[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
実は、Windows Server 2003 ADからスキーマを拡張してWindows Server 2008 ADにアップグレードするとこのようなトラブルが多い。
(質問)
2003からのアップグレードしたドメインでDNSが参照できなくなる
WindowsServer2003のActiveDirectoryからWindowsServer2008のActiveDirectoryへ
アップグレードし、2台以上のドメインコントローラが構築された状態。(アップグレード後の機能レベルはフォレスト/ドメイン共に2003)
上記環境において、すべてのサーバをシャットダウン状態にし、1台のDCを起動するとDNS レコードが表示されなくなる。
ADとして機能しなくなる。
DNS のサービスは動作している。
具体的には、MMC で DNS を参照するとサーバー名に赤 ×が付く。
ログインはできる。
【試した回避策等】
・DC の DNS 参照設定に、セカンダリとして外部の DNS を指定すると回避できた。
・DNS サービスを再起動で、たまに回復する。
・NIC の有効/無効切り替えを行うと確実に回復する。
・他のDCのDNSとたすき掛けに参照をしても回避できない。
・どのDCを先に起動しても同様の現象は発生する。
・新規構築した2008の環境では発生しない。
・復旧後3,4日すると同じ現象が起こる。
また、以下のイベントログが記録されている。
イベント ID : 4013
ソース : Microsoft Windows DNS Service
アップグレードの大まかな手順は以下の通り
・2008サーバをドメイン参加
・Prepの実行
adprep /forestprep
adprep /domainprep
adprep /rodcprep
・DCPROMO実行
・DNS サーバー複製(AD統合)
・グローバル カタログ複製
・FSMO移行
・2003降格
・2008DC追加
以上の条件で何か情報をお持ちの方がいれば教えてください。
何度か検証していますが確実に再現します。
(回答略)
[0回]
プロキシやWEBフィルタングソフトで閲覧規制をかけるのが現実的だと思うが、MS社自社製品に対する愛社心(仕事?)からの回答か。
(質問)
グループポリシーでコンテンツアドバイザを有効にしたい
ADのグループポリシーを使用してIEのコンテンツアドバイザを
有効にしたいと思い設定しています。
グループポリシーにて設定した「承認したサイト」は反映されますが、
コンテンツアドバイザ自体が有効になりません。
クライアントのIEで手動にて有効にしても
gpupdateを実行すると無効になってしまいます。
グループポリシーの設定の中に有効にする設定があるのでしょうか?
環境
サーバ:Windows 2003 Server
クライアント:Windows XP(IE6)
ご教授願います。
=================================
(回答)
こんにちは、フォーラムオペレーターの○○○○です。
よろしければ、グループポリシーの設定を行う端末(ドメインコントローラー)上で、コンテンツアドバイザを有効にして、再度グループポリシーの設定を行ってみてください。
1. ドメインコントローラー上で、コンテンツアドバイザを有効にする(IE の設定)。
2. 1 と同じドメインコントローラー上で以下のグループポリシーの設定を行う。
[ユーザーの構成]-[Windows の設定]-[Internet Explorer のメンテナンス]-[セキュリティ]-[セキュリティゾーンおよびコンテンツの規則] にある、[コンテンツの規則] の [現行のコンテンツの規則の設定をインポートする] にチェックを入れる。
あと、[Internet Explorer のメンテナンス] は、ポリシーの設定を行う端末の "Internet Explorer セキュリティ強化の構成" の有効/無効 によってクライアントへの適用状況が異なる場合がありますので、ご注意ください。
- 参考資料
Internet Explorer URL Action and Advanced Security Settings in Group Policy
http://technet.microsoft.com/ja-jp/library/cc783259(WS.10).aspx
Windows Server 2003のIEのセキュリティ設定を緩和させる
http://www.atmarkit.co.jp/fwin2k/win2ktips/634iesecconf/iesecconf.html
もし設定がうまくいかない場合には、設定された手順を出来る限り詳しくお知らせいただければと思います。
それでは、こちらの情報がお役に立てる事を願っています。
______________________________________
マイクロソフト株式会社 フォーラムオペレーター ○○○○
(関連スレッド)
[0回]
[0回]
難しい検証をする質問に答えてくれるのはやはりこの人。あまり難しい検証をしようとすると心身ともに疲れる。
(質問1)
Windows Server 2008でのサイト間レプリケーションについて
現在2台のサーバ(共にWindows Server 2008)でサイト間レプリケーションの構築を考えており、以下の手順で構築しました。
①サーバAにドメインコントローラをインストール。
・新しいフォレストに新しいドメインを作成
・ドメイン機能レベル、フォレスト機能レベルは共にWindows Server 2008
②サーバBにドメインコントローラをインストール。
・「既存のドメインにドメインコントローラを追加する」で、サーバAのドメインを利用
③「Active Directory サイトとサービス」で、各サーバ用のサイト・サブネット・両サイトを結ぶサイトリンクを設定し、それぞれのサイトに対応したサーバを移動させる。
以上の設定を完了させ、ルータを挟んで別々のサブネット環境にサーバを用意しました。
しかし、レプリケーション自体はうまくいっていますが、スケジュールの面で問題が発生しました。
現在検証のため、サイトリンクのレプリケートの間隔を15分に設定しています。ただし、サイトリンク及び、両サーバのNTDS Settingsのスケジュールにおいて、全ての時間帯でレプリケートしない設定にしていますが、それにもかかわらず、15分おきにレプリケートされてしまい、こちらが設定したスケジュールが無視されてしまいます。
このままでは本番では導入不可能な状態です。なぜレプリケートのスケジュールが反映されていないのでしょうか?
=================================
(回答1)
○○○○です。
> ただし、サイトリンク及び、両サーバのNTDS Settingsのスケジュールにおいて、全ての時間帯でレプリケートしない設定にしていますが、
この設定がよろしくないのではないでしょうか?UI 上ですべてを禁止したつもりが、内部実装ではそう認識されず、逆に制御されていないものとして、もっとも短いタイミングで複製が走っているように見えますね。
ドメインコントローラのデザインのひとつとして "管理者都合で全く複製を中断する" ということは基本的に想定されていないようにみえます。すでに修正されました(UIからでもできないようになった)が、以前、複製間隔時間を思い切り長く設定したとき、UI上ではその数字になっているに、実際には複製が走ってしまい、「あぁ、一定間隔以上、複製タイミングは延ばせないんだな」と合点したものです。
それと同じ制限事項な気がします。これを簡単に切り分ける方法は、UI上で「遠いタイミングのどこか1箇所だけ」複製を許可する時間帯を設定して、複製が行われなくなったら、そういうことなのでしょう。
ちなみに、本当に複製を一時的に全部中断したいなら、各ドメインコントローラ上で repadmin /options +DISABLE_OUTBOUND_REPL コマンドを使うことで実現できるでしょう。
====================================
(質問2)
○○○○さん
返信、ありがとうございます。
>それと同じ制限事項な気がします。これを簡単に切り分ける方法は、UI上で「遠いタイミングのどこか1箇所だけ」複製を許可する時間帯を設定して、複製が行われなくなったら、そういうことなのでしょう。
早速、日曜日のみレプリケートが可能なようにスケジュールを調整してみましたが、残念ながら複製が行われてしまいました。
実際には平日の夜中や土日などにレプリケートが行われるようにするためにスケジュールを組みたいのですが、レプリケートの間隔を調査してみると最大で1週間間隔が可能だとか……
この方法でも構わないかと思ったのですが、
>以前、複製間隔時間を思い切り長く設定したとき、UI上ではその数字になっているに、実際には複製が走ってしまい、「あぁ、一定間隔以上、複製タイミングは延ばせないんだな」と合点したものです。
……どうもこの方法でもまともに動きそうにありませんね。
根本的な問題として、なぜスケジュールが無視されるのかが非常に気になります。
====================================
(回答2)
○○○○です。
> 根本的な問題として、なぜスケジュールが無視されるのかが非常に気になります。
たとえば「スケジュールが無視される状況」というのが、Windows とかのバグ、というなら、ちまたで大問題となっているはずなので、現状でこの可能性は少ないでしょう。
そうなると、あとは別の可能性を探す、ということになるのではないでしょうか?
・設定が想定されてないものだった
[サイトとサービス]にあるIPコンテナのプロパティ"スケジュールを無視する"がONになっている、など
・(設定変更後の)Active Directory 複製がうまくいってない
「どこか一箇所だけ可」のスケジュール設定が全部のドメインコントローラに伝達されてない、など
・矛盾する設定等がある
問題をわかりやすくするため、サイトリンクベースでスケジュールを設定し、他はデフォルトにしておく、とよいかも知れません。
[0回]
有資格者の名に恥じない大変、情熱ある立派な回答である。
しかし、Windows Server 2008 ADはネットワークやグループポリシーに関するトラブルが多く見られることから、Windows Server 2003 ADからのアップグレードは怖い。
Windows Server 2003 ADの方が、面白味がないが安定している気がする。
(質問)
Active Directory 子ドメインのリプレースに関して
お世話になっております。
現在、Active Directory環境下で、サーバのリプレースを考えています。
【環境】
サーバA: Windows Server 2003
用途 : ADサーバ(ルートサーバ) ドメイン名を仮に ServerA.aaa.localとします。
サーバB: Windows Server 2003
用途 : ADサーバ(上記サーバのバックアップ的用途) ドメイン名を仮に ServerB.aaa.localとします。
サーバC1~C4: Windows Server 2003
用途 : ADサーバ(上記の子ドメインサーバ) ドメイン名を仮に ServerC1~C4.bbb.aaa.localとします。
サーバC1~C4は別々のサイトとして存在
【質問】
1.上記の環境下で今回、「サーバC1~C4」をWindows Server 2008へのリプレースを考えています。
その際、ADprepを実施する必要があると思いますが、ADprepの実施は、以下のどれに相当しますでしょうか?
1.サーバA、Bに対ADprepが必要
2.サーバC1~C4(リプレース対象サーバ)に対しADprepが必要
3.全サーバでADprepが必要
2.上記の作業はどのサーバで何を実施する必要がありますでしょうか?
(例:サーバA,Bでforestprepのみ等々)
どのサーバにどのadprepを実施するか、感覚的には理解しているつもりですが
今回のような子ドメインのみのリプレースの経験がない為、念の為確認したく思います。
初歩的な質問で恐縮ですが、ご教示下さい。
よろしくお願いします。
----------------------------------
(回答1)
○○○です。
IT Proさんの記事にアップグレードの詳細な情報がありますのでこちらを参考にしてはいかがでしょうか?
Active Directoryアップグレード方法論
http://itpro.nikkeibp.co.jp/article/COLUMN/20080701/309864/
さて、アップグレードを行う際にはおっしゃる通りAdprepなどの前作業が必要になります。
行うべきことはフォレストに対する変更とドメインに対する変更になります。
ですのでルートドメインであるaaa.local上のFSMOのスキーママスタが存在するサーバー上でadprep /forestprepを実行する必要があります。
後はドメインごとの変更です。
ですので子ドメインであるbbb.aaa.local上のFSMOのインフラストラクチャマスタが存在するサーバー上でadprep /domainprep /gpprepを実行する必要がありますね。またRODCを今後使う予定があるのであれば、adprep /rodcprepも実行する必要があります。
今後ルートドメインにもWin2008DCを参加させるのであれば、上記操作が必要になります。
ここからは考え方次第なのですが、私なら今後のことも考えてルートドメインにも同様の動作を施しておきます。なぜなら毒にはならないからです。また、インストールする際にこれらの作業を実行していなかった場合は、これらの作業をするようにエラーメッセージが出てインストールできません。
FSMOサーバーを検索するコマンドとして簡単なのはnetdom query fsmoになります。ただし、Win2003にはデフォルトでこのコマンドは入っていません。サポートツールをインストールする必要があります
----------------------------------
(回答2)
ちょっと補足します
各ドメインで行う作業として
adprep /domainprep /gpprep
と書きましたが、これはWindows 2000 Serverドメイン内の最初のWin2008DCである場合です
Windows Server 2003ドメイン内の最初のWin2008DCの場合は
adprep /domainprep
でいいです。
またRODCをGCにする場合は全てのドメイン(そのドメインでWin2008DCを実行しなくても)で
adprep /domainprep
を実行します。
ちなみにgpprepスイッチを指定するとSYSVOL共有フォルダにあるGPOに継承可能なACEが追加
されドメイン内のコントローラ間でSYSVOL共有フォルダが同期されます。
----------------------------------
(回答3)
Windows Server 2008 で AD DS をサポートするために行われた Adprep.exe の変更に関する付録
http://technet.microsoft.com/ja-jp/library/cc770703(WS.10).aspx
この情報を見ると
フォレスト全体の更新がうまくいった場合は
CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=ForestRootDomain オブジェクトが作成され、このオブジェクトのリビジョン属性 (スキーマの CN=Revision、Integer 構文) が 1 に設定されます。
ドメイン全体の更新がうまくいった場合は
CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain オブジェクトは、正常に完了したことを示すためにリビジョン属性 (スキーマの CN=Revision、Integer 構文) が 1 に設定されます。
と書いてありますのでADSIエディタなどで確認することができると思われます。
[0回]
まず、赤本とかで基本用語を覚えないと回答内容が理解できない。
(質問)
親子ドメインについて
類似した質問がなかったので、質問します。
はじめました、××××です。
test.local(親ドメイン)にtokyo(子ドメイン)のDCを作成しました。
その際、DNSのゾーン(tokyo.test.local)が作成されませんでしたが、それは正常な動作なのでしょうか?
もしくは、手動で作成すべものなのでしょうか?
また、親子ドメインの作成に関するwebサイトも探しています。
『TechNet オンラインコンシェルジェ』に【 Windows Server 2003 で Active Directory を
構築した際の子ドメインの追加方法 】で問い合わせをしましたところ、下記の情報を頂きました。
【 Windows Server 2003 Active Directory での追加のドメインコントローラーのセットアップ 】
http://technet.microsoft.com/ja-jp/library/cc967028.aspx
どなたかの他の情報をご存知でしたら、ご教授お願い致します。
---------------------------
(回答)
○○○○です。
△△△ さんのコメントに補足します。
Active Directory で(ドメインツリーの)子ドメインを作った場合、親ドメインコントローラの DNS サーバを指定すると、親ドメイン内にサブドメインが作成され、その中にゾーン情報が格納されます。たとえば、exmaple.com の子ドメイン sub1.example.com なら、[exnample.com]ゾーン内に[sub1]というサブドメインが作成されているはずですよ。
ただ、うえの設定行った場合、親ドメインコントローラがダウンしたら子ドメインが使えなくなること(親ドメインコントローラへのネットワークトラフィックも増えます)、DNS ゾーン情報の管理を子ドメインコントローラで制御できない、と問題があるので、こういう使い方はあまり行われません (DNS 情報を集中管理したいような場合は別ですが)。
そのため、一般には (うえの例なら) [example.com] ドメインのサブドメインに対して "委任" を行い、サブドメイン情報の格納先を別の DNS サーバ(子ドメインコントローラの DNS サーバ) に指定するのです。DNS ゾーン(ドメイン)の委任を行う場合、固定的な IP アドレスを手動で設定し、委任先のコンピュータを指定します。委任先コンピュータ(子ドメインコントローラ)に DNSサーバが事前にインストールされていれば、DCPromoコマンドの機能で、サブドメインのゾーン作成等は自動的に行われ、子ドメインコントローラの DNS サーバ上にサブドメインのゾーンが作成され、_msdcs.example.com ゾーン(フォレスト内の全てのドメインコントローラ情報が収められており、認証に必要です)が、Active Directroy 複製されます。
「スタブ」という機能ですが、うえの「委任されたサブドメイン情報」を動的に登録するもので、委任先のDNS サーバのIP アドレスが一部変わってしまっても、その情報を追跡することができます(手動で行う[委任]機能では実現されません)。
DNS の委任については、「DNSのサブドメインを定義する(委任を利用する方法)」が、スタブについては「スタブ ゾーンとは」が、参考になるかと思います。
[0回]
(質問1)
ドメイン参加している端末の時刻同期設定
【構成】
・Windows Server 2003 SE R2 SP2 (ドメインコントローラー)
・Windows XP professional
【事象】
ドメインに参加しているPCを別のドメインに参加させたところ時刻同期が行われなかった。イベントログには以下の内容のエラーが出力されていた。
・ソース:W32Time
・イベントID:17
・メッセージ
タイムプロバイダNtpClient手動で構成されたピア'time.windows.com.0x1'のDNS参照中に予期しないエラーが発生しました。960分後に再試行します。
【質問内容】
①ドメインに参加時,以下レジストリ情報が書き換わると認識しておりますが正しいでしょうか。
\My Computer\・・・\W32Time\Parameters
Name:Type Data:NT5DS
不具合のPCは、Dataの値が「AllSync」,「NoSync」とPC毎にまちまちの設定でした。
②①が正しい場合,書き換わらない場合の原因としてどのようなことが考えられるでしょうか。
③この状態でドメインコントローラと時刻同期をさせる方法として、単に、レジストリを修正するのみの対処で宜しいでしょうか。
(回答1)
○○○○です。
momo-ttb さんの質問に、「素で答える」範囲でお答えします(役に立たない内容があるかもしれません)。
(1) ドメインに参加しているクライアントがドメインコントローラから時刻同期するには、このレジストリ値の変更が必要です。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
値の名前:Type が "NT5DS" になっていること
(2)うえのレジストリ値が "NoSync" などになっていたから、という可能性はありえますが、わからないので、ちゃんと調べないとだめでしょう。具体的なケースを作成して、検証してみるとか。ちゃんと調べたいなら、MS の有償サポートに問い合わせたほうがいいように思います。
(3)(1)のレジストリ値を変更したら、"Windows Time" サービスを再起動させてください。普通はそれで大丈夫なはずですよ。
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/a217ccb2-e59f-4d79-97f0-6c060cf9b6c7
(質問2)
AD環境の時刻同期設定(Allsync)について
初めまして。
検索したのですが、同じ質問がなかったようなので、質問させていただきます。
AD環境(wind2008R2)にて、時刻同期設定を行っています。
PDC:win2008R2
ドメイン参加している機器:win2008R2、winXPSP1
機器導入後、ドメイン参加している機器の時刻同期設定(※)を見たところ、
NT5DSになっているもの、Allsync になっているものがありました。
※HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
値の名前:Type
通常、端末、サーバの時刻同期設定はデフォルトで、
NTPになっていて、ドメイン参加すると、
NT5DSに変わるとの認識ですが、何故 Allsync になるのでしょうか。
当然ですが、レジストリを直接変更したりしていません。
ご存知の方がいらっしゃいましたら、教えてください。
(回答2)
すでにお答えされていますが、わかる範囲で回答するとしたらしたの資料よりコマンドでも設定できるようなのでキーワードでWeb検してみられるか、過去ログなどを調べてみてください。
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040414/13/
http://www.monyo.com/technical/windows/27.html
レジストリ
HKEY_LOCAL_MACHINEのSYSTEM\CurrentControlSet\Services\W32Time\Parameters
値の名前:NTPServer
に2つ以上のNTPサーバーが登録されていませんか。
通常は、
time.windows.com,0x1
time.windows.com,0x9(Vistaや7の場合)
コマンドプロンプトでしたのコマンドを叩いてみるか、
>w32tm /monitor
(Vista以上は管理者コマンドプロンプトで >w32tm /query /configuration と叩いても分かります。)
システムログのソース(S):W32Time(Vista以上はソース(S):Time-Service)を確認してください。
外部のNTPサーバーとドメイン・コントローラの両方と時刻を同期する場合
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
値の名前:Type
が" Allsync " である。
ドメイン階層(PDCエミュレータ)と時刻同期させるには
クライアントでAdmin権限あるユーザでログオンしてコマンドプロンプト(または管理者コマンドプロンプト)で
>w32tm /config /syncfromflags:DOMHIER
と叩いてTimeサービスを再起動したら
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
値の名前:Type
が"NT5DS" になる。
(MS KB)
Windows Time サービスにおける時刻同期の仕組み
文書番号: 2722681 -
(参考ブログ)
http://d.hatena.ne.jp/Spiral/20110310/1327558925
http://uso59634.blog63.fc2.com/blog-entry-10.html
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/9c394d61-32b8-49e9-8d58-bd4dc6087101
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア