[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
GUIで操作する方が簡単なので、あまり役に立つとは思えないが・・・。
(問題)
グループからメンバを削除できるのは、次のどれですか。(当てはまる選択肢をすべて選びます)
(A).Rmove-Item
(B).Dsrm
(C).Dsmod
(D).LDIFDE
(E).CSVDE
(回答)
(C). (D)
(参考ページ)
http://journal.mycom.co.jp/series/AD/044/index.html
dsmod group "<グループの識別名>" -rmmbr "<グループから削除するメンバーの識別名>"
http://technet.microsoft.com/ja-jp/library/cc758935(WS.10).aspx
http://support.microsoft.com/kb/237677/ja
LDIFDEの方はコマンドの深い知識がかなり必要で難解そうです。
[0回]
時間をかけ長文にまとめて質問しても、読む人が回答に困るだけである。ここでの質問時間は仕事での給料の一部になっているのか。
(質問)
ログイン画面が表示されるまでが遅い
Windows2008 SP2で2台のドメインコントローラを構築しています。
2台ともにDNSをインストールし、ActiveDirectory統合で構築しました。
どちらか一方のサーバーを単体で起動する時に"コンピュータの設定を適用しています"で
5~8分待たされます。
どちらか一方が起動した状態でもう1台を起動すると、待たされる事なくログイン画面が表示されます。
ログイン画面が表示されるまでが遅い時は、イベントビューアに警告が表示されます。
アプリケーション
ログの名前: Application
ソース: Microsoft-Windows-Winlogon
日付: 2010/02/11 19:22:45
イベント ID: 6005
タスクのカテゴリ: なし
レベル: 警告
キーワード: クラシック
ユーザー: N/A
コンピュータ: test1.test2010.test.co.jp
説明:
winlogon 通知サブスクライバ <GPClient> で通知イベント (CreateSession) を処理するのに長い時間がかかっています。
ログの名前: Application
ソース: Microsoft-Windows-Winlogon
日付: 2010/02/11 19:27:09
イベント ID: 6006
タスクのカテゴリ: なし
レベル: 警告
キーワード: クラシック
ユーザー: N/A
コンピュータ: test1.test2010.test.co.jp
説明:
winlogon 通知サブスクライバ <GPClient> で通知イベント (CreateSession) の処理に 324 秒かかりました。
ログの名前: DNS Server
ソース: Microsoft-Windows-DNS-Server-Service
日付: 2010/02/11 19:22:24
イベント ID: 4013
タスクのカテゴリ: なし
レベル: 警告
キーワード: クラシック
ユーザー: N/A
コンピュータ: test1.test2010.test.co.jp
説明:
DNS サーバーは、ディレクトリの初期同期の完了について Active Directory ドメインサービス (AD DS) から通知されるのを待っています。重要な DNS データがこのドメインコントローラにまだレプリケートされていない可能性があるため、初期同期が完了するまでは DNS サーバー サービスを開始できません。DNS 名の解決に問題があることを AD DS イベント ログ内のイベントが示している場合は、このコンピュータのインターネットプロトコルのプロパティで、DNS サーバー一覧にこのドメインの別の DNS サーバーの IP アドレスを追加することを検討してください。このイベントは、初期同期が正常に完了したことが AD DS から通知されるまで 2 分ごとに記録されます。
↑このエラーが2分毎に3回出力されます。
このサーバーには2枚のネットワークカードが搭載されており、両方にIPアドレスを指定しています。
test1.test2010.test.co.jp
ネットワーク1
IP:10.1.70.1
MASK:255.255.255.0
GW:10.1.70.254
DNS:10.1.70.1
10.1.70.2
ネットワーク2
IP:10.1.92.1
MASK:255.255.255.0
GW:
DNS:
test2.test2010.test.co.jp
ネットワーク1
IP:10.1.70.2
MASK:255.255.255.0
GW:10.1.70.254
DNS:10.1.70.1
10.1.70.2
ネットワーク2
IP:10.1.92.2
MASK:255.255.255.0
GW:
DNS:
ネットワーク2のカードを両方のサーバーで無効にしてみたのですが、現象は変わりませんでした。
ドメインコントローラのどちらか一方のみを起動すると、ログイン画面が表示されるまで時間がかかるのでしょうか?
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/daf0452b-7a47-45ea-95bf-0ca5aa3d990d
[0回]
(文字だけの説明でいまいちわかりにくい)、 (情報量は多いがごちゃごちゃしていてわかりにくい)とか書く前にまず信頼ある書籍を一読願いたい。
(質問)
オンラインレスポンダのインストールについて
Windows Server 2008 R2 サーバ (Role:Active Directory 証明機関/Active Directory ドメインサービス/DNS/IIS) に対して、このサーバをOCSPサーバ
(オンラインレスポンダ)にすべく、設定してみたのですが、エンタープライズPKI(PKIView)でエラーがでてしまいます。
エラーと判断している要因は、 「OCSPの場所#1」の状態をエラーと判断しているようです。 OCSPの場所の指定は http://このサーバのFQDN/ocsp としています。
オンラインレスポンダのインストールは
http://technet.microsoft.com/ja-jp/library/cc732526.aspx (文字だけの説明でいまいちわかりにくい)
http://windowsitpro.com/Windows/Articles/ArticleID/103523/pg/3/3.html (絵もありわかりやすいが、上と微妙に手順が異なる)
http://technet.microsoft.com/ja-jp/library/cc770413(WS.10).aspx (情報量は多いがごちゃごちゃしていてわかりにくい..)
を参考にしつつ、
1. オンラインレスポンダ役割サービスの追加
2. CA(エンタープライズ)のプロパティ、拡張機能タブの AIA(機関情報アクセス)に http://CAのFQDN/ocsp を追加
3. 証明書テンプレートスナップインから 「OCSP応答の署名」テンプレートに、CAのコンピュータアカウントを追加、読み取りと登録のアクセス許可を設定
4. 証明機関スナップイン、証明書テンプレートから「OCSP応答の署名」のテンプレートを発行
5. オンラインレスポンダ管理ツールから、失効構成を追加
を行ったところで、上記のエラーに気づきました。
場所のエラーなので、アクセスできないのかと思い IEから上記のURIにアクセスすると 403.4 (SSLで保護されている)となります(これが原因なのでしょうか?)
どのように対処すればいいのかアドバイスいただけるとうれしいです。
よろしくお願いします。
[0回]
試験問題のようであるが、誰も回答しないだろう。
(質問)
フォレスト信頼作成後のログオンについて
恐れ入ります。フォレスト信頼について質問です。
-- 状況 --
当方Hyper-V上にて仮想コンピュータを5台作成し、仮想ネットワークを使い2つのセグメントを持つネットワークを構築しました。
ネットワークは、RASというRRASの機能をインストールしたWindows Server 2008で2つのネットワークを切り、左を192.168.0.0/24でドメインをdom1.localというドメイン、右を192.168.10.0/24でドメインをdom2.localというネットワークになっています。
dom1.localにはWindows Server 2008 Enterpriseで動くDC1と、Windows Vista Enterpriseの動くPC1
dom2.localにはWindows Server 2008 Enterpriseで動くDC2と、Windows Vista Enterpriseの動くPC2
DC1は、dom1のAD統合ゾーンとdom2.localのセカンダリゾーンを持ち、DC2はdom2のAD統合ゾーンとdom1.localのセカンダリゾーンを持っています。
dom1にはユーザーdom1\user1, dom2にはユーザーdom2\user2があります。
------------------------------(RAS)-----------------------------
| | (192.168.0.0/24) | | (192.168.10.0/24)
PC1 DC1(dom1.local) DC2(dom2.local) PC2
これらのドメインでフォレスト信頼→双方向の信頼を作成しました。
-- 質問 --
PC1上でdom2\user2でログオンを試すとエラーメッセージ
"指定されたドメインの名前またはセキュリティーID(SID)はそのドメインの信頼情報と矛盾します。"
と出てしまいます。
フォレスト信頼を作成したとき、別のドメインのコンピュータから、自分のいるドメインのユーザーアカウントでログオンしたいのですが、どうすれば良いでしょうか?
(私の勘違いで、ログオンするコンピュータも同じドメインから出ないと、そもそもログオン出来ないものでしたか? 尚、相手側のファイル共有や、AD上のユーザー、コンピュータ検索は問題なくできています。)
[0回]
このような状態で、管理を任せた前任のネットワーク管理者はひどいものだ。MSFT氏意外は誰も回答しないだろう。
(質問)
FRSエラーについて
いつも参考にさせていただいております。
FRSエラーが発生し困っております。ご意見をお願いします。
業務環境:重要度高
システム環境:
OS:Windows2000 Server SP4
DC1-FSMO GC
DC2
1ドメイン、ドメインコントローラー2台体制で運用していますが、
DC2が立ち上がっていないまましばらく経過していました。(前回の起動が7月)
最近になって、運用を任されDC2を立ち上げて様子を見ているのですが、
FRSエラーが発生して、複製がされない状況です。(SYSVOL、NETLOGON共有は外れていません。)
また、NTDSの複製はできているようです。
◆DC1上に、イベントID:13568(ジャーナルラップエラー)
---------------------------------------------------------------------
ファイル レプリケーション サービスにより、レプリカセット "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
が JRNL_WRAP_ERROR の状態であることが検出されました。
レプリカ セット名 : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
レプリカ ルート パス : "c:\windows\sysvol\domain"
レプリカ ルート ボリューム : "\\.\C:"
NTServer USN ジャーナルから読み取ろうとしているレコードが見つからない場合に、レプリカ セット
は JRNL_WRAP_ERROR の状態になります。これは次の理由のいずれかによって 発生します。
[1] ボリューム "\\.\C:" がフォーマットされています。
[2] ボリューム "\\.\C:" の NTServer USN ジャーナルが削除されています。
[3] ボリューム "\\.\C:" の NTServer USN ジャーナルが切り詰められています。 ジャーナルの最後
で壊れたエントリが見つかった場合は、Chkdsk でジャーナルを切り詰めることができます。
[4] このコンピュータでファイル レプリケーション サービスが長い間実行されていませんでした。
[5] ファイル レプリケーション サービスでは、"\\.\C:" のディスクの I/O 活動速度についていくこ
とができませんでした。
---------------------------------------------------------------------
今回の場合は、「[4] このコンピュータでファイル レプリケーション サービスが長い間実行されていませんでした。」
が当てはまると思います。
◆DC2上に、イベントID:13508(FRSエラー)
----------------------------------------------------------------------
ファイル レプリケーション サービスの問題のため、DNS 名 Server2.domain.local を使用して
c:\windows\sysvol\domain に対して DC2 から DC1 へのレプリケーションを有効にできません。
再実行します。
この警告が表示される理由として次のいくつかが考えられます。
[1] FRS によりこのコンピュータから DNS 名 Server2.domain.local を正しく解決できません。
[2] FRS が Server2.domain.local 上で実行されていません。
[3] このレプリカに対する、Active Directory のトポロジ情報が一部の ドメインコントローラにまだ
レプリケートされていません。
このイベント ログ メッセージは接続ごとに一度表示されます。問題が 解決されると、接続が確立され
たことを示す別のイベント ログ メッセージが 表示されます。
---------------------------------------------------------------------
こちらは、両方向エラーがでています。
「DC1 から DC2 へのレプリケーションを有効にできません。」
「DC2 から DC1 へのレプリケーションを有効にできません。」
◆そこで、修復方法の相談です。
レジストリパラメタ「Enable Journal Wrap Automatic Restore」を変更する方法がログに記載されています。
できればこの方法以外に方法はないものでしょうか?
(SYSVOL共有が一旦無効にされ、初期化、複製されて共有が表示されるようです。)
DC降格・昇格で直りそうな気もするのですが?(この場合、DC1の降格・昇格が必要?)
あるいはこのまま放置しても、問題ないでしょうか?
というのは、システム環境変更が来年度に予定されています。
別の業務環境で、以前システム状態をバックアップから復元したものの、
別DCから複製がかからず、SYSVOL、NETLOGON共有が表示されない。
もちろんクライアントがログインできないという経験をしました。
これは結局は、DCが2台の環境だったものの複製エラーが発生していたのを確認せずに、
バックアップを取って作業を始めたからでした。
情けないですが、こういった経験から怖いのが正直なところです。
(回答)
略
[0回]
追加DCをインストールする時にこのようなミスをよくしました。
(質問)
既存ドメコン上のDNSにおいてレコードが削除されてしまう
○○○○と申します。
社内環境で発生したWindowsDNSの障害について、障害原因、対応手順などを調査しております。
お忙しいなかお手数ですが、お手すきの際ご教授いただければと思います。
■経緯
既存ドメイン環境へ新たにメンバサーバを追加して、その後、当サーバをドメコンへ昇格、DNSサーバのインストールを行いました。
作業はDNSサーバのインストールまで正常に作業は完了したのですが、既存ドメインコントローラのゾーン内にあった
レコードの大部分が削除されてしまう現象が発生しました。それによりサーバにアクセスできないという影響がありました。
削除されたレコードは、手動で追加することで解消しました。
■環境
ドメイン環境:シングルドメイン
既存ドメインコントローラはWindows2003 Standard Edtion が2台
追加したドメインコントローラもWindows2003 Standard Edtion
■行った作業手順
1)ドメコンへの昇格
サーバの役割追加により正常昇格。その後再起動。
2)DNSサーバの構築
1)の作業実施後、サーバの役割追加。
・サーバの種類:ActiveDirectory統合
・ゾーンの種類:プライマリゾーン
・ゾーン名指定:既存ゾーンを記載
・動的更新:セキュリティで保護された動的更新のみを許可する
正常完了。ただし、ゾーン内のレコードは既存ドメコンにあるものがなかな
か登録されませんでした。
その後、理由があって、別ネットワークへ追加したドメインコントローラを
移動(既存ドメコンとは通信できない環境になりました)。
■自分なりに考えた障害原因
いろいろ調べたのですが、以下二つの情報を見つけました。
①書籍:Windows2000Server リソースキット内TCP/IPガイド
”ActiveDirectory統合ゾーンの作成”の説明内の注意書き
「あるドメインコントローラ上でゾーンを作成した後、ActiveDirectoryによる
複製が終わる前に2番目のドメインコントローラで同じゾーンを作成すると、最
初のゾーンがActiveDirectoryによって削除されます。その結果、最初のドメイ
ンコントローラ上のゾーンに加えた変更がすべて失われてしまいます。」
②Web:@IT
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=37867&forum=6
上記二つから、以下仮設を立てました。
ドメコンへの昇格直後に時間を空けずに、DNSサーバの構築を行ったため
既存ドメコン内のゾーン情報が新ドメコンのゾーンに上書きされてしまったの
ではないか
■質問
1)このような(または類似する)障害はご存じでしょうか。またWindowsDNSの追加手順についてご存じでしょうか。
2)そもそも、ドメイン内で複数のActiveDirectory統合DNSを構築する場合
2台目以上のDNSはセカンダリとして構築する必要があるのでしょうか
3)リソースキットでに記載されている”あるドメインコントローラ上で
ゾーンを作成した後、ActiveDirectoryによる複製が終わる前に”という
記述ですが、”ActiveDirectoryによる複製が終わった”ことはどこから確
認すれば良いのでしょうか
以上です。
誠にお手数ですが、お時間のある時にご教授いただければ幸いでございます。
何卒宜しくお願いいたします。
==========================
(回答1)
××××です。
この件ですが、これは「追加ドメインコントローラ上の DNS サーバに『手動で Active Directroy ゾーンを作ってしまった』ため」にいままであった DNS ゾーン (Active Directory 統合ゾーン)と衝突してしまったのでしょう。
Windows Server 2003 ではアプリケーションパーティションという複製パーティションが存在しますが、DNSサーバのActive Directory統合ゾーンはこれを使います。具体的には、DC=ForestDNSZones,DC=example,DC=comとDC=DomainDNSZones,DC=example,DC=com(Example.comドメインなら)というパーティションです。
2台目や3台目の追加ドメインコントローラにDNSサーバを追加する場合、一番簡単なのは事前に DNS サーバをインストールしておく(ただしゾーンは作成しない)ことです。こうするとアプリケーションパーティションの内容も複製され、DNSサーバに内容が反映されます。(DNSサーバが正常に動作したら、参照先DNSサーバを優先[127.0.0.1]代替[ほかのドメインコントローラ]にすることを忘れずに)
DNSサーバに内容が反映しない場合、複製の関係でしばらくすると反映されるはずですが、きちんとしたい場合 repadmin コマンドで強制的に複製する方法があります。複製するパーティションは、うえの例ならDC=ForestDNSZones,DC=example,DC=comとDC=DomainDNSZones,DC=example,DC=comのパーティションになります。
==========================
(回答2)
××××さんのおっしゃる通りなのではと思います。
もともと、アプリケーション パーティションに作成していた DNS ゾーンの環境に
新しく追加した DC にドメイン パーティションに同名のゾーンを作成したことが原因だと思います。
イベント ログをみて DNS に 4515 が記録されていれば、この現象が発生しています。
詳細はこの KB に記載されていますので、参照してみてください。
http://support.microsoft.com/default.aspx/kb/867464/ja
[0回]
スクリプトの作成は熟知した専門家(プログラマー?)のみが知っている世界である。一般の人は基本的なコマンド操作ができればよい。
(質問)
どのドメインコントローラで認証されるか
ドメインコントローラのログオン認証に関して質問させて頂きます。
Windows server 20008 *2台をドメインコントローラ兼DNSにして
Active Directoryドメイン環境を構築しています。
シングルドメイン構成です。
各ドメインコントローラをDC1、DC2とします。
このようにDCが2台ある場合、クライアントPCからドメインにログオンする際に
どのDCで認証をしているのでしょうか。
例えばクライアントPCが10台あったとして
DC1とDC2のどちらで、各クライアントはログオン認証をするのでしょうか。
クライアントがログオン時に、DNSから認証を受けるDCの場所を教えてもらっていると思うのですが
DNSはどのようにして、DC1で認証するクライアントPC、DC2で認証するクライアントPCの
判別をしているのでしょうか。
書籍などを確認すると
「クライアントの認証時に、適切なドメインコントローラで認証を受け」という表現が多々見受けられます。
この「適切な」とは、どこで判断しているのかを確認したくて、投稿させて頂いております。
どなたかご存知の方がいらっしゃいましたら、よろしくお願い致します。
――――――――――――――――――――――――――――――――――――
(回答1)
○○○さん、
ドメインメンバのコンピュータで、コマンドプロンプトを起動し、以下のコマンドを試してみてください。
>nslookup -type=SRV _ldap._tcp.dc._msdcs.%userdnsdomain%
仮にドメイン名が sample.local だったとすると上記コマンドは
>nslookup -type=SRV _ldap._tcp.dc._msdcs.sample.local
と等価です。
ADサイト情報がクライアント側で既に認識している場合は
>nslookup -type=SRV _ldap._tcp.<AD Site Name>._sites.dc._msdcs.%userdnsdomain%
でそのADサイトで利用すべきドメインコントローラ一覧が表示されると思います。
ADサイトを何も作っていないと「Default-First-Site-Name」が既定値でマップされます。
何度かコマンドを試すと 帰ってくる情報が やるたびに順番が変わっていると思います。
この順番が変わるのが ラウンドロビン という動作で、DNSサーバが なんとなく(負荷分散のつもりで?) 同じエントリに同じ優先順位のレコードが複数情報がある場合に入れ替わりで情報を返しています。
クライアントPCは、帰ってきた一番最初の情報を優先的に使います。
場合によっては2番目以降の回答を無視(利用することを想定されてない事もしばしば)します。
DNSサーバの回答がくるくるすることで、クライアントは勝手にまんべんなくアクセス対象が分散されることになります。
これらから、
・クライアントPCが自身のIPアドレスが確定していない場合、自身のADサイトが特定できない。
※ DHCPなどでアドレスが変動する場合で、前回と別セグメントのIPが降られた場合には 前回認識していたADサイト情報が利用できないことになるのかしら?
・自身のADサイトが不明な場合、
_ldap._tcp.dc._msdcs.%userdnsdomain%
をクエリして、そもそもドメイン内のドメインコントローラを決定。
ドメイン認証を実施。
・認証が通ったら、同じくグローバルカタログ(gc)を持つサーバを DNSクエリで見つけてきて接続し、
GCから自身のIPアドレスが所属すべきADサイトを識別します。多分。
・次回再起動時、自身のIPアドレスが確定していて、前回認識していたADサイト情報が有効だった場合、
_ldap._tcp.<AD Site Name>._sites.dc._msdcs.%userdnsdomain%
をクエリして 自身のADサイト内の有効ドメインコントローラを決定。
で動いているんじゃないですかね、、、、
サイトとサブネットは 「ADサイトと信頼関係」ツールで設定しないと関係性が示されないので ADサイト情報を特定できない事になります。
具体的な 資料を見つけたわけではないので どこか間違っていたりする気がします。
――――――――――――――――――――――――――――――――――――
(回答2)
×××です。
お二方のコメントに補足します。
Active Directory でどのドメインコントローラが認証されるのか、は、したの MSKB に書いてあります。
Windows XP がドメイン コントローラを検索する方法
この資料を読めばドメインコントローラ検索の流れがわかると思うのですが、「IP/DNS 互換ロケータ」を使って、DNS ベースでドメインコントローラを検索することがわかります。これは NetLogon サービスが行なうのですが、この細かい動きについては、したの資料の「ドメインロケータ」以降、および「IP/DNS DC ロケータのアルゴリズム」の項目を読んでもらうと、わかると思います。
Windows 2000 DNS
うえを読んでもらうとわかるのですが、SRV レコードには優先順序や重み付け(どのくらいの割合で優先させるか)といったフィールドがあるため、サイト内の複数ドメインコントローラであっても「多少の制御」を行なうことはできます(いわゆる完全な決め打ちはできません)。これについては、こういう資料があるようなので、興味があればご覧ください。
DNS管理ツールでDCのウエイトを設定したのにしばらくすると元に戻ってしまう
Reducing the workload on the PDC emulator master
これも細かいことですが、「ログオンしたドメインコントローラ情報」については、Windows XP 以降については %LOGONSERVER% 変数をみるのではなく、したのようなスクリプトで ADSI ベースの情報を確認された方がいいでしょう。
ユーザーを認証したドメイン コントローラを特定する方法はありますか
経験則になりますが、Windows XP 以降では %LOGONSERVER% には直近でログオンしたとは思われないドメインコントローラが記録されることがあります。Windows XP 以降で実装された「高速ログオン」機能(キャッシュを使ってログオンする機能)のため、正確な値が入っていないのだろう、と推察しています。
(追記)
そのスクリプトのMS資料のURLはしたへ変わっているので要注意。
Hey, Scripting Guy! ユーザーを認証したドメイン コントローラを特定する方法はありますか
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア