Windows Server 2008 R2 ADへのアップグレードパス

 Windows Server 2008 R2のadprep32コマンドでスキーマを拡張してADをアップグレードできるのはWindows 2000 ドメイン以上である（SP4適用と、ネイティプモードであることが必須。）
既存ドメインとの双方向の信頼関係を構築しADMTを使いアカウントの移行をする方法もある。
 
（質問）
WindowsNTドメインをWindows Server 2008R2に移行する方法
 
WindowsNTドメインサーバーのリプレイスを検討しております。
WindowsServer2008R2のActiveDirectoryへそのまま移行することは可能でしょうか。
ご教授下さい。
 
>WindowsServer2008R2のActiveDirectoryへそのまま移行することは可能でしょうか。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
不可能です。
複数の手順を踏む必要があります。
 
Windows NT ドメインからアップグレードする
http://technet.microsoft.com/ja-jp/library/cc782476(WS.10).aspx
Windows Server 2008 R2 のアップグレードパス
http://technet.microsoft.com/ja-jp/library/dd979563(WS.10).aspx
 
こちらが参考になるかもしれません。
手順などはあまりにも膨大になるのでこちらでは割愛させていただきます。
Windows 2000 Server よりADが導入されたことにより、ADの知識は必須になります。もし本当に行わなければならないなら、研修を受講するのが手っ取り早いですが、それが不可能なら書籍を購入するなりして勉強することをお勧めいたします。
 
以上、参考になれば幸いです。
 
（参考PDF）
http://jp.fujitsu.com/platform/server/primergy/technical/construct/
ad_guid/pdf/migration_guid.pdf
http://jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/win2008-active-directory03.pdf

 http://blogs.technet.com/b/windowsserverjp/archive/
2009/07/22/3266169.aspx
（うえのMSブログより、抜粋すると）
Windows 2000 からのインプレースアップグレードは Windows 2008, 2008 R2 ともサポートされていないので、一旦、Windows Server 2003 を経由する必要がある。
つまり、一旦、2000 → 2003 そして、2008 へと2段階へアップグレードする必要がある。

 これは、DNSレコードの移行、DHCPサーバーデーターベースの移行がWindows 2000 ADからWindows 2008, 2008 R2ADへ直接できないためと思われる。

 （参考:個人の方のブログ）
MSではWindows 2000 からWindows 2008, 2008 R2 ADへのインプレースアップグレードは未サポートであるが、DNSの移行についてはしたのブログにある。
http://d.hatena.ne.jp/KoH/20110319/1300515009
（参考:個人の方のブログ）
既存のActive DirectoryにWindows Server 2008 R2 x64ドメインコントローラを追加する－徒然なるままに
（参考資料）
Active Directoryアップグレード方法論－IT Pro

DHCP サーバー移行ガイド　にはDHCPの移行はWindows 2000は対象外となっている。

http://technet.microsoft.com/ja-jp/library/dd379535(WS.10).aspx

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/cfe9d906-604a-4bb8-93bc-5c4ebd456e3c/#d7bb6914-5344-42c1-8a51-0939d8fb41f

グループポリシーでのデバイス制御

グループポリシーだけでは完全な外部記憶媒体のデバイス制御は難しい。

 

（質問）

グループポリシーでのデバイス制御について

 

お世話になります。初めて質問させて頂きます。

 

テスト環境にてグループポリシーの適用をテストしておりましたが設定がうまくいかず、

以下のスレッドを参照しましたが別の部分で不明な点がありましたのでご質問させてください。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/f68ce1ec-a0b3-4eae-b274-67e76f5ae1a1

http://social.technet.microsoft.com/forums/ja-JP/activedirectoryja/thread/28c234b4-9457-42f0-954a-6d9827471574/

 

当方のデバイス制御を行おうとしている環境は以下の様になっています。

 

サーバ：Windows2003R2 StandardEdition(機能レベル：Windows2000混在)※ドメイン環境

クライアント：WindowsXP/Vista/7

 

[質問]

１．クライアントがWindows2000/XPの場合「コンピュータの構成」で管理することができ、「ユーザーの構成」で管理できるのはWindowsVista/7以降とありますが、サーバーの機能レベル上げる、またはサーバを2008にするなどして、ユーザー単位でポリシー設定をすることは可能でしょうか。それとも、サーバーに関わらず、クライアントが2000/XPであれば、やはりユーザー単位ではできないのでしょうか。

 

２．グループポリシーがクライアントに適用された場合、ネットワークが切断した状態ではポリシーは適用されるのでしょうか。切断された状態でもデバイス制御が効いている。という環境にしたいです。

 

３．グループポリシーの適用タイミングについて、「コンピュータの構成」は起動時、「ユーザーの構成」はログオン時、以降は約90分間隔とありますが、ポリシーの内容が変わらなくてもこの間隔でクライアントのレジストリが書き換わるのでしょうか。クライアントの挙動に、レスポンスなど、なにか変化が起こりますでしょうか。

 

宜しくお願い致します。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 

（わかる範囲で調べた結果）

Windows XPのUSB制御のポリシーは以下レジストリ値をみる。コンピュータ単位のみ対象になる。

（１）USBメモリを禁止

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
値の名前 Start
型 REG_DWORD
値 3（使用を許可）／4（使用を禁止）

 

（２）USBメモリへの書き込みを禁止

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies

（StorageDevicePoliciesキーがない場合、キーを新規に作成する）
値の名前 WriteProtect
型 REG_DWORD
値 1

 

Vista以降は

・［コンピュータの構成］－［管理テンプレート］－［システム］－［リムーバブル記憶域へのアクセス］
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\

RemovableStorageDevices\{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}! Deny_Write

コンピュータのみに設定

 

・［ユーザーの構成］－［管理テンプレート］－［システム］－［リムーバブル記憶域へのアクセス］

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\

RemovableStorageDevices\{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}! Deny_Write

ユーザーのみに設定

 

（参考ページ）

http://news.livedoor.com/article/detail/3848807/

 

また、

情報漏えい対策ガイド（Windows Server 2003編）の

3.2 リムーバブル記憶装置がインストールされていない場合（Ｐ１８～
該当のリムーバブル記憶装置を禁止するポリシーにスタートアップで、スタートアップスクリプト「BlockRmStor.wsf /D:Everyone /Q」を追加すると（P20～P24参照）確かに、スタートアップでリムーバブル記憶装置をインストールきなくなる。しかし、このスタートアップスクリプトを追加し「ＳＤ記憶域カード」使用禁止のポリシーをリンクすると、クライアントのアプリケーションログに、「ＳＤ記憶域カード」に関するものと思われるエラーがでる。「ＳＤ記憶域カード」については使用禁止にはできない。

 この「ＳＤ記憶域カード」に関するアプリケーションログにエラーが出るとWindows XP にSP3　をインストールする際にエラーがでる。このXP SP3インストールエラー回避方法についてはしたの個人の方のブログで紹介されている

解決方法 Windows XP SP3 インストール時の失敗－ねこ鯖 nekoserver 鯖缶はたいへんだニャーの巻

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/7f455507-ed77-4889-a1b9-6c55fcc3bc52

 

ADの廃棄済みオブジェクト(Tombstone)の有効期間の調査および削除されたオブジェクトの復元

システム状態（System State）のバックアップを取っていれば確実なのだが、取っていなくても戻す方法はある。
 
（質問１）
tombstoneLifeTimeの現在の設定値の調査方法
 
WindowsServer2003で構築し、現在DCを順次WindowsServer2008R2へ切り替え中のAD環境があります。
現在「tombstoneLifeTime」の値がいくつになっているかを知りたいのですがldap.exeなどで確認してもnull値となっているため値がわかりません。
経緯から60日の設定ではないかと予想しているのですが調べる方法はあるでしょうか。
あとこの値が60日だったとして、180日に変更した場合なにかリスクなどはあるでしょうか。
よろしくお願いします。
 
（回答）
以下のページの メモ の所に、tombstoneLifeTimeがNULL の場合の判断材料が記述されています。
廃棄済みオブジェクト (Tombstone) の有効期間および削除されたオブジェクトの有効期間を変更する
手元の環境 (Windows 2008 R2 SP1 クリーンインストール) を見てみたところ、tombstoneLifetime が 180 と表示されていて、値が NULL の状態を確認できたわけではないので分かりませんが、別の方法で調べてみるのはどうでしょう。(一緒の結果のような気が多分にしますが...)
ADSI エディターを使って調べる方法は以下のブログ記事で紹介されています。
【WS2008 R2】Active Directory Recycle Bin の有効期限（msDS-DeletedObjectLifeTime）
また、PowerShell の場合は以下のようになります。 (ドメイン名が example.local の場合)
Import-Module -Name ActiveDirectory(Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=example,DC=local" -Properties *).tombstoneLifetime
結果的に NULL としか出ないのなら、最初に示したリンクにある メモの記述から判断するしか無いのかもしれませんね。
180日に変更した場合のリスクについては、2つ目のリンクにあるブログの記事で扱われていますね。
「Deleted 状態では DB の容量が減らない」などになると思います。
ただ、Windows 2008 R2 の規定値が 180 日なので、60 日 -> 180 日 にするぶんにはそれほどリスクは無いんじゃないかな、と個人的には思います。
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/e3a6f256-4287-40f4-81a0-0c0ca33ce454/#071ac416-f86f-4c46-b038-5761316c9947
 
（質問2）
adrestoreによるactive directoryのユーザの復元について

adrestoreで削除したユーザの復元を試みたのですがコマンド入力で削除したオブジェクトの一覧を確認したところオブジェクト名が表示されません。
テストで作成したユーザ（英数字のみのユーザ名）は表示されるのですが漢字とひらがなのユーザについてはまったく情報が表示されません。
これは仕様なのでしょうか？
OS：windows　server2008 R2 SP1
 
（結論）
頂いたURLを元にいろいろ試したところ
「ADRestore.NET」というものを見つけました。
使ってみたところ、漢字やひらがなを使用したユーザ名も確認して復旧することが出来ました。
http://askaresh.blogspot.jp/2008/11/adrestore-gui-version.html
※英語サイトですが翻訳して見れば使えるレベルかと
ご助言ありがとうございました。

(MSのページ)
http://lab.technet.microsoft.com/ja-jp/magazine/cc137800
Active Directory のごみ箱の手順ガイド
(MSのブログ)
AD Recycle Bin-Windows Server 2008 R2 Active Directoryの新機能
（以下、本文一部抜粋）
Active Directory のゴミ箱を利用するにはまず Windows Server 2008 R2 のフォレスト機能レベルが必要になります。つまり、ドメイン コントローラがすべて Windows Server 2008 R2 である・・・

（コメント）
○○○○です。

問題解決してなによりです。参考までに。
adrestoreですが、UNICODE文字列も「認識」はしますね。ただ表示ができない(CN=の後の文字が出ない)だけですので、文字列がわかっていれば、検索やリストアはできるようです。
ユーザのCN文字列がわからなくなってしまった、ということなら、ldp.exeあるいはldifde -xオプションでCN=Deleted Objectsコンテナの中身を見る、という作業が必要です。

(MSのプログ)
[ADSI プログラミング] Active Directory – LDP.EXE ツールを使ってみよう ！
【WS2008 R2】Active Directory Recycle Bin を使ってみる その2 ～ ldp.exe を使用した場合
（個人の方のブログ）
ldp でグループが所属しているグループを確認－SEの雑記
（技術評論社の記事）
知られざるActive Directory技術の「舞台裏」：第3回　LDAPを使ってActive Directoryを制御しよう［その1：ldpとcsvde］－Gihyo.jp

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/af8559b2-0f68-4b68-89fb-4a72bfb399ae/#db48f03c-1250-4083-ae8e-0e7001db2838

Windows アセスメント & デプロイメント キット (Windows ADK)

Windows アセスメント & デプロイメント キット (Windows ADK) は、Windows 8 と Windows Server 2012 オペレーティング システムをカスタマイズし、新しいコンピューターとサーバーに展開するために使用できるツールである。
 
Windows(R) 8 用 Windows アセスメント & デプロイメント キット
Microsoft OEM Partner Center

（個人の方のブログ）
Windows 8 の展開の準備（Windows ADK をインストールする）－悩み多き文教市場のインフラ屋さん
（参考：Windows 7では）
Windows® 7 用の Windows® 自動インストール キット (AIK)

Windows 8 DSP版

  DSP 版は、ＭＳのサポート対象製品ではない。

価格はMSバッケージ製品版より格段安いのだが、（以前のように）MS製品の正式なパッケージ（したのWindows 7 Proの画像イメージ参照。）に同梱されておらず、厚紙で作られたケース（MSブランド名とライセンス条項はあるのだが）の中にインストールDVDが入っていた。プロダクトキーはその厚紙で作られたケースの中の板紙（？）に付いており、小さくて非常に見にくい。（DSP 版でカスタマイズしてクリーンインストールするため）Windows 8 Pro（64Bit）のプレインストールされたOEMメーカー[リカバリーメディア作成機能無し&Disk to Diskリカバリー方式]の HDDリカバリー領域を削除して、Windows 8 Pro （64Bit） DSP版でクリーンインストールはでき、インターネットに接続すると自動的にライセンス認証された。必要なデバイスドライバーはOEMメーカーのドライバーダウンロードホームページより個々にインストールが必要。（プロダクトIDはWindows 8 Pro（64Bit）プレインストールされたOEMメーカーの元のものと同じIDとなった。）

システムの修復用にWindows 8の回復ドライブを作成する－@IT
Windows 回復環境 (Windows RE) テクニカル リファレンス－MS

MS製品パッケージ版(Windows 7 Pro)

 
（参考：ペンダーの資料）
Windows 8 のDSP版製品について－岡谷エレクトロニクス
（参考投稿）
http://answers.microsoft.com/ja-jp/windows/forum/windows_8-windows_install/%E3%83%97%E3%83%AA%E3%82%A4%E3%83%B3%E3%82%B9/484ac8c0-3a3e-44d3-9477-6bc998c6e437
http://answers.microsoft.com/ja-jp/windows/forum/windows_8-security/windows8%E3%81%AE%E3%83%A9%E3%82%A4%E3%82%BB/3e7cae66-51c9-4b05-8412-5de958431fac
http://answers.microsoft.com/ja-jp/windows/forum/windows_8-performance/windows8-64bit-%E7%84%A1%E5%8D%B0/cb1d8c61-be82-4484-af89-77c548281420

(MSのページ)
Windows 8 ユーザーズガイド

内部のハードウェアクロックを使用するように Windows タイムサービスを構成する

KB816042の「内部のハードウェアクロックを使用するように Windows タイムサービスを構成する」の方法は　「つづきはこちら」より

（質問）

グループポリシーのソフトウェア配布と時刻同期について

 

Windows2003のActiveDirectory管理をしております。

 

Windows2003のActiveDirectory環境にて3台のドメインコントローラを構成しています。

サーバ時刻が実時刻より40分ほど遅れており運用に支障があるため実時刻に修正したいとの

要望があります。ドメインに参加するクライアントはサーバの時刻と同期されているため

40分遅れた状態で同期されています。

グループポリシーのソフトウェア配布でMSIアプリケーションを

配布しており時刻を修正することにより不具合が出るのではないかと懸念しております。

以下の事項について教えてください。

 

（１）既にインストールされているアプリケーションが削除されたりしないか。

（２）時刻修正するに当たり踏むべき手順はあるか。

全クライアントが起動中に実施すべきor起動前に実施すべきなど。

（３）サーバでの時刻修正後にクライアントで同期されるタイミングは。

（４）インテリミラーで配布失敗する事例に時刻ズレがあるがどの程度のずれか。

５分程度のズレが問題ないのであれば毎日5分ずつずらせば影響が出ないのではと考えています。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 
（質問・続）

○○○○　様

2分毎に実行した際にはどのようなタイミングで実行したのでしょうか？（クライアント起動中？全クライアント停止後？）

親玉のドメインコントローラを探して2分ずつ運用時間内に（一般的には日中）変更したいと考えています。

私も既存アプリは削除されないはずとは思っていますが検証する手段がなく困っていました。

 

※補足します。

今回の質問はクライアントとサーバの時刻が同期されていないのではなく、同期はされています。インターネットに接続されていない閉鎖されたネットワークのドメイン内のクライアントとサーバが実時刻とずれているため合わせたいです。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 

（回答）

××××です。

 

分かる範囲でお答えします。

 

(1) インストール済みのアプリケーションは削除されません。これは「ドメインにログオンできなかったら、既存のアプリを削除する」というしくみ自体がIntelli Mirrorには用意されてないからです。ただし、ドメインから離脱(ワークグループに参加)したマシンからアプリケーションを削除するしくみはあります(設定を有効にしないとそうなりません)。

 

(2)時刻修正を行う場合、まずドメインコントローラの「PDCエミュレータ」の時刻を変更してください。それ以外のドメインコントローラは自動的にPDCエミュレータにあわせますが、念のため再起動した方がいいでしょう。ただしドメインコントローラ上やメンバサーバ等に、「なんらかのサーバアプリケーション」が載っている場合そのアプリケーションが大きく時刻を変更して問題が起こらないかどうか、事前調査が必要です。PDCエミュレータの時刻を変更する、については、したのページを参照下さい。

 

http://support.microsoft.com/kb/816042/ja

 

(3) クライアントが時刻同期するタイミングは、すでに起動しているクライアントは、時刻同期の状況に依存する(だんだん同期間隔が長くなる)ので、一概には言えません。ですが、確実に同期するのは「コンピュータの起動時」です。

 

(4) (ほかの方からの指摘どおり) Kerberos の既定では 5 分です。ですが、Windowsの標準的な環境であれば、実質上「クライアント側の時刻がドメインコントローラより10時間進んでいる」という状態が発生しない限り、「おおむね」問題は起こらないでしょう。「絶対に間違いのない方法」がお知りになりたいというなら、MSの有償サポートに確認いただくのが確実です。

 

ちなみに、「ちょっとだけ進んだ時刻をゆっくり戻す」機能はWindowsの時刻同期システム(Windows Timeサービス)にはありますが(既定は300秒以内です)、「遅れている時刻をゆっくり戻す」機能はありません(すべてStepモードです)。なのでNTPでいうところのSlew機能は、限定的な実装だと考えられた方がいいでしょう。

 

あと、時刻を大きく変更する場合、「(イベントログとか含め)記録されるログ類」の時刻自体が変わりますので、社内監査上(情報の記録の観点から)問題は起こらないですか？心当たりがおありになるなら、社内のしかるべき部署にご確認いただいた方がいいかもしれません。
 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/e23755c4-76d2-4395-b887-dd58eb38073a

Hyper-V レプリカ

（質問）
Windows Server 2012 のHyper-V Replicaのレプリカサイトの構成について
 
お世話になります。
Hyper-V Replicaにつきまして、二つ質問がございます。
ホストOSは全てWindowsServer 2012 Standard Editionです。
①Windows Server 2012 のHyper-V Replicaにつきまして、プライマリを2つのレプリカサイトへ
レプリケーションすることは可能でしょうか。
仮にプライマリ、レプリカ１、レプリカ2とした場合、レプリカ1は同一ローカルネットワーク上で、レプリカ２はインターネットVPN越しの遠隔地になります。
②物理サーバが異なる複数のプライマリを1台の物理サーバ上のHyper-V環境にレプリカすることは
可能でしょうか。こちらは同一ローカルネットワーク上での構築となります。
宜しくお願い致します。
 
（回答）
①について
設定時にレプリケーション先のサーバーは１台しか設定できませんので
複数のホストへのレプリケーションはできません。
http://technet.microsoft.com/ja-jp/library/jj134172.aspx [Hyper-V レプリカの概要]
>>Hyper-V レプリカは、2 つのホスティングサーバー間での Hyper-V 仮想マシンの非同期レプリケーションを提供しています。
②について
ホスト３台の自宅環境で二台のホストから３台目のホストへのレプリケーションしておりますが問題なく動いています。
ゲストVM単位でどのホストへレプリケーションするのか設定するので２台以上のホストからでも設定自体は問題ないとおもいます。
 
Hyper-Vレプリカを使用すれば手動でフェールオーバー（レプリカ側への切り替え）を行うことは可能である。
http://technet.microsoft.com/ja-jp/library/jj134172.aspx
http://www.hitachi.co.jp/products/it/windows_os/support/ws2012/pdf/
WhitePaper-HyperVReplica_v1.1.pdf

Windows Server 2012 の Hyper-V レプリカの理解およびトラブルシューティング (Word、6.24 MB)
 
（参考:個人の方のブログ）
Windows Server 2012 betaでLive Migration～
（参考:個人の方のブログ）
Windows Server 2012のHyper-vレプリケーションで使用する証明書－Windowsのメモ書き
2台のサーバーはKerberos認証（Active Directory環境構築）か、X.509 v3証明書による認証を行う必要がある。
（関連投稿）
http://social.technet.microsoft.com/Forums/ja-JP/winserver8/thread/3c0d9c45-6f88-4d0e-8f99-c664278f0fe7
 
http://social.technet.microsoft.com/Forums/ja-JP/winserver8/thread/651eff29-ecea-48d5-9897-6c22e1fe0bf5