[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
以下の2つの質問のイベントIDの内容は奇遇にもほぼ同じである
(質問1)
Windows Server 2003 R2、AD冗長化構成時に発生したエラー(ID : 1586)について
お世話になります。
既存のAD、Windows Server 2003が存在するネットワークに、新たにWindows Server 2003 R2を導入しADを冗長化しました。
導入した直後は何事も無かったのですが、しばらくするとイベントログに以下の警告が発生してしまいました。
-------------------------------
イベントの種類: 警告
イベント ソース: NTDS Replication
イベント カテゴリ: レプリケーション
イベント ID: 1586
ユーザー: NT AUTHORITY\\\\ANONYMOUS LOGON
説明:
PDC エミュレータ マスタとの、Windows NT 4.0 またはそれ以前のレプリケーションチェックポイントに失敗しました。
PDC エミュレータ マスタ役割がローカル ドメインコントローラに次に成功したチェックポイントの前に転送される場合は、Windows NT 4.0 およびそれ以前の OS を実行しているドメイン コントローラにセキュリティ アカウント マネージャ (SAM) データベースの完全同期が実行される可能性があります。
4 時間後にチェックポイント処理を再試行します。
-------------------------------
このエラーはどのような時に発生するのでしょうか。
また、このエラーが発生したことにより起こるトラブルなどはあるのでしょうか。
よろしくお願いします。
--------------------------------
(質問2)
ActiveDirectoryサーバーでRPCエンドポイントマッパーエラーが発生する。
初めて書き込みします。
以下の様にサーバー2台構成でActiveDirectory運用しております。
---------------------------------------------
Server_A:
Windows Server2003SP1 ActiveDirectory
FSMO
DNSサーバー AD統合
Server_B:
Windows Server2003SP1 ActiveDirectory
FSMOなし
DNSサーバー AD統合
----------------------------------------------
最近、Server_Aの構成でH/W障害が発生したため約1日程Server_Bのみで
運用し、Server_Aの障害復旧後にServer_Aを起動しました。
Server_AはFSMOだったのですが、ディスク障害ではなかったため短時間で
復旧できると思い、Server_BにFSMO移行せず運用しました。
この状態でServer_Bのレプリケーションイベントで次の様なエラーが
発生しました。
-------------------------------------------------------------
イベントの種類: 警告
イベント ソース: NTDS Replication
イベント カテゴリ: レプリケーション
イベント ID: 1586
ユーザー: NT AUTHORITY\\\\ANONYMOUS LOGON
説明:
PDC エミュレータ マスタとの、Windows NT 4.0 またはそれ以前のレプリケーションチェックポイントに失敗しました。
PDC エミュレータ マスタ役割がローカル ドメイン コントローラに次に成功したチェックポイントの前に転送される場合は、Windows NT 4.0 およびそれ以前の OS を実行しているドメインコントローラにセキュリティ アカウント マネージャ (SAM) データベースの完全同期が実行される可能性があります。
4 時間後にチェックポイント処理を再試行します。
追加のデータ
エラー値:
1753 エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません。
-------------------------------------------------------------
「1753エンドポイント 」について調べましたら、RPCで使用されるTCPポートがないとの事、NETSTATコマンドで確認した所、ポート5000までのポート(全てではありませんが)がServer_A ポート1025に対してTIME_WAITの状態で使用されていました。
数時間ほど定期的にNETSTATでポート状態を確認していたのですが、ポートが解放されることはありせんでした。
そこで質問なのですが
1) FSMOをもつActiveDirectoryサーバーが長時間ダウンする場合、Server_BにFSMOを移行する必要はありますか?(FSMO移行する目安の時間がある?)
2) 1753:エンドポイント ~のエラーが発生した場合、一般的にどのような対処が必要になりますか?
(http://support.microsoft.com/kb/839880/jaを参照し、ポート番号の拡張方法があることは確認しました。)
3) NETSTAT で表示されるポートがTIME_WAITのまま状態が変わらない現象を解消することはできますか?
現時点では各サーバーの再起動くらいしか解決策が考え付かない状態です。
不足している情報等あるかとは思いますが、何か解決の手がかりになる情報がありましたらアドバイスお願いいたします。
--------------------------------------
(回答)
○○○○です。
FSMO のダウンタイムが許される(?)目安、といった一般的な値はありません。FSMO にはいくつかの機能があり、「この機能を使わないとシステムが立ちいかない」ときにないと困る、ということで、このタイミングはシステムによって違うからです。
ですが、特別なシチュエーションを除いては、1 日程度 FSMO がダウンしていても普通は問題はありません。
イベント ID: 1586 エラーは Windows NT 4.0 BDC が複製を行なうときに必要な情報が得られなかった、ということを指しているので、BDC が存在しない限り、エラーそのものは無視して問題ありません。
で、RPC エンドポイントの問題、という点では、基本的には KB839880 の資料を参考にして対応することになりますが、ケースバイケースなので、一般論といったものはないでしょう。
このケースでは、RPC クライアント側でポートがいっぱいになってしまっている、という風にみえるので、RPC というより TCP/IP レベルでエフェメラルポートの上限値を増やすといった方法があるかもしれません。
http://support.microsoft.com/kb/196271
TIME_WAIT 設定の調整を行なうには TCP/IP のレジストリ値 TcpTimedWaitDelay を調整します。デフォルトでは 120 秒たつとポートが開放される実装です。
ですが、どちらもネットワーク負荷が高い環境などでのチューニングテクニックに属する内容で、このケースのような場面で調整が必要な内容ではありません。とりあえず、両ドメインコントローラを再起動して様子を見て、(他の内容も含めて) エラーが現れないか確認したほうがよいかもしれません。
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=39048&forum=6
[0回]
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=39048&forum=6
[0回]
久しぶりに良い回答を見た
(質問)
WindowsVistaUltimatex64→Windows7Ultimatex64へアップグレードしたマシンで、cmd.exeの互換性設定が・・・
一年ほど前、Windows Vista Ultimate 64bitを使っていた時代、コマンドプロンプトでの作業の大半が管理者での作業で、cmd.exeの互換性設定を管理者で実行が必要なようにしていました。Vista時代は変更がきいたんですね。
ですが!!!7にアップグレードしてしばらくたった今日、cmdを一般ユーザーで動かそうとしたら・・・・あれ?互換性設定の変更が出来なくなってます!!!!
7では出来なくなっているようですね・・・・
どなたか元に戻す方法を知りませんか?
(回答)
Windows 7の場合、エクスプローラやコマンドプロンプトなど、システムに密接に組み込まれたプログラムでは、「このプログラムはこのバージョンのWindowsの一部であるため、互換モードを設定できません。」と言われ、プロパティからの互換性設定ができなくなっています。
管理者として実行するためには、コマンドプロンプトのアイコンを右クリックまたは「Shift」+右クリックして「管理者として実行」をクリックすればいいのですが、毎回これをやるのが面倒であれば、次の方法があります。
1) 「スタート」メニューからコマンドプロンプトを右クリックして「管理者として実行」をクリック。
2) 「net user administrator /active:yes」と入力して「Enter」キーを押す。
3) コマンドプロンプトを閉じ、「スタート」メニューから「コントロールパネル」→「ユーザーアカウントの追加または削除」を開くと、administaratorが表示されるので、これをダブルクリックし、「パスワードの作成」をクリック。
4) 「新しいパスワード」および「新しいパスワードの確認」欄に適当なパスワードを入力して「パスワードの作成」ボタンをクリック。ユーザーアカウント画面を閉じる。
5) コマンドプロンプトのアイコンを「Shift」+右クリックして、「プロパティ」をクリック。
6) 「ショートカット」タブの「リンク先」で、プログラムファイルのフルパスの前に半角スペース、さらにその前に「%windir%\System32\runas.exe /user:administrator」と入力する。
これで、コマンドプロンプトのアイコンをクリックするとadministratorのパスワードを聞かれるので、設定したパスワードを入力すると、管理者 (administrator) として実行することができます。
この方法では、「Shift」+右クリックで「管理者として実行」の場合のように「ユーザーアカウントの制御」画面が表示されることはない代わりに、毎回パスワードを入力する手間がかかります。
このパスワード入力を省略する方法もあります。上記の 6) で「%windir%\System32\runas.exe /user:administrator」と入力するところを、「%windir%\System32\runas.exe /savecred /user:administrator」と入力すると、最初にアイコンをクリックしたときだけパスワード入力を求められるが、次回以降はパスワードが記憶されるため、パスワード入力を求められなくなります。
この方法では、「ユーザーアカウントの制御」画面も表示されず、パスワード入力も不要なので、一番快適に実行することができます。
(参考ページ)
http://journal.mycom.co.jp/column/windows/062/index.html
[0回]
質問の用語が難しい専門用語なので、回答も難しい専門用語となる。
(質問)
Cross-Forest 認証の名前解決について
はじめまして、表題の件についてご教授願います。
WS2003 R2 二台でCross-Forestの構成をとり JAASを用いて認証モジュールを作成しようとしています。
ADtechover(ActiveDirectory技術情報)を見たところ、以下のような記述がありました。
「名前一致機能はセキュリティプリンシパル名をすべての信頼されたフォレストの信頼された名前空間と比較します。
一致するものが見つかった場合、ルーティングヒントとして信頼されたフォレスト名が返されます。」
マルチドメイン環境で親ドメインを指定し子ドメインの情報の問い合わせを行うと「referral」といったものが
返ってくるのは確認しており、似た様のものが返ってくると推察しプロトコルモニタ等で確認を行いましたが
確認できませんでした。
具体的に「ルーティングヒントとして信頼されたフォレスト名」とはどのようなものなのでしょうか?
また、どうやったら確認できるのでしょうか?
現状のCross-Forestの構成です
1.二台のWS2003 R2 で相互に信頼関係を結ぶ。
2.ドメインの機能レベルを二台ともWindows Server 2003に上げる
3.セカンダリのDNSサーバにお互いのIPを指定する。
設定等不足が原因ではないかとは思いますがよろしくいお願いします。
-----------------------------
(回答)
○○○○です。
まず、(推移的信頼関係を含む)ドメイン間の信頼関係と、フォレスト間信頼の動作の違いについては、MSの資料がありますので、これを見てみてください。
ルーティングヒントが何か、という答えについては、異なるフォレストのリソースにアクセスする にこういう記述がありますね。
----
フォレストの信頼が最初に確立されるとき、各フォレストはそのパートナーフォレストで信頼されているすべての名前空間を収集し、TDO に情報を格納します。信頼された名前空間には、ドメインツリー名、ユーザー プリンシパル名 (UPN) サフィックス、サービス プリンシパル名 (SPN) サフィックス、および他のフォレストで使用されるセキュリティ ID (SID) 名前空間が含まれます。TDO オブジェクトは、グローバル カタログにレプリケートされます。
< 中略 >
ルーティング ヒントは、そのフォレストの信頼の TDO に一覧表示された信頼される側の名前サフィックスを参照できるだけです。
----
TDO(信頼されるドメインオブジェクト)は、信頼関係が構築された際に作られるオブジェクトで、信頼先に関する情報が含まれます。
ルーティングヒントを受け取ったときに「ネットワークモニタでどう見えるのか」については、うえの資料を参考に、実際に試してもらうのが早いと思います。
あと、「フォレスト間信頼」の設定方法ですが、チェックリスト : フォレストの信頼を作成する を参考に作業をしてみてください。ドメイン機能レベルやDNSを適切に設定する前に信頼関係を結んだ場合、単なる外部信頼関係に設定されるでしょう(自動的には変更されません)。またウィザードでは明示的に「フォレストの信頼」を選択する必要があります。
[0回]
(質問)
Windows Server 2003 の DHCPサーバの配布IPアドレスについて
Windows Server 2003 の DHCPサーバにおいて、192.168.0.0/22のネットワークをプールしている場合に、「192.168.0.255」や「192.168.1.0」が配布されるのは正しい動作でしょうか?
----------------------------
(回答)
××です
192.168.0.0/22のアドレス範囲は
192.168.0.1~192.168.3.254
192.168.4.1~192.168.7.254
というようになりますよね。
ここで192.168.0.1~192.168.3.254に着目すると
ネットワークアドレスは192.168.0.0/22
ブロードキャストアドレスは192.168.3.255
になります
ですので、「192.168.0.255」や「192.168.1.0」は通常のIPアドレスとして使用できるので正しい動作になります。
----------------------------
これはしたのように論理演算をすれば分かると思う。
たとえば
IPアドレス [192.168.0. 1] 11000000. 10101000. 00000000. 00000001
ネットマスク[255.255.252.0] 11111111. 11111111. 11111100. 00000000
理論積をとると 11000000. 10101000. 00000000. 00000000
ネットワークアドレス[192.168.0.0/22]に属している
IPアドレス [192.168.1. 1] 11000000. 10101000. 00000001. 00000001
ネットマスク[255.255.252.0] 11111111. 11111111. 11111100. 00000000
理論積をとると 11000000. 10101000. 00000000. 00000000
ネットワークアドレス[192.168.0.0/22]に属している
IPアドレス [192.168.2. 1] 11000000. 10101000. 00000010. 00000001
ネットマスク[255.255.252.0] 11111111. 11111111. 11111100. 00000000
理論積をとると 11000000. 10101000. 00000000. 00000000
ネットワークアドレス[192.168.0.0/22]に属している
IPアドレス [192.168.3. 1] 11000000. 10101000. 00000011. 00000001
ネットマスク[255.255.252.0] 11111111. 11111111. 11111100. 00000000
理論積をとると 11000000. 10101000. 00000000. 00000000
ネットワークアドレス[192.168.0.0/22]に属している
したがってIPアドレス [192.168.0.X/22]、[192.168.1.X/22]、[192.168.2.X/22]、[192.168.3.X/22]はネットワークアドレス[192.168.0.0/22]の同一のネットワークに属している。
(ネットワークアドレス[192.168.0.0]、ブロードキャストアドレス[192.168.3.255]の2つはIPアドレスとして割り当てできない。)
同様にIPアドレス [192.168.4.X/22]、[192.168.5.X/22]、[192.168.6.X/22]、[192.168.7.X/22]はネットワークアドレス[192.168.4.0/22]の同一のネットワークに属している。
ネットワーク部は上位22ビット、ホスト部は下位10ビットであるため、同一ネットワークには、2の10乗-2=1022台のホスト数が可能。(ネットワークアドレスとブロードキャストアドレスの2つを除く)
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/e4ef845f-3e33-4be4-b370-688078a3f1a7
なお、したのページより自動計算できます。
http://www.cityjp.com/javascript/network/network.html
http://note.cman.jp/network/subnetmask.cgi
[0回]
わざわざ難解なコマンドを使って、回答に困る質問をする。
(質問)
ドメインユーザのアカウント有効期限について
ドメインユーザのアカウントの有効期限でご教示いただきたく、宜しくお願いします。
あるアカウントを作成し、有効期限を設定しました。設定にては、dsmodコマンドにて期限を設定ました。ユーユーザを作成して、net userコマンドで確認したところ、2010/04/30 22:00になっています。
ところが、ユーザマネージャのGUI画面で確認すると、2010/04/29になっています。
4/30にはログインできない状態となってしまいましたが、これはOSの仕様(?)なのでしょうか?
netuserコマンドとユーザマネージャの画面とでは何故1日ずれが生じる?
そのあたり、詳細をご存知の方がいらしゃいましたらご教示のほど、宜しくお願いします。
----------------------------
(回答)
こんにちは。
GUI画面の表示(2010/04/29)も、net userコマンドも、どちらも正しい結果です。GUIは日付単位で、net userコマンドは秒単位まで表示するという違いがあります。
有効期限が"2010/04/30 22:00"の場合、日付単位でいうと2010/04/29は終日有効ですが、2010/04/30は終日有効ではありませんので、2010/04/29まで有効と表示されます。
秒単位まで数えた場合は、2010/04/30 22:00まで有効と表示する事ができます。
いずれも、accountExpiresの値を元に表示されています。
http://msdn.microsoft.com/en-us/library/cc221084(PROT.13).aspx
どうしてもGUI画面から秒単位で確認したい場合はADSI EditでaccountExpiresの値を確認してみてください。
参考になるページ
(dsmodコマンド)
http://www.netmanage.jp/mcp/MCP290_012.shtml
http://blog.livedoor.jp/komanosuke/archives/12544334.html
http://journal.mycom.co.jp/series/AD/040/index.html
(net userコマンド)
http://www.atmarkit.co.jp/fwin2k/win2ktips/786netuser/netuser.html
[0回]
通常はクライアントはキャッシュログオンできるはずだが・・・
(質問)
Active Directory の冗長化について
お世話になります。
Active Directoryを構築し、冗長化構成を組むために以下のようにサーバを構築しました。
2008SV ドメイン機能は2003
ドメイン名:test.aaa.bbb.co.jp
ホスト名:dc1.test.aaa.bbb.co.jp dc2.test.aaa.bbb.co.jp
当然どちらも、GCになっております。DNSはActive Directory統合になっております。
障害が発生したことを想定して、dc2.test.aaa.bbb.co.jpのLANケーブルを抜きます。
結果:クライアントPC(XP・Vista)はドメインに参加できます。
次にdc1.test.aaa.bbb.co.jpのLANケーブルを抜きます。(dc2にはLANケーブルを接続しています)
結果:クライアントPC(XP・Vista)はドメインに参加できません。
エラーとして以下が返ってきます。
注意: この情報はネットワーク管理者向けのものです。ネットワーク管理者でない場合は、ネットワーク管理者に連絡してこの情報を伝えてください。この情報はファイル C:\WINDOWS\debug\dcdiag.txt に記録されています。
ドメイン test.aaa.bbb.co.jpのドメイン コントローラの場所を検索するのに使用される service location (SRV) リソース レコードの DNS は正しくクエリされました:
クエリは _ldap._tcp.dc._msdcs.test.aaa.bbb.co.jpの SRV レコードでした
クエリによって、次のドメインコントローラが識別されました:
dc1.test.aaa.bbb.co.jp
dc2.test.aaa.bbb.co.jp
このエラーの一般的な原因として挙げられるのは:
- ドメイン コントローラの名前を IP アドレスに割り当てるための Host (A) レコードが見つからないか、正しくないアドレスを含んでいる。
- DNS で登録されているドメイン コントローラがネットワークに接続されていないか、実行中でない。
この問題を解決するための情報については、[ヘルプ] をクリックしてください。
また、dc2が壊れているのかと思い、以下のテストを行いました。
DC1のLANケーブルを抜く。
社内のシステムの認証先をdc2に向け認証をかけてみる。
結果:認証OK
LDAP Browserにてdc2にBINDしてみる
結果:OK
また、ドメインに参加していないクライアントからコマンドをたたくと以下のようにかえってきます。
> _ldap._tcp.dc._msdcs.test.aaa.bbb.co.jp
Server: dc2.clerk.of.miyazaki-u.ac.jp
Address: xxx.xxx.xxx.xxx
_ldap._tcp.dc._msdcs.test.aaa.bbb.co.jp SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = dc2.clerk.of.miyazaki-u.ac.jp
_ldap._tcp.dc._msdcs.test.aaa.bbb.co.jp SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = dc1.clerk.of.miyazaki-u.ac.jp
dc2.clerk.of.miyazaki-u.ac.jp internet address = xxx.xxx.xxx.xxx
dc1.clerk.of.miyazaki-u.ac.jp internet address = xxx.xxx.xxx.xxx
設定は間違ってなさそうなのですが、つまづいています。
よろしくお願いします。
(参考ページ:nslookupコマンドでドメインコントローラのDNS登録を確認する)
http://technet.microsoft.com/ja-jp/library/cc738991(WS.10).aspx
[0回]
MVP○○○○氏とMVP××××氏はお互いの回答を補足し合っている。一種のライバル関係なのか?
(質問1)
その他の証明書を要求するにはどうすればよいでしょうか?
証明書テンプレートにはいろいろなテンプレート表示名のテンプレートがあります。
証明書の要求ウィザードで証明書を要求しようとすると、証明書の種類にはEFS回復エージェント、EFS基本、ユーザ、管理者しか表示されません。その他の証明書を要求するにはどうすればよいでしょうか?
(回答1)
○○○○です。
そういった場合ですが、Windows証明機関について、ポリシーで発行可能な証明書テンプレートをインストールしてからグループポリシーで展開することになるはずです。こまかいところは、したの KB を確認してみてください。
[HOWTO] Windows のグループ ポリシーで自動証明書要求を作成する方法
(補足1)
××××です
○○○○さんに補足します
基本的に証明書要求を行うと、証明機関において証明書テンプレートの登録がしてあるものが表示されます。デフォルトでは数個しか証明書テンプレートは登録されていないことが確認できますね
ですので、もしその他の証明書を表示される(使用する用途がある)なら[証明機関]の[証明書テンプレート]より、[発行する証明書テンプレート]を選択し登録する必要があります。これで初めてユーザーが要求をできる状態になります。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア