い方はあまり行われません (DNS 情報を集中管理したいような場合は別ですが)。
そのため、一般には (うえの例なら) [example.com] ドメインのサブドメインに対して "委任" を行い、サブドメイン情報の格納先を別の DNS サーバ(子ドメインコントローラの DNS サーバ) に指定するのです。DNS ゾーン(ドメイン)の委任を行う場合、固定的な IP アドレスを手動で設定し、委任先のコンピュータを指定します。委任先コンピュータ(子ドメインコントローラ)に DNSサーバが事前にインストールされていれば、DCPromoコマンドの機能で、サブドメインのゾーン作成等は自動的に行われ、子ドメインコントローラの DNS サーバ上にサブドメインのゾーンが作成され、_msdcs.example.com ゾーン(フォレスト内の全てのドメインコントローラ情報が収められており、認証に必要です)が、Active Directroy 複製されます。
「スタブ」という機能ですが、うえの「委任されたサブドメイン情報」を動的に登録するもので、委任先のDNS サーバのIP アドレスが一部変わってしまっても、その情報を追跡することができます(手動で行う[委任]機能では実現されません)。
DNS の委任については、「DNSのサブドメインを定義する(委任を利用する方法)」が、スタブについては「スタブ ゾーンとは」が、参考になるかと思います。
[0回]
やはり、MSI形式はMS社の開発者の特許なのか
(質問)
ポリシーを使用してソフトウェアをクライアントPCへ配布したいのですが、MSI形式以外のもの(ライセンスフリーな)を簡単にMSI形式にする方法(フリーソフト等)を教えてください
皆様、大変お世話になっております。
ActiveDirectoryと格闘する内に、「ポリシーを使用したソフトウェアの配布」という便利な事が出来るのを知りました。
早速、「Adbe」などのmsi形式のもので試したらうまくいきました。
そこで、欲を出して社内で活用できる優秀なフリーソフトなどもmsi形式に変換して配布できないものだろうかと考えた次第です。
MSI形式以外のもの(ライセンスフリーな)を簡単にMSI形式にする方法(フリーソフト等)があるのでしょうか?
ちなみに「ORCA」をインストールしてみましたが既存のMSIパッケージ?の中身を買いたい表示して編集できるという代物のようですが・・・難しいようです。
よろしくお願いします。
----------------------------------
(回答1)
そもそも、MSI 形式のインストーラを”きちんと”作ることがそれほど簡単ではありません。
フリーなソフトでいえば、WiX がありますが、XML 形式のファイルを元にインストーラを作成するため、それなりの知識を求められます。
故に、労力に見合う結果を得られるかは疑問が残ります。
他の手段もないか、検討してみることをお薦めします。
質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。
----------------------------------
(回答2)
○○○○です。
××××さんのコメントどおり、直接ご要望の方法を実現するツール等は、たぶんないでしょう。
ただ、別の視点となりますが、「コンピュータ上で『特定のアプリケーション』のインストール前とインストール後の差分」を抽出して、インストール可能な MSI インストーラ を作成するツール、というものは、世の中にはあります。
具体的には Windows 2000 の CD-ROM に入っていた "WinInstall LE" などが該当するでしょう。使い方は、一応資料がありますね。
WinINSTALL LE を使用してアプリケーションを Windows インストーラ用に再パッケージする方法
このツールは、いまはこういう会社から配布されているようです。
http://www.scalable.com/wininstall
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/a254025c-d2a5-4a30-90e2-32b59a78ff3e
[0回]
このような質問・回答は異なるドメイン間の信頼関係を検証するうえで役に立つ。
(質問)
異なるドメインの名前解決
はじめまして○○○と申します。
現在下記構成でサーバを構築し、AAAサーバでnslookupを実施し、Bサーバのサーバ名での正引きでの名前解決を実施した場合に
ドメイン名がBサーバのドメイン名の名前ではなく、Aサーバのドメインで返ってきます。
Aサーバでnslookupを実施し、Bサーバのサーバ名でBサーバのドメイン名が正常に返ってくる方法は御座いますでしょうか。
<現在のAサーバ上でのnslookup状態>
C:¥nslookup
>BBB
Server:AAA.test.local
Address:192.168.0.1
Name:BBB.test.local ←ここがBBBサーバのドメイン名ではないです。
Address:192.168.1.1
<AAAサーバ構成>
OS:Windows saerver 2003 R2
サーバ名:A
ネットワーク:192.168.0.1/24
DNS:192.168.0.1
WINS:192.168.0.1 ※レプリケーションパートナーとしてBBBサーバを指定
Active DIrectory構築
DNS構築
ドメイン名:test.local
BBBサーバの正引き、逆引きのセカンダリを保持
BBBサーバとの信頼関係あり※双方向
<BBBサーバ構成>
OS:Windows saerver 2003 R2
サーバ名:BBB
ネットワーク:192.168.1.1/24
DNS:192.168.1.1
WINS:192.168.1.1 ※レプリケーションパートナーとしてAAAサーバを指定
Active DIrectory構築
DNS構築
ドメイン名:test1.local
AAAサーバの正引き、逆引きのセカンダリを保持
AAAサーバとの信頼関係あり※双方向
以上、お手数ですがご教示頂ければ幸いです。
-----------------------------------
(回答・その1)
××××です。
この件なのですが、2 つ考えることがあります。
まず AAA ドメインコントローラ上で "DNS サフィックス" をきちんと設定します。DNS サフィックスの機能や基本的な設定方法については、したのページにあります。
http://www.atmarkit.co.jp/fwin2k/win2ktips/398dnssuffix/dnssuffix.html
うえの設定をする場合、決して "プライマリ DNS サフィックス" はいじらないこと、test.local ドメインのゾーン内に "BBB" A レコードが存在しないことを確認したうえ、DNS サフィックス検索のリストに "test.local" → "test1.local" の順番で登録してみてください。BBB ドメインコントローラ上で逆の設定 (DNS サフィックス検索のリストに "test1.local" → "test.local" の順番で登録する) をしておくと BBB 上で AAA ドメインコントローラの名前解決に同じことができるようになります。
なお test.local ドメインのゾーン内に "BBB" A レコードが存在していて、どうしてもこれを削除することができない、という場合、AAA ドメインコントローラの DNS サフィックス検索のリストに "test1.local" → "test.local" の順番で登録することで、とりあえずお望みの動作となるにはなりますが、おかしな動作が起こる可能性があるので、これはお奨めしません。
次に両方のドメインについて、DNS サーバからの名前解決の方法を確認します。ここでは、セカンダリゾーンで相手ドメインが設定されているので特に問題はなさそうですね。
ちなみに条件付きフォワーダですが、特定のドメイン名に対してクエリが発生したとき、指定した DNS サーバに検索を委任(ここでは直接検索をかけるという動作になります) する、という機能なので、指定するドメイン名が意図するものと違っている (ホスト名だけ指定した場合 DNS サフィックスで決定されます) 場合は、思った通りに動作しないでしょう。
-----------------------------------
(回答・その2)
△△△△です
このドメイン構成はサブドメイン構成ではないようですね
test.local====test1.local
というツリー構造のドメインということですよね
まず、AAAサーバー上でnslookupからBBBの名前解決ができるということは、レコードが存在するということだと思われます。
ですので存在しているのであればそれは正しいということになりますね
また本来ならBBBで検索をかけると、今存在しているドメイン(サフィックス)がくっついて検索されますのでサーバーはみつから
ないというのが正しい動作だと思われます
検索するのなら
set domain=test1.local
BBB
と行えばいいと思われます
そしてこのようなツリー構造のドメインの場合は条件付きフォワーダの設定を行うのがいいのではないでしょうか?
AAAサーバーのDNSで、条件付きフォワーダとしてtest1.localを192.168.1.1
BBBサーバーのDNSで、条件付きフォワーダとしてtest.localを192.168.0.1
として設定することによって異なるドメイン名でも名前解決できますね
[0回]
(質問)
ドメイン管理のセキュリティについて
Windows Server 2003 SP2を使っています。
私が構築したものではないのですが、
社内にActive Directoryが構築されており、
ドメイン管理されています。
社員は1人1台の端末を渡されており、
全員ドメイン管理されたユーザーでログインするルールになっております。
そこでAさんの端末のOSににBさんのユーザーIDと
パスワードでログインしたところ、
ログインすることができました。
ドメイン管理していると、これは当然のことなのでしょうか?
Aさんの端末には、Bさんに見られたくない情報がありますが、
Bさんは、BさんのユーザーIDとパスワードを使えば、
Aさんの端末のOSにログインできますので、情報を取得することができます。
そこで、社内のセキュリティ対策が不十分ではないかと思いました。
これはActive Directoryの構築方法が悪いのでしょうか?
それとも、ドメイン管理をするということは、
他人の端末にログインできるというのは当然のことなのでしょうか?
そもそもドメイン管理している目的は、
社内のメンバーであれば、お互いの共有フォルダに自由にアクセスし合いたいと
いうものです。
Active Directoryの構築方法に誤りがあるのではないか?
と思っているのですが、
その点についてご存知でしたら、教えて頂けませんか?
ぜひよろしくお願いいたします。
(質問・続)
ご回答ありがとうございます。
結局、他人のPCにログインできてしまうのは、
仕方ないということなのでしょうか?
そう考えると私の会社でのActive Directoryの構築は
失敗であるような気がしてしまいます。
パスワードポリシーの設定やスクリーンセイバー保護のポリシーの設定は
確かに必要だとは思いますが、
重要なPC内の情報に対して、他人がアクセスできてしまうのは、
とても問題に感じております。
部長のPCに新人社員がログインして情報を盗めてしまいます。
この問題にはどのように対策するのが良いのでしょうか?
電源パスワードは外し方があるので、
セキュリティ対策としては完璧ではないと思います。
この場合は、内部犯には対策しきれないのでしょうか?
(Active Directoryの構築によって、セキュリティホールを作り出してしまっているのでしょうか?)
もしよろしければ、アドバイスください。
よろしくお願い致します。
--------------------------------------
(回答)
多分 いろいろと 方向性の問題と思われますが、
Active Directoryを導入することのメリットの一つがデメリット化して見えているという事だと思います。
ADを構築し、ドメイン参加させたコンピュータと ドメインユーザを用いることで、
基本すべてのドメインユーザがすべてのクライアントコンピュータにログオンできるようになります。
これは、
AさんのPCが壊れた時、予備のPCや、BさんのPCを用いて業務を継続できる
ということで、Aさん専用にPCを準備しないとにっちもさっちもいかないという 困難を無くしているのです。
上記を元に言うと、各PCには余り各個人のデータを置くべきでなく、逆にないからこそどのPCでも
利用して業務が出来ると言うことになります。
運用的に間違えていると思われるのは
~~~
そもそもドメイン管理している目的は、
社内のメンバーであれば、お互いの共有フォルダに自由にアクセスし合いたいと
いうものです。
~~~
ここですね。
まず1つに各PCに業務データが分散しているということは データバックアップなどの点で多大な問題を抱えていると言えます。
有るべき姿とするには、
1.社内に別途ファイルサーバを設営する。
これはそれなりのディスク容量を持ち、バックアップ用の装置を持っていることが重要。
ディスクアレイ構成は必須+UPSなどの対策も考慮ください。
2.ファイルサーバ内に共有フォルダを構築し、アクセス権をADユーザやADグループで設定します。
3.各共有フォルダを正しくバックアップするようにスケジュールバックアップなど設定します。
4.各ユーザは、各PCのローカルではなく、ファイルサーバ内に必要なデータを置くようにします。
必要があれば、「ファイルサーバの役割」等を入れれば ディスククォータ & フォルダクォータの管理が出来、
各自が手当たり次第にファイルサーバのディスク容量を食いつぶす事を防ぐことも出来ます。
ディスククォータ → 記憶違いでなければ、指定ユーザが指定ドライブに対してデータを置ける最大値の制限
フォルダクォータ → 指定フォルダ以下のディスク容量の最大値の制限 (Windows 2003 R2以降必要・・・だったはず)
AさんがAさんに意外に見せたくないデータを置きたいなら、 Aさん専用のフォルダを作成し、アクセス許可をAさんのにし、
フォルダクォータを仕掛けます。
AさんがAさんの所属するグループに対して公開のデータなら グループ向けのフォルダを同様に作成します。
こんな感じで再構成されてはいかがでしょうか?
後、それでもAさんのPCにはAさんしかログインさせない という感じにしたいなら、
「ADユーザとコンピュータ」管理ツールでユーザのプロパティを開き、
アカウントタブの [ログオン先]ボタンをクリックすると、そのアカウントがログインできるコンピュータを
制限できます。ここにドメインコントローラとファイルサーバとAさんのPCを入れておけばきっと。
その代わりBさんのPCの共有フォルダも見れなくなりますけどね、、、多分。
>Active Directoryの構築によって、セキュリティホールを作り出してしまっているのでしょうか?
つまるところ 運用の仕方がおかしい という回答となってしまうとは思います。
--------------------------------------
(回答・その2)
回答済みのチェックがつかないので別のMVP氏がさらに丁寧に回答している。
△△△△です。
まず、この件ですが、セキュリティの観点から「なにがダメでなにを許容するか」というところを、ある程度説明していただかないと、皆さん答えるのに困ってしまう点があるのかな?と思います。
直接のご要望になる、「指定したアカウント以外をログオンさせない」という機能は、SHIMSOFTさんのコメントにある方法で実現できます。これはWindows NT時代からある実装で、「あるユーザに対してコンピュータの利用時間を強制したい」という目的で設定されているのかなと思います。
なので、「ドメインコントローラやメンバサーバ」といったコンピュータアカウントの設定は無意味だったはずですよ。
> 後、それでもAさんのPCにはAさんしかログインさせない という感じにしたいなら、
> 「ADユーザとコンピュータ」管理ツールでユーザのプロパティを開き、
> アカウントタブの [ログオン先]ボタンをクリックすると、そのアカウントがログインできるコンピュータを
> 制限できます。
で、ご懸念?の「別のユーザがログオンすると、中身を盗み見されてしまう」という危険については、2つの方法でカバーできます。
1.各ユーザが「マイドキュメント」フォルダ内にファイルを置くようにする
ユーザがログオンしてアプリケーションを使うと、たいていは「マイドキュメント」フォルダ内にダウンロードしたり保存したりする、動作を行うと思います。「マイドキュメント」は、自分専用のドキュメントを保存するフォルダで、このフォルダは(ネットワーク経由でもローカルでログオンしても)他のユーザからアクセスすることはできないようになっています(アクセス許可でそうなるよう設定されています)。
うえの機能は、ログオン時に自分用の「ユーザープロファイル」がコンピュータに設定されることで、実現されます。ユーザープロファイルは、そのユーザ専用の設定ファイルやデータ保存用フォルダで構成されたもので、システム管理者を除く他のユーザからアクセスはできません。
2.EFS(暗号化ファイルシステム) を使う
EFSを使うと、指定したファイルが個別に暗号化され、暗号化を指定したユーザ以外には、元に戻す(復号)することができなくなります。この機能を使えば、コンピュータ内のどこにファイルがあっても、そのファイルを暗号化したユーザ以外、ファイルの内容を見られることがなくなります。
こういう資料が参考になると思いますよ。
ユーザー プロファイルの概要
[HOW TO] Windows XP でフォルダを暗号化する方法
[0回]
MVP氏の丁寧な回答であるが、内容が高度な為一般の人では理解できない。
×××です。
#○○○ さんもありがとうございます
なるほど。Windows 2000 CD-ROM にはいっているサポートツールでは、実装されていないオプションだったのですね。
私が使ったサポートツールですが、更新されて /SC_Verify オプションがある版、だったようです。したからダウンロードできます。これをファイルサーバにインストールしてもらって、試していただくと結果がわかると思います。
Windows 2000 Service Pack 4 Support Tools
ついでですので、三沢さんへの内容についても、少し触れておきます。
> "CIFS/fileServer*" については、「エントリーがありませんでした」という結果でした。
cifs/fileServer という SPN は、事実上 HOST/fileServer と同一です(外部から CIFS でアクセスするとこのサービス名になります)。なので、「ない」ということで正解です。
> ちなみに、変更前のコンピューター名でも実施してみましたが、上記と同じ結果でした。
----
dn: CN=※※※,CN=Computers,DC=▲▲▲,DC=■■■
<ほかのSPN等は略>
servicePrincipalName: HOST/※※※.▲▲▲.■■■
servicePrincipalName: HOST/※※※
dn: CN=※※※2,CN=Computers,DC=▲▲▲,DC=■■■
<ほかのSPN等は略>
servicePrincipalName: HOST/※※※2.▲▲▲.■■■
servicePrincipalName: HOST/※※※2
----
うえのように抽出された(コンピュータ名とSPNがあっている)のであれば、SPN としては正常です。念のため、古いコンピュータオブジェクトを削除しておくといいでしょう。
----
dn: CN=※※※,CN=Computers,DC=▲▲▲,DC=■■■
<ほかのSPN等は略>
servicePrincipalName: HOST/※※※2.▲▲▲.■■■
servicePrincipalName: HOST/※※※2
dn: CN=※※※2,CN=Computers,DC=▲▲▲,DC=■■■
<ほかのSPN等は略>
servicePrincipalName: HOST/※※※2.▲▲▲.■■■
servicePrincipalName: HOST/※※※2
----
うえのように抽出された(コンピュータ名とSPNがあっていなくて、異なるオブジェクトに同じSPNが登録されている)のであれば、SPNを正しいものに直す必要があります。
SPN を直すには、setspn.exe を使ってください。Windows Server 2003 ドメインコントローラ上にサポートツールをインストールすると、使えます。
うえの例で、※※※コンピュータ名の、servicePrincipalName: HOST/※※※2.▲▲▲.■■■をservicePrincipalName: HOST/※※※.▲▲▲.■■■にしたい場合、このように実行します。
setspn -d HOST/※※※2.▲▲▲.■■■ ※※※
setspn -a HOST/※※※.▲▲▲.■■■ ※※※
setspn -l ※※※ とすると、SPN一覧が表示されます。うえの例とは違って、※※※2(現状のコンピュータ名)でのSPNがあっていない場合、例を読み替えて使ってください。
作業に不安な点があるなら、MSFT △△△さんのコメントを待っていただいてもいいでしょう。
[0回]
長文問題なら得意な人がいる。
(質問)
他のサイトの共有リソースにアクセスできない。 イベントID:4 イベントID:13508 レプリケーションの失敗?
年以上問題なく動作していて構成変更もしていないのですが、
同ドメインの3台(サーバーは全部で3台)のサーバーのイベントログに
ソース:Ntfrs イベントID:13508が繰り返し表示されるようになりました。
また、1つのサイトに属するサーバー、パソコンより、他のサイトの共有リソース
(フォルダ、ファイル、プリンタ)が名前で呼び出せなくなってしまいました。
構成としては
同ドメインで3台のドメイコントローラ(DC)を置きそれぞれが1つずつサイトをもち。
各サーバーが双方に他のサイトをレプリケートするように設定しています。
(以降これらの サーバーをSV01、SV02、SV03
サイトをAサイト、Bサイト、Cサイト
ドメイン名をk.localと記述します。)
いずれもWindows2003 Server SP1です。(SV03はSQL Server2003がインストールされています)
各サーバーのイベントログを確認すると、レプリケートが成功していないようです
最初はDNSの設定がおかしくなったのかしらと思ったのですが、nslookupで各サーバーから
サーバー名を指定してみても、正しいアドレスを返答してきます。
SV03でエクスプローラーで\\SV01をよびだしてみると、
\\SV01にアクセスできません。このネットワークリソースを使用するアクセス許可が内可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。 ログオンエラー:対象のアカウント名は間違っています。となります。\\192.168.1.1(SV01のIPアドレス)で呼び出すと参照できます。
\\SV02を呼び出しても同様です。サーバー名で呼び出すと、相手サーバーの認証でブロックされてしまっている?
これと同じ現象になるのだとおもうのですが、SV03で認証している、Cサイトに属するPCで、SV02の共有フォルダ、共有プリンタが使用できなくなってしまいました。アドレス指定で利用するように、パソコンからの呼び出しも変更して、
今のところ対処しています
SV01からはエクスプローラーでSV02も、SV03も\\サーバー名でも、IPアドレスででも参照できます。
SV02からはSV01が\\サーバー名でも、IPアドレスででも参照できます。
SV02からSV03はFWで参照をブロックしていますので、サーバー名でもIPアドレスでも'\\sv03'がみつかりません。になりますがこれは正常です
SV03のシステムイベントにkerberosのイベントID:4が出ているのが気になります。
FWの設定変更、OSのバージョンアップ等思い当たる変更は行っていません。
--------------------
各サーバーのActiveDirectoryサイトとサービスは同じ設定で以下の内容です。
Sites
|_ Cサイト
| |_Servers
| |_ SV03
| |_NTDS Settings
| 名前:<自動生成> レプリケート元サーバー:SV02 レプリケートサイト:Bサイト 種類:接続
| 名前:<自動生成> レプリケート元サーバー:SV01 レプリケートサイト:Aサイト 種類:接続
|_ Bサイト
| |_Servers
| |_ SV02
| |_NTDS Settings
| 名前:<自動生成> レプリケート元サーバー:SV01 レプリケートサイト:Aサイト 種類:接続
| 名前:<自動生成> レプリケート元サーバー:SV03 レプリケートサイト:Cサイト 種類:接続
|_ Aサイト
| |_Servers
| |_ SV01
| |_NTDS Settings
| 名前:<自動生成> レプリケート元サーバー:SV02 レプリケートサイト:Bサイト 種類:接続
| 名前:SV03 レプリケート元サーバー:SV03 レプリケートサイト:Cサイト 種類:接続
|_ Subnets
| 名前:192.168.1.0/24 サイト:Aサイト種類:サブネット
| 名前:192.168.2.0/24 サイト:Bサイト種類:サブネット
| 名前:192.168.3.0/24 サイト:Cサイト種類:サブネット
Aサイトの最後の自動生成になっていない行は、最初にエラーを確認時記述されていなかったので、これが何か定義不足かと思い安易に一行入れてみましたが、状況は変わらずです。SV01で設定したら、しばらくすると、SV02、SV03でみてもこの行が増えていました。
-------------------
イベントログの抜粋を記述します
--------------------------------------
<SV03のイベントログでは>
--------------------------------------
ファイルレプリケーションサービスに
・ソース:Ntfrs イベントID:13508
ファイル レプリケーション サービスの問題のため、DNS 名 sv01.k.local を使用して c:\windows\sysvol\domain に対して SV01 から SV03 へのレプリケーションを有効にできません。再実行します。....
・ソース:Ntfrs イベントID:13508
ファイル レプリケーション サービスの問題のため、DNS 名 sv02.でk.localを使用して c:\windows\sysvol\domain に対して SV02 から SV03 へのレプリケーションを有効にできません。再実行します。 ....
が1時間に1度くらい
--------------------
ディレクトリサービスに
・ソース:NTDS KCC イベントID:1566
次のサイトにあるドメイン コントローラで、ディレクトリ パーティションをこのトランスポートを越えてレプリケートできるドメイン コントローラは、現在どれも利用できません。
サイト:CN=BSite,CN=Sites,CN=Configuration,DC=k,DC=local
ディレクトリ パーティション:DC=k,DC=local
トランスポート:CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=k,DC=local
・ソース:NTDS KCC イベントID:1566
次のサイトにあるドメイン コントローラで、ディレクトリパーティションを....
サイト:CN=BSite,CN=Sites,CN=Configuration,DC=,DC=local
ディレクトリ パーティション:DC=k,DC=local
トランスポート:CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=k,DC=local
・ソース:NTDS KCC イベントID:1311
知識整合性チェッカー (KCC) により、次のディレクトリのパーティションで問題が検出されました。
ディレクトリ パーティション:DC=k,DC=local
・ソース:NTDS KCC イベントID:1865
知識整合性チェッカー (KCC) は完全なスパン ツリー ネットワーク トポロジを形成できませんでした。このため、次の一覧のサイトはローカルサイトから到達できません。
サイト: CN=BSite,CN=Sites,CN=Configuration,DC=k,DC=local
CN=ASite,CN=Sites,CN=Configuration,DC=k,DC=local
・ソース:NTDS KCC イベントID:1566
次のサイトにあるドメイン コントローラで、ディレクトリ パーティションを....
サイト:CN=BSite,CN=Sites,CN=Configuration,DC=k,DC=local
ディレクトリ パーティション:DC=ForestDnsZones,DC=k,DC=local
トランスポート:CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=k,DC=local
・ソース:NTDS KCC イベントID:1566
次のサイトにあるドメイン コントローラで、ディレクトリ パーティションをこの....
サイト:CN=BSite,CN=Sites,CN=Configuration,DC=k,DC=local
ディレクトリ パーティション:DC=ForestDnsZones,DC=k,DC=local
トランスポート:CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=k,DC=local
がディレクトリパーテーション部が少し違うものが4組ずつで15分おきに表示されます
--------------------
システムに
・ソース:kerberos イベントID:4
kerberos クライアントはサーバー host/sv02.k.local から KRB_AP_ERR_MODIFIED エラーを 受信しました。使用したターゲット名は KYOTO\SV02$ でした。これは kerberos サービス チケットの暗号化に使用されたパスワードはターゲットサーバーにある パスワードと同じではないことを示します。通常これは、ターゲット領域 (K.LOCAL) および クライアント領域にある同じ名前のコンピュータアカウントが原因です。 システム管理者に問い合わせてください。
・ソース:kerberos イベントID:4
同上メッセージで 使用したターゲット名は DNS/sv02.k.local
・ソース:kerberos イベントID:4
同上メッセージで クライアントはサーバー host/sv01.k.local 使用したターゲット名は DNS/sv01.k.local
・ソース:kerberos イベントID:4
同上メッセージで 使用したターゲット名は
・ソース:kerberos イベントID:4
同上メッセージで 使用したターゲット名は
・ソース:kerberos イベントID:4
同上メッセージで 使用したターゲット名は cifs/sv01.k.local
・ソース:kerberos イベントID:4
同上メッセージで クライアントはサーバー host/sv02.k.local 使用したターゲット名は
が1時間おきに表示されます。使用したターゲット名が空欄のものがある。
--------------------------------------
<SV02のイベントログでは>
--------------------------------------
ファイルレプリケーションサービスに
・ソース:Ntfrs イベントID:13508
ファイル レプリケーション サービスの問題のため、DNS 名 sv03.k.local を使用して c:\windows\sysvol\domain に対して SV03 から SV02 へのレプリケーションを有効にできません。再実行します。....
が25時間おきに表示されています。
--------------------
ディレクトリサービスに
・ソース:NTDS KCC イベントID:1566
次のサイトにあるドメイン コントローラで、ディレクトリ パーティションをこのトランスポートを越えてレプリケートできるドメイン コントローラは、現在どれも利用できません。
サイト:CN=CSite,CN=Sites,CN=Configuration,DC=k,DC=local
ディレクトリ パーティション:DC=k,DC=local
トランスポート:CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=k,DC=local
・ソース:NTDS KCC イベントID:1311
知識整合性チェッカー (KCC) により、次のディレクトリのパーティションで問題が検出されました。
ディレクトリ パーティション:DC=k,DC=local
・ソース:NTDS KCC イベントID:1865
知識整合性チェッカー (KCC) は完全なスパン ツリー ネットワーク トポロジを形成できませんでした。このため、次の一覧のサイトはローカルサイトから到達できません。
サイト:CN=CSite,CN=Sites,CN=Configuration,DC=k,DC=local
がSV03と同様にディレクトリパーテーション部が少し違うものが4組ずつで15分おきに表示されます
--------------------------------------
<SV01のイベントログでは>
--------------------------------------
ファイルレプリケーションサービスに
・ソース:Ntfrs イベントID:13508
ファイル レプリケーション サービスの問題のため、DNS 名 sv03.kyoto.local を使用して c:\windows\sysvol\domain に対して SV03 から SV01 へのレプリケーションを有効にできません。再実行します。
が24~26時間おきに表示されています。
--------------------
SV01のディレクトリサービスにはエラーがでていません
以上です。3台のサーバーの時計は1分以上の差はありません。
何か手掛かりになることがありましたら教えてください。
よろしくお願い申し上げます。
-----------------------------------------------------
(回答)
XXXXです。
これですが、状況から「ドメインコントローラのコンピュータアカウントのパスワード情報の不一致」で、Kerberosチケットを復号できず、認証が失敗しているように、みえますね。
解決方法ですが、まず問題が出ているドメインコントローラ上のコンピュータアカウントのパスワードをリセット、するといいでしょう。そのうえで、強制的にActive Directory複製を走らせるようにレジストリを設定する、といった方法で、元に戻るかなと、思います。
[0回]
暇なら丁寧に回答する。時間がなければ2~3行の回答で済ます。気分次第ってところはあります。
>ローカルディスクのフォーマットの権限を一般ユーザ(Interactive Users)まで落とす方法はないでしょうか?
についてですが、私が調べた結果ではありませんでした。(他の回答者よりの回答を待ってください。)
http://www.asahi-net.or.jp/~ym3y-oksm/nt/w2k/w2k29.htm
たとえば、うえによると(他にもWEB検索するとありましたが)MOなどのリムーバルディスクは、セキュリティオプションをいじりInteractive Usersまでフォーマット権限を落とせるとありました。ローカルディスクの初期化については「セキュリティオプション」ではいじれないようです。(「ユーザー権利の割り当て」にもローカルディスクの初期化を定義したものはありませんでした。)
ローカルディスクのフォーマットの権限は、Microsoft管理コンソール(MMC)のヘルプを調べてみると
(以下一部抜粋しました)
新しいディスクを初期化するには
・
・
注
この手順をローカルコンヒュータで実行するには、ローカルコンピュータのBackup OperatorsグループまたはAdministratorsグループのメンバであるか、または適切な権限が委任されている必要があります。この手順をリモートで実行するにはリモートコンピュータのBackup OperatorsグループまたはAdministratorsグループのメンバである必要があります。ドメインに参加しているコンピュータではDomain Adminsグループのメンバーがこの手順を実行できる場合があります。
・
・
しかし実際は、Backup Operatorsグループでは初期化できないローカルディスクがほとんどのようです。
>一般ユーザを管理者権限にあげると他の部分のセキュリティーに影響するため
とのことでしたら、ローカルディスクのフォーマット作業を行わせる必要のある一般ユーザをローカルの「Administrators」グループの権限を一時的に与えるか、ドメインコントローラで「Active Directoryユーザとコンピュータ」を立ち上げそのユーザを一時的にドメインの「Domain Admins」グループに所属させる、ローカルディスクのフォーマット作業が終わったらローカルの「Administrators」グループ、「Domain Admins」グループの権限を削除されるのがよろしいかと思います。
ローカルディスクのフォーマット作業を行う必要のある一般ユーザは、そう沢山必要ではないんですよね。
沢山必要でしたらドメインコントローラで「Active Directoryユーザとコンピュータ」を立ち上げ、必要のあるユーザを複数選択して「操作」→「グループに追加」→「Domain Admins」グループに一時的に所属させる、または「Users」フォルダ→「Domain Admins」のプロパティ→「メンバ」→「所属するメンバ」にユーザをひとつづつ追加していく。(権限を与えたユーザをグローバルグループにまとめる方法もありますが)ローカルディスクのフォーマット作業が終わったら、「Domain Admins」グループからそのユーザを削除されるのがよろしいかと思います。
しかし、そのローカルディスクのフォーマット作業が仕事の一部であれば、やはり業務上必要なユーザーにのみにローカルの「Administrators」グループの権限を与える、またはドメインの「Domain Admins」グループの権限を与えその仕事をさせるべきでしょう。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア