[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
初級管理者ではDCのサイト間のコスト・複製間隔のスケジュール設計まですることはまずない。70-294模擬試験で基本的な計算問題の図に慣れるしかないだろう。
(質問)
Windows2003のDCのサイト間の複製について教えてください。
Windows2003ネイティブのサイトが複数あってサイト内にDCが複数あります。
サイトとサービスでNTDSSettingをみると各サイトで
レプリケート元が他サイトのDCのうち一台のみとなっています。
1.この場合レプリケートはレプリケート元サーバの表示があるDCのみから行われるのでしょうか?
そのDCが故障したときはサイト間の複製はなされないのでしょうか?
2.サイト内にDCが複数台ある場合、冗長化を考えてサイト内のDCを複数台、レプリケート元のサーバとして指定したほうがよいでしょうか?
4.複製に関してUSNが関係してくると思うのですが、どこを参照すればよいでしょうか?Directoryパーティション全体を示すUSNがあるのでしょうか?USNを最初にチェックして更新されていなければデータのやりとりはないでしょうか?
5.サイト間のリンクのコストは回線の帯域を考慮すると思うのですが、数値はどのように決めればよいでしょうか?
よろしくお願いいたします。
――――――――――――――――――――――――――――――――――――――
(回答その1)
XXXXです。
いくつか質問を並べられていますが、質問ごとに「お答えする」より、概要を説明した方がよさそうです。
複数のドメインコントローラ間での複製は、接続オブジェクトで指定されたドメインコントローラ(複製パートナ)から複製されますが、そのドメインコントローラがダウンした場合、自動的に複製パートナの見直しが行なわれます。この機能を KCC といいますが、KCC の機能や複製のプロセスについては、したの資料を見てみてください。
Active Directory レプリケーションにおけるサイト間トポロジ ジェネレータの役割
サイト間の複製の原則論や、コストの設計方法については、したの資料がわかりやすそうです。Windows Server 2003 等でもしくみは同じです。
複製を考慮したサイト トポロジの設計
――――――――――――――――――――――――――――――――――――――
(再質問)
ありがとうございます。
リンクの資料大変参考になりました。
ではサイト間のレプリケートはサイト内の1台のDCからの設定でよくて、
ダウンした場合はリンクコストの計算をもとに自動的に複製の仕組みが再作成される
ということでよいでしょうか?
よろしくお願いいたします。
――――――――――――――――――――――――――――――――――――――
(回答その2)
XXXXです。
基本的に、おっしゃる理解で問題ありません。ただ、KCC が考慮する要件はサイトリンクコストだけではなく、サイトリンクの構成自体も影響しますので、この点も考慮いただければいいかと思います。
あと、どうしてもサイトに対してのサイトリンクブリッジを冗長化したい、という場合、したのような方法で実現することはできます。
repadminコマンドでドメイン・コントローラ間の複製を冗長化する
(資料)
Windows Server 2008/2008 R2 Active Directory 設計指南書-富士通Primergy
ASCII.jp:遠隔地の拠点でActive Directoryを運用するには?|Windows Serverで学ぶサーバOS入門
Active Directoryの導入後の作業 - @IT
Technet:Active Directory サイトとサービスの概要 ‐ Active Directory のサイト コンテナ階層
[0回]
(回答)は「お互いのDNSサーバで、相手側のDNSサーバーを条件付きフォワーダとして登録する」だと思っていた。
Windows Server 2003からのDNSの新機能であるスタブゾーンについてやさしく解説してあるページはみつからなかった。
(問題)
ContosoとNorthWind Tradersが合併しました。そのため、contoso.comドメインとnwtraders.comドメインの2つが社内ネットワークに存在します。あなたは、contoso.comドメインのDNSサーバとnwtraders.comドメインのDNSサーバで、お互いに相手のドメインを検索対象にしたいと考えています。ただし、実際に名前解決の必要があるホストはWebサーバなど数台です。なお、双方のDNSサーバーは、ともに今後増加する可能性があります。
管理者の負担をできるだけ減らし、ネットワークトラフィックをなるべく削減できる構成方法を1つ選択してください。
(回答)
contoso.comドメインのDNSサーバに対して、nwtraders.comドメインをスタブゾーンとして登録する。また、その逆を設定する。
(公式ページ)
http://technet.microsoft.com/ja-jp/library/cc780434(WS.10).aspx
[0回]
そういえば少し前に、あるMVP氏がAtmarkitでやさしく操作方法を論述していた。
http://www.atmarkit.co.jp/fwin2k/vista_feature/11gp/11gp_04.html
(問題)
あなたは、Active Directoryドメインの管理者です。あなたは、グループポリシーの設定項目を拡張するための独自のADMXファイルを作成し、ドメインコントローラに保存しました。ところが、別の拠点の管理者から、拡張されたポリシー項目が確認できないという報告がありました。どのような対応が最適でしょうか。なお、すべてのドメインコントローラはWindows Server 2008を使用しており、クライアントはWindows Vistaに統一されています。
(回答)
ドメインコントローラに中央ストアを作成し、必要なポリシー情報を保存する
(公式ページ・KB)
http://technet.microsoft.com/ja-jp/library/cc709647(WS.10).aspx
http://support.microsoft.com/kb/929841/ja
[0回]
MSのKBや公式サイトを探したが具体的な手順は見つからなかった。赤本(70-640)のP291~P298に操作手順が書いてあった。ディレクトリサービス復元モードで起動しなくてもよい。
(問題)
あなたは Windows Server 2008 ベースの Active Directory 管理者です。大量のユーザーを削除したので、オフラインデフラグを行いたいと考えています。どのような手順が必要でしょう。停止時間がもっとも短いものはどれか。
(回答)
Active Directory ドメインサービスを停止、オフラインデフラグ実行後、サービスを起動する。
(参考ページ)
http://itpro.nikkeibp.co.jp/article/COLUMN/20080229/295096/
(参考 Windows 2000 ServerのKB)
http://support.microsoft.com/kb/232122/
[0回]
システム状態(System State)のバックアップはGUI(グラフィカルユーザーインターフェイス)ではできない。試してみたことだが、ネットワーク共有へバックアップすると復元ができなかった。別のローカルドライブヘバックアップするしかない。Windows Server 2008 R2では改善されているようである。
(問題)
Windows Server 2008のドメインコントローラに対して,権威ある復元(authoritative restore)を実行できるように,あらかじめシステム状態(System State)のバックアップを作成しようとしている。システム状態のバックアップを作成する方法はどれですか。
(回答)
Wbadminコマンドで作成する。
(参考ページ)
http://itpro.nikkeibp.co.jp/article/COLUMN/20080318/296529/
[0回]
Windows 7 OS自体の不具合なのか、OEM版PC製造メーカーのセキュリティ強化のための創意によるものなのか?
(質問)
WindowsServer2008(32bit)のドメイン参加でお尋ねです。(クライアントは7です)
素人質問になり申し訳ありませんがお世話になります。
今回クライアントのOSがPro系に統一されることになり、
ドメイン参加にてユーザ管理などを行いたいと考えました。
過去にWindows2000Serverでドメイン構成をした経験がありますが、
この頃のクライアントは9Xでしたので、難なくドメインへの参加ができました。
今回、Windows7Professionalにてドメインへの参加を試みたところ、参加はできる物の、
ソフトのインストールやアップデート、設定変更などに権限がないと言われできません。
ドメイン参加する際のユーザーをAD上でadministratorsグループに参加させてみたり、
ローカルログオンで参加ユーザーを管理者にしたり、
ドメインへadministratorでログオンしてみたりしましたが状況は変わらずでした。
おそらくサーバ上のセキュリティポリシーの設定によるのだと思われますが、
その理解であっていますでしょうか?
ポリシーの問題だとすると、administratorでログオンしているのに
インストールや設定変更ができないのが分からず、悩んでいます。
アドバイスなどよろしくお願い申し上げます。
なお、ローカルでログオンし、ソフトインストールやアップデートを行えば
ドメイン参加状態でも反映されます。
――――――――――――――――――――――――――――――――――――――
(高度な回答)
ドメインのAdministratorsではなくDomain Adminsにユーザーを追加すれば、自動的にクライアントの管理者権限を持つことはできるはずですが、一般的にはすべてのドメインユーザーをDomain Adminsにはしませんので、以下の手順で特定のドメインユーザーをクライアントのAdministratorsグループにドメインユーザーを追加してみるとどうでしょうか
[手順]
クライアントに管理者権限のあるローカルユーザーでログオンし、[コンピューターの管理][ローカルユーザーとグループ][グループ]でAdministratorsに、ドメイン名\ユーザー名を追加すれば、ドメインユーザーにローカル管理者権限が与えられます(推奨はしませんが全ドメインユーザーに対して行う場合には、ドメイン名\Domain Usersを追加します)。
ただ、ローカルログオンで参加ユーザーを管理者にしても、ドメインへAdministratorでログオンしてもだめだったのであれば別の原因がありそうな感じですが・・・。
上記設定がうまくいく環境であれば、グループポリシーで自動的に行うこともできるはずです。
クライアントのコンピュータアカウントを集めたOUに対して、グループポリシーの[コンピュータの構成][Windows の設定][セキュリティの設定][制限されたグループ]で以下を設定します。
以下のように設定すると、ローカルのAdministratorsグループに、ドメイン\Domain Usersを追加できます。
・グループ名 :ドメイン\Domain Users
・所属するグループ :Administrators
以下のように設定すると、ローカルのAdministratorsグループには、Administratorとドメイン\Domain Usersしか存在しなくなります(それ以外のAdministratorsグループのメンバはグループから削除されますので注意してください)。
・グループ名 :Administrators
・このグループのメンバ:ドメイン\Domain Users
――――――――――――――――――――――――――――――――――――――
(結論)
こんばんは。答えてねっと時代から、お世話になりありがとうございます。
今回ご呈示頂いた設定をすべて試してみましたが、
状況は変わらずです。
今日触っていて新たに分かったことの付け加えです。
・別用途の別機種(OSは7Enterprise)ではドメイン参加すら拒否される。
・Adobe Reader起動時に、ローカル(そのコンピュータに)ログオンでは、
新規作成したユーザ名(ドメイン登録してある物と同じ)では
アップデートの有無をチェックの項目が出るのに、
ドメインへログオンすると項目が表示されない。
などです。
2000Serverでドメイン運用の頃はセキュリティも今よりもあまり重要視されていなかったこと、
その後使っていた2003ではドメイン運用してなかったこと。
(XP HOMEのOSが混在していたためできなかった)
などから、2008ではかなりデフォルトでセキュリティ対策が強くかけてあるのかと思いましたが、
GOP上での設定を見た限りadministratorであればデフォルト状態でも
PCの設定変更が可能のようですね・・・。
もしかしたら、今回の7PCのデフォルト設定で、特別な事がしてあるのかも知れません。
(今回業者から直の納品ではなく、本社を通じての納品なので)
一度、メーカと本社に詳細を確認してみたいと思います。
見直すポイントが分かりましたので感謝いたします。
ありがとうございました。
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/41cca264-1d51-4c7e-8ee4-1ae1423f5d88
[0回]
セキュリティの強化の面から必要な知識でしょうか。
(問題)
管理者以外のユーザーが、ドメインにコンピュータを参加させるのを防ぎたいと思います。何をするべきですか。
(回答)
ms-DS-MachineAccountQuotaを0に設定する。
AD DSでは認証されたユーザーが最大10台までのコンピュータをドメインに参加させることができる。サポートツールのadsiedit.mscを使いms-DS-MachineAccountQuota属性の値を修正するとこの目標を達成できる。
(MS KB)
http://support.microsoft.com/kb/251335/ja
(MSのブログ)
http://blogs.technet.com/b/junichia/archive/2010/06/15/3338193.aspx
(参考ページ)
http://itpro.nikkeibp.co.jp/article/Windows/20050902/220507/
つづきはこちら より見る限りではこの試験問題の回答は「?」だと思うが・・・。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア