スクリプトの実行時間の上限を設定する

スクリプトの実行に対してシステムで許容される時間の上限は
［管理用テンプレート］－［システム］－［スクリプト］にある［スクリプトの実行時間の上限を設定する］
で調整する。

（質問）
Windows7のログオフスクリプト実行とログオフのタイミングについて
 
お世話になります。
 
Windows7のログオフスクリプト実行とログオフのタイミングについて
ご教示いただけませんでしょうか。
 
現在、GPOの以下設定にて、ログオフ時にbatを実行するようにしております。
=====================================================
ユーザーの構成
 Windows の設定
  スクリプト (ログオン/ログオフ)
   ログオフ
=====================================================
 
こちらの設定は、ユーザがログオフを実行すると、ログオフスクリプト処理完了後にログオフされる(ログイン画面に戻る)流れでしょうか？
 
アプリ実行中にログオフをした場合、実行中のアプリが自動終了されるため、処理に時間のかかるログオフスクリプトの場合、スクリプトの実行途中で中断され、ログオフされないかと心配しております。
 
私が何回か試した限りではスクリプトは最後まで実行されており、実行完了後にログオフされているように見受けられましたが、スクリプトの実行完了を待つ/待たないを正しくご存知の方がおられましたら、ご教示頂けませんでしょうか？
 
以上、よろしくお願いいたします。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 
（回答）
GPOの設定より
 
[管理用テンプレート]＞[システム]＞[スクリプト]の[スクリプトの実行時間の上限を設定する]
を”0”にすればいいのではないでしょうか？これならば確実にスクリプトが終了するのを待ちます。デフォルトでは600秒になります。
 
以上、参考になれば幸いです。
 
（MS文書）
http://support.microsoft.com/kb/256320/ja
（参考資料）
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20041129/3/
 
http://social.technet.microsoft.com/Forums/ja-JP/w7itprogeneralja/thread/8edb6f2d-156f-4847-8f53-c656a87fb79a
 

ドメインコントローラ間の複製の確認

 ドメインコントローラ間の複製のチェックはdsastat コマンドやrepadmin /showobjmeta コマンドを使う
 
 
（質問）
ドメインデータの同期確認
 
こんにちわ。□□□□と申します。
 
以下内容について質問させていただきます。
 
■経緯
既存のWindowsドメイン環境へ新たにドメインコントローラを追加することになった。
■構成
既存ドメコン　2台（Windows 2003 R2)
追加ドメコン　1台（Windows 2008 R2)
■質問1
Windowsドメイン環境へ新たにドメインコントローラを追加する際、追加ドメコンが
ドメインデータ（アカウント、DNS等）が同期されたことを確認する方法はありますでしょうか。
■質問2
ドメインデータ（アカウント、DNS等）が同期が完了しないうちに、追加ドメコン宛にクライアントからADデータの参照するようなリクエスト（ログインなど）があった場合、どのような動作となるのでしょうか。
※いままで何度か、ドメイン追加作業を行ったことはあるのですが、追加作業直後もログイン出来ないなどの障害となることはなかったのですが、同期中にリクエストが来た場合エラーとして返されてしまう可能性があるのではないか不安になったので。
 
お忙しい中、お手数ですがご教授お願い致します。
 
－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
○○○○です。
 
ドメインの情報をクライアントが確認する場合、基本的にはログオンしたドメインコントローラが持っている範囲で判断します。しかし、パスワードの誤りのチェックなどは PDC エミュレータに確認を行います。
 
ドメインコントローラ間の複製をチェックする場合 dsastat コマンドが便利です。Widnows Server 2003 サポートツールをインストールする必要がありますが。
 
http://technet.microsoft.com/en-us/library/cc785982(WS.10).aspx
 
特定の属性のみという場合repadmin /showobjmeta コマンドで属性のバージョン(番号)をチェックする、という方法もあります。
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/61500134-9950-48d4-9233-081d1587e13b/#7bca4718-a34c-47de-8dc6-b2d1e09b0623

ドメイン認証失敗とWhoamiコマンド

 WhoamiコマンドはWindows Server 2003 、Windows Vistaから使えるようになったようである。（Windows XPはWindows XP Service Pack 2 サポート ツール のインストールが必要。）
ドメイン認証の失敗は、システムログのNetlogonエラーでわかる。
 
（質問）
ドメイン認証とグループポリシー　ユーザの構成について
 
ドメインに参加しているサーバ(2003server)でドメインへのログイン認証に時間がかかるものが１台だけあります。
また、ログイン時に使用するアカウントにはログオンスクリプトが適用されるようグループポリシーの設定(ユーザの構成)を行っていますが、このサーバに同アカウントでログオンした場合、ログオンスクリプトが流れません。他のサーバ(2003,2008serverなど)やＰＣ(win7,XP)で同アカウントを使用してログオンする場合は問題なくスクリプトが流れます。
gpupdateを行いgpresultで確認してみたところ、'ユーザの構成'の'グループポリシーの適用元'が昔存在していたと思われるADサーバ(現在は存在しません)の名称で表示される事も気になっています。
認証が遅いこと　と　ユーザの構成に設定したログオンスクリプトが流れないこと　は関係があるのかわからないのですが、上記のような事象の場合の確認点・対応方法はございますでしょうか。
ＡＤサーバは2008R2です。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 
 （回答１）
上記の説明から考えられるのは、ドメインにログオンできていないのでは？ということです。
ドメインにログオンできないので、キャッシュログオンが行われ、以前のGPOの構成が残っている。
当然、ドメインにログオンされていないのでログオンスクリプトも流れない。
確認のために
whoami /fqdn
を実行してみてください。通常ログオンしている場合は表示され、キャッシュログオンの場合は表示されないかエラーになるはずです。
 
以上、参考になれば幸いです。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 
 （回答２）
○○○○です。
 
△△△さんの回答に補足します。
 
状況から「コンピュータレベルでのログオン」に失敗している可能性があります。メンバサーバ側のイベントログを見れば分かるでしょう(NetLogonエラーが記録されている可能性があります)。
一番簡単な対応方法は、このメンバサーバを「ドメインに再参加」させることです。いったんワークグループに戻したうえ、ドメインに再参加します。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（関連投稿）

ドメインに正常に参加できているかについて

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/4edc6905-1aed-4d0f-88d6-96b9898d88df/

 
（参考資料）
http://www.atmarkit.co.jp/fwin2k/win2ktips/1313whoami/whoami.html
http://itpro.nikkeibp.co.jp/article/COLUMN/20070604/273512/
（参考:MSのブログ）

ドメインにログオンできない ～ セキュア チャネルの破損 ～
（参考:個人の方のブログ）
クライアントのコンピュータアカウントのパスワード格納場所－SEの雑記
ドメインにログオンできないときの対処方法に関して－MCTの憂鬱
キャッシュされたログオン－Always on the clock
 

 補足説明
Windows XP の場合、Windows XP Service Pack 2 サポート ツールをインストールしても

whoami コマンドの

/fqdnオプションが使えないので、

>netdom verify [コンピューター名] /domain:[ドメイン名]

コマンドで確認する。

>nltest /SC_VERIFY:[ドメイン名]

コマンドはドメイン管理者として実行しないと

ACCESS_DENIED　のエラーとなる。

 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/6a6c85af-9e2e-49d1-a34a-654358c72e7d/#7ca8ab93-2665-4d5c-aaa4-596f1ddf9e7d

社外のＤＮＳサーバーへの問い合わせを一切させたくない。

 再帰を無効にした方が危険がなさそうである。ルートヒントはすべては削除できないように思うが・・・。
 
（質問）
ＤＮＳの設定を他のドメインへの問い合わせを行わないように変更したいのですが、どうすればいいでしょうか？
 
社内でのみ使用するＤＮＳサーバーを構築しましたが、自動的に社外のＤＮＳサーバーへの問い合わせを出してしまうため、余計なパケットが流れてしまいます。ＤＮＳの設定を変更してこの問い合わせパケットを出さないようにすることは可能でしょうか？
 
（回答１）
DNSのプロパティより、ルートヒントをすべて削除してみてください。（DNSの構成によっては自社内のDNSにルートを作る必要があるかもしれません。）
またフォワーダーなどの設定がないことを確認してください。
そのような設定ならば、そのDNSで名前解決ができないとそれでギブアップしてクエリを終了します。
以上、参考になれば幸いです。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答２）
○○○○です。
 
もし、その DNS サーバーが「(社内も含め)一切他のDNSサーバーに問い合わせに行かないようにしたい」というならですが、DNSサーバーのプロパティ [詳細設定] タブの [サーバーオプション] - "再帰を無効にする" という設定をONにすれば、外部への DNS 問い合わせを一切行わなくなります。この方法が一番簡単に DNS 問い合わせをキャンセルできると思いますよ(社内の他のDNSサーバーは参照したい、場合はムリです)。どういう設定かは、したのWebページをご覧ください。
 
http://livedoor.blogimg.jp/itdesign/imgs/8/5/857440be.png
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
DNS サーバー サービスを保護する
http://technet.microsoft.com/ja-jp/library/cc731367.aspx
DNS サーバーで再帰を無効にする
http://technet.microsoft.com/ja-jp/library/cc771738.aspx
ルート ヒントを更新する
http://technet.microsoft.com/ja-jp/library/cc754568.aspx
文書番号: 818020 - 最終更新日: 2007年12月3日 - リビジョン: 6.2
http://support.microsoft.com/kb/818020/ja
 
 http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/3da45402-1f2a-459c-921d-d105680a019f/#14677c70-82f6-4f8b-ae0e-9854fdbdf3ae

Windows Server Update Services全般フォーラム、Windows Server 2008 R2（x64）へのWSUS SP2のインストール

Windows Server 2008（無印）では、IIS 7（Webサーバ役割）と関連するいくつかのサービスをインストール後、更新プログラム（KB940518）を1つ適用しておいてから、役割の追加でWSUSのインストールを始めるか、ここよりWSUS30-KB972455を個別にダウンロードしてインストールする必要があった。Windows Server 2008 R2（x64）では役割の追加でWindows Server Update Servicesを選択すると自動的にIIS 7の必要なサービスが追加される。
 
（質問）
WSUSの役割構成に失敗します
 
Windows 2008 R2 Enterprise Edition をインストールし、ネットワーク設定・IEのプロキシ設定を行ったほぼ直後に、WSUSの役割を追加しようとしていますが、Windows Server Update Services 3.0 SP2 のインストーラが以下のメッセージを表示して異常終了します。
・この Windows インストーラー パッケージには問題があります。セットアップの一部として実行されるプログラムは正しく完了しませんでした。サポート担当者またはパッケージのベンダーに問い合わせてください。
WSUSSetup.logには、「Error 0x80070643: インストール中に致命的なエラーが発生しました。」を含むログが、最後の3行に出ています。
（InstallWsus, CInstallDriver::PerformSetup, CSetupDriver::LaunchSetup の３つ）
 
（質問・続）
コメントありがとうございます。
最初のコメント（IIS 7<Webサーバ役割>と関連するいくつかのサービスをインストール後、更新プログラム<KB940518>を1つ適用してから）についてはWindows Server 2008 R2の場合、WSUSの役割追加時に、適切に設定されたIISの役割が追加されるので、R2では考える必要がなくなっています。
2番目のコメント（ここよりWSUS30-KB972455を個別にダウンロード）についても何度か過去に試してうまくいっていません。
 
（参考資料）
そこが知りたい
Windows Server Update Services（第11回）
Q1 WSUSをWindows Server 2008にインストールする手順を知りたい
http://www.atmarkit.co.jp/fwin2k/operation/wsusqa11/wsusqa11_01.html
（参考プログ）
http://www.vwnet.jp/Windows/WS08/WSUS/WSUS.htm

（MSのページ）
Microsoft Windows Server Update Services 3.0 SP2 のファースト ステップ ガイド
http://www.microsoft.com/downloads/ja-jp/details.aspx?FamilyID=df628245-8449-4b93-948c-0926deb1197a&displaylang=ja
 
http://social.technet.microsoft.com/Forums/ja-JP/wsusja/thread/d1bc6d6c-e847-459d-a61e-b3cb1816cfd2/#19d2f03a-7398-49df-92a2-30ed5d889100

サーバー入れ替えに伴うDFSルートの引越し

Windows Server 2003 R2 ドメインコントローラを撤去しWindows Server 2008 R2ドメインコントローラに入れ替えする場合のＤＦＳルートの引っ越しは容易ではない。
 
（質問）
DFSルートの引越し
 
現在、Ｗｉｎｄｏｗｓ Server 2003　と Ｗｉｎｄｏｗｓ Ｓｅｒｖｅｒ 2008 の2台でドメインを構成しています。フォレストドメインレベルは2003です。
2003のハード保守切れのため、2003に構築されているDFSRootを2008に移動したいと思います。
必要な手順がわかるサイトなどございましたら、ご教示ください。
当方DFSについて不慣れであるため、質問の情報が足りないかもしれません。必要な情報をお知らせいただければ、すぐ調べます。
よろしくお願いいたします。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
○○○○です。
 
ご希望の情報じたいは、残念ながら見当たらなかったようです。ですが基本手順としてはしたのようになるのではないでしょうか？
 
１．adprepでスキーマをアップデートする(2008用のDFSやDFSRを機能を導入可能にするため)
２．2008マシンを既存のDRS名前空間サーバーに追加メンバーとして構成する(DFSの管理スナップインで)
３．設定が完全に複製できたら、以前の2003DFS名前空間サーバーをメンバーから外して削除する(DFSの管理スナップインで)
ただし、2003には従来のDFSとR2で実装されたDFS-Nがあるので、状況を確認してもらうこと、手順や状況に間違いが起こらないよう、事前に仮想マシンで模擬試験を行ってもらった方がいいでしょうね。
 
(参考MSページ)
ステップ バイ ステップ ガイド - Windows Server 2008 の分散ファイル システム
http://technet.microsoft.com/ja-jp/library/cc732863(WS.10).aspx

(参考MSブログ)
FRSからDFSRへの移行
http://blogs.technet.com/b/jpntsblog/archive/2009/12/04/frs-dfsr-sysvol.aspx
【Windows Server 2008】Sysvol複製をFRSからDFSRへ移行するにはDfsrmig.exe コマンドを使用する
http://blogs.technet.com/b/junichia/archive/2008/01/24/windows-server-2008-sysvol-frs-dfsr.aspx

(参考資料)
http://www.atmarkit.co.jp/fwin2k/special/2003r2_03/2003r2_03_02.html
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/10/
 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/f832653e-f444-4604-a804-86da9f21526e/#538b5dc5-8193-40be-abf7-4281de0ec381

Windows Server 2008 ADのGPOのアーキテクチャ

今まで(Windows Server 2003以前) グループポリシー管理用テンプレートはadmファイルとして提供していたが、Windows Server 2008になってXMLベースのadmxファイルとなった。このadmxファイルは言語情報が記載されているadmlファイルと対になって提供されている。Windows Server 2008では基本的にGPOにはテンプレートファイルはコピーされなくなった。テンプレートファイルは編集しているコンピュータのローカル（C:\Windows\PolicyDefinitionsフォルダ）から読み込むことになる。Windows Server 2008 ADではGPOの数が増えてもSysvolファルダは肥大化されないよう改善されている。
 
（質問）
GPOの中央ストアについて

GPOの中央ストアについてまだ理解できていないので教えてください。
以下の付録２をみたのですが、
 
１　２００３以前は１つグループポリシーを作成するたびにポリシーとADMのテンプレートがSYSVOLに作成され、ポリシーをたくさん作るとSYSVOLが肥大化したということでしょうか？
２　２００８以降でも中央ストアを作成しないと２００３以前と同じ動作をしてSYSVOLが肥大するのでしょうか？
http://primeserver.fujitsu.com/primergy/technical/construct/pdf/win2008-active-directory04.pdf
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
○○○○です。
 
質問内容から、質問にある富士通の資料p32の記述の意味がわからない、と理解しました。
 
それに関してですが、答えとしては、「通常中央ストア(セントラルストア)を2008ドメインコントローラに作る必要はない」ということ、「2008ベースで通常使っている場合SYSVOLファイルは肥大したりしない」となりますｊ。通常のADMXテンプレートはグループポリシーを編集するマシンのローカル上にあるテンプレートが必要に応じて読み込まれ、SYSVOLには含まれません。じゃあ2008であえて中央ストアを構成するとどんなメリットがあるのか、については、△△△△さんのページに説明が書いてあります。
 
（個人の方のブログ）
グループポリシーのアーキテクチャ～その１～－MCTの憂鬱
 
(参考MSページ)
グループ ポリシー管理での ADMX ファイルの使用に関するステップ バイ ステップ ガイド
http://technet.microsoft.com/ja-jp/library/cc709647(WS.10).aspx

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/44ffb165-22ba-4393-922b-c31e428b9ea6