[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
このような質問にはMVP For Directory Serviceコンサルタントの出番を待つかMS有償サポートへ問い合わせないと回答がつきそうもない。
(質問)
信頼関係を結んであるドメインのDCにイベントID:5722とイベントID:3210が発生し続ける
各ドメイン環境は以下の通りで、2つのドメイン間で信頼関係を結んであります。
domain-a.local
DC01:Windows 2000 Server SP4
DC02:Windows 2000 Server SP4(FSMO、GC)
domain-b.local
DC03:Windows Server 2003 R2 SP2
DC04:Windows Server 2008 R2(GC)
DC05:Windows Server 2008 R2(FSMO、GC)
<現象>
domain-a.localドメインの全てのDCにイベントID:5722が、
domain-b.localドメインの全てのDCにイベントID:3210が発生し続けています。
<確認事項>
信頼関係を検証すると以下のメッセージが表示されます。
【domain-aで検証した場合】
ドメイン domain-a.local の Active Directory ドメイン コントローラー \\DC名 からの、
ドメイン domain-b.local へのセキュリティで保護されたチャネル (SC) の検証に次のエラーで失敗しました:
指定されたドメインがないか、またはアクセスできません。
ドメイン domain-a.local の Active Directory ドメインコントローラー \\DC名 からの、
ドメイン domain-b.local へのセキュリティで保護されたチャネル (SC) のリセットに次のエラーで失敗しました:
指定されたドメインがないか、またはアクセスできません。
【domain-bで検証した場合】
[次の理由により、信頼を検証できませんでした。]
ドメイン domain-b.local の Active Directory ドメイン コントローラー \\DC名 からの、
ドメイン domain-a.local へのセキュリティで保護されたチャネル (SC) の検証に次のエラーで失敗しました:
アクセスが拒否されました。
ドメイン domain-b.local の Active Directory ドメインコントローラー \\DC名 からの、
ドメイン domain-a.local へのセキュリティで保護されたチャネル (SC) のリセットに次のエラーで失敗しました:
アクセスが拒否されました。
同様のエラーにより信頼関係を削除することもできません。
<確認した情報>
以下の情報を確認しております。
ドメインにログオンできない~ セキュア チャネルの破損 ~
http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx
ドメインにログオンができずイベントID5722が記録される
http://itpro.nikkeibp.co.jp/article/COLUMN/20071207/289082/
これらを読み、セキュアチャネルの仕組みはある程度の理解をしたつもりなのですが、
対処方法としてはイベントID:3210が発生しているマシンをドメインに再参加させるというものでした。
しかし、今回イベントID:3210が発生しているのはドメイン内の全てのDCであり、
ドメインに再参加(DC降格→DC昇格がこれに当たる?)は該当しないかと考えております。
また、DC04、DC05でnltest /sc_verify:domain-a.localを実行した結果は以下の通りです。
フラグ: 80
信頼された DC 名
信頼された DC 接続状態 Status = 5 0x5 ERROR_ACCESS_DENIED
信頼の確認 Status = 5 0x5 ERROR_ACCESS_DENIED
コマンドは正常に完了しました
これらの結果からDCのコンピュータアカウントのリセットをする以下の情報に行き当たりました。
Netdom.exe を使用して Windows Server DCのコンピューター アカウントのパスワードをリセットする方法
http://support.microsoft.com/kb/325850/ja
前述の環境と似せたテスト環境を作り、実際に2008 R2のDCで上記の内容を確認したのですが、
テスト環境ではセキュアチャネルの破損を再現できていないため、Netdomコマンドの効果が不明です。
ここで質問です。
1.この状況に対してNetdomを使ってDCのコンピュータアカウントのリセットを行うことは有効でしょうか?
(DC03~05でエラーが出ているので、DC03~05でNetdomを実行する必要がある?他の対処法があるのでしょうか?)
2.MSのKB325850を参考に、以下の順序での対処を想定しているのですが、問題ないでしょうか?
2-1.DC03、DC04でKDCサービスを停止し、スタートアップの種類を「手動」に変更する。
2-2.DC05を再起動し、Kerberosチケットキャッシュを削除する。
2-3.コマンドプロンプトで「netdom resetpwd /s:server /ud:domain\User /pd:*」を実行する。
2-4.DC05を再起動する。
2-5.nltest /sc_verify:domain-a.localの実行結果に問題がなければDC03、DC04でも2-2~2-5の手順を繰り返す。
ご教示頂けますでしょうか?何卒よろしくお願い致します。
[0回]
ADの管理者アカウントにも奥が深いものがある。UAC(ユーザーアカウント制御)についても奥が深い。
(質問)
「Windows2008 AD環境」での管理者アカウントについて
お世話になっております。
「Windows2008 AD環境」での管理者アカウントについて質問があります。
[環境]
Windows2008 Standard sp1(ドメインコントローラ)
シングルフォレストシングルドメイン環境
[質問①]
Administratorとは別に管理者権限のあるアカウントを作成し、運用する予定でおります。
administratorとまったく同じ権限のアカウントを作成する方法をご教授いただけないでしょうか?
アカウントを作成し、AdministratorsグループおよびDomain Adminsのグループに所属させたのですが管理用ツール等使用する際など、ユーザーアカウント制御のポップアップが表示されたり、特定のフォルダ内で新規ファイルを作成できなかったりと何かしらの制限がありadministratorとは同じ権限のアカウントにならない状況です。
また、できればセキュリティを考慮してユーザーアカウント制御は有効のまま運用したく思っております。
[質問②]
Administrators・Domain Admins・Enterprise Adminsの権限の違いについてご教授いただけないでしょうか?
下記、サイトにて確認したのですがこれは可能、これは不可など権限の線引きがわかるサイト等が、もしあればご紹介頂けないでしょうか?
http://technet.microsoft.com/ja-jp/library/cc756898(WS.10).aspx
以上
宜しくお願い致します。
---------------------------
(回答1)
お世話になっております。
Windows Server 2003 AD環境の運用・保守担当者です。
Windows 2008 も、Bultin権限に関してそう変更はなかろう・・・というところから、以下記載します。
質問① Builtin\Administrator と同じ権限のIDを作成できるか
基本的に、ドメインコントローラでは以下のグループに所属していることで、Builtin\Administrator(規定)と同等の権限を有します。
但し、Builtin\Administrator は予約されたSID - 500 を有しているため、全く同じ "動き" をするものを作る・・というのは難しいです。
SID - 500 は、他サードパーティー製アプリケーションなどから、"特権ID"として識別されることもあります。
そのため、"特権IDで起動する" というような仕様のサードパーティー製アプリケーションの場合、Builtin\Administrator が選択/使用されるケースを体験したことがあります。
規定では、以下のグループに入っていることで、Builtin\Administrators と同等の権限をAD環境下で持つことになります。
・Administrators:
そのコンピューターに対して、管理権限を有します。オブジェクトの作成・変更・削除に加えて、所有権の奪取等
・Domain Admins:
Administratorsとの違いは、そのドメイン・メンバー(規定)にたいして、Administratorsと同等の権限を行使できることです。更に、これに加えてドメインレベルでのADの重要な変更に関する権限も有します。(一部FSMOロールの強制移行など)
・Enterprise Admins:
Domain Admins との違いは、そのフォレスト・メンバー(規定)に対して、Administratorsと同等の権限を行使できることです。 更に、これに加えてフォレストレベルでのADの重要な変更に関する権限も有します。(フォレスト機能レベルの変更など)
・Group Policy Creator Owners:
ドメインのGOPの変更権限を持ちます。ドメインのGOPを作成できるということは、メンバーに対してポリシーを強制することも可能なため、強力な特権として表現されます。
・Schema Admins:
ドメインのAD データベースを操作する権限を持ちます。
これは特殊な権限で、Administrators, Domain Admins では操作できないことが操作できます。
たとえば、FSMOの強制転送 - スキーマ・マスタの役割転送は、この権限がなければ、失敗します。(失敗しました・・・)
なお、ユーザーアカウント制御については Windows 2008 からの機能となるかと思います。
こちらについては、勉強不足で申し訳ありません。
ファイルが作成できないという問題については、作成しようとしたオブジェクトの種類や場所によっても異なりますが、
NTFSのアクセス制御下にある通常のファイルであれば Administrators グループメンバーは、たとえ権限が付与されていないオブジェクトに対しても
オブジェクトの所有権限を奪取することで、権限の再付与が可能です。
方や、ADのデータベース(スキーマ)や、GOPに関する操作についてでしたら、上記権限を参考ください。
質問② 特権の線引きについて
上記に記載した通りとなります。
基本的には、○○○○様の参考された
<http://technet.microsoft.com/ja-jp/library/cc756898(WS.10).aspx>が正規の資料となりますが、
ADに関連する操作(特に特殊な権限が必要な場合の操作)については、↓を参考されるとよいかもしれません。(既にご確認済みであれば申し訳ありません。)
http://technet.microsoft.com/ja-jp/library/cc758915%28WS.10%29.aspx
以上、何かのご参考になれば幸甚です。
----------------------------
(回答2)
××××です。
UAC について、ちょっと補足しますね。
ビルトインAdministratorでない「同じ権限のユーザ」でもUACのポップアップをはずしたい、というなら、AAM(管理者承認モード)機能を使ってみてはどうでしょうか?したのページで探してみてください。
http://technet.microsoft.com/ja-jp/library/cc772207(WS.10).aspx
[0回]
このような質問文をまともに読むひとはまずいない。サーバー担当のフォーラムオペレーターでも回答に困る。
(質問)
UACの状態表示が変わってしまう
<問題点>
ADのグループポリシーを用いてUAC設定をプッシュしているが、ログオンするアカウントによってUACのレベルが変わってしまっているように見える。
<UACの設定レベル>
便宜上以下のように呼びます。
レベル1.常に通知する
レベル2.プログラムがソフトウェアをインストールする場合、またはコンピュータに変更を加えようとする場合、ユーザーがWindows設定を変更する場合に通知する(デスクトップを暗転しない)
レベル3.プログラムがコンピュータに変更を加えようとする場合のみ通知する(デスクトップを暗転しない)
レベル4.通知しない
<AD環境>
ドメインの機能レベル:Windows Server 2003
ドメインコントローラ:Windows Server 2008 R2/Windows Server 2003 R2/Windows Server 2003/混在 FSMOはWin2008R2
<AD参加PCでの動作>
a.アプリケーションインストールの為に一時的にUACをオフにする。
管理者アカウントでログオンし、下記コマンドを記載したBATファイルを管理者として実行させてオフにしている。
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /f /v EnableLUA /t reg_dword /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /f /v "ConsentPromptBehaviorAdmin" /t reg_dword /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /f /v "PromptOnSecureDesktop" /t reg_dword /d 0
参考 http://www.vector.co.jp/soft/winnt/util/se433836.html
b.グループポリシーでUACはレベル2になるように設定しているので、"a"の作業後に特にオンにはしていない。
c.管理者アカウントでログオン中にグループポリシーを再適用(gpupdate /forceコマンド)するとコントロールパネルのGUIから確認したUACはレベル2になる。
d.標準アカウントでログオン中にグループポリシーを再適用(gpupdate /forceコマンド)するとコントロールパネルのGUIから確認したUACはレベル1になる。
元のUACレベルがレベル2でもレベル4でも結果は同じ
但し、レジストリ値に変化は無い。表示上の問題?
<グループポリシーでの設定箇所と内容>
[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティ オプション]
対応レジストリキー
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System
ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする
未定義
キー名不明
ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする
未定義
EnableInstallerDetection 1
ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モードを使用する
未定義
FilterAdministratorToken 0
ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ
未定義
EnableSecureUIAPaths 1
ユーザー アカウント制御: 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する
未定義
EnableVirtualization 1
ユーザー アカウント制御: 管理者承認モードを有効にする
有効
EnableLUA 1
ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作
Windows 以外のバイナリに対する同意を要求する
ConsentPromptBehaviorAdmin 5
※レベル1はレジストリキーの値が"2"、レベル2はレジストリキーの値が"5"
ユーザー アカウント制御: 署名および検証された実行ファイルのみを昇格する
未定義
ValidateAdminCodeSignatures 0
ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える
有効
PromptOnSecureDesktop 1
ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作
未定義
ConsentPromptBehaviorUser
<参考URL>
Windows7のUACに関するレジストリの説明
http://www.yoshibaworks.com/ayacy/inasoft/talk/h200905a.html
ポリシーに関する説明
http://pasofaq.jp/windows/admintools/policyuaclist7.htm
-----------------------------------
(TechNetページ)
http://technet.microsoft.com/ja-jp/library/dd851527.aspx
(msdn参考資料)
http://msdn.microsoft.com/ja-jp/windows/dd883236.aspx
[0回]
ワークグループからドメイン参加への移行作業の簡略化はスクリプトの世界を知らないとかなり難しい。ユーザプロファイルの移行に「魔法の方法」は無い。ましてや、Windows 2000はサポートが切れているのでドメイン参加を許可しない会社が多い。
(質問1)
Windows 2000 Professionalクライアントのドメイン参加
××××と申します。
Windows 2000 Professionalクライアントをワークグループからドメイン参加に移行を予定しているのですが、XPの「ファイルと設定の転送ウィザード」と類似の移行ツールはないのでしょうか?
ネットで情報を探した限り見つけることが出来ませんでした。
一つずつ個別に手動で移行するしかないのでしょうか?
(回答1)
netdomコマンドでjoinオプションを使ってみてはいかがでしょうか?
参考URL)
http://itpro.nikkeibp.co.jp/article/COLUMN/20080125/292046/
http://itpro.nikkeibp.co.jp/article/COLUMN/20071219/289858/
例)
netdom join %computername% /domain:test.local /OU:OU="OU名",DC=test,DC=local /userd:accadmin /passwordd:123456
管理者がスクリプトを組む必要がありますが、ユーザーのPC前で作業するよりはかなり簡略化されると思います。作ったものをどのように適用するか、平文で記述されているパスワードの扱いをどのようにするかがポイントになるかと思います。
あと、ご存じかと思いますが2000は、先日マイクロソフトのサポートが完全に切れましたのでご注意ください。
(質問2)
ワークグループからドメイン(Active Directory)への移行について作業の簡略化はありませんか
ワークグループからドメイン(Active Directory)への移行について作業を簡略出来ないかと思い色々と探しているのですが、
見当たらないようですので、もしご存じでしたらご教示頂けないでしょうか。
ワークグループからドメイン(Active Directory)への移行を伴い行っている作業は下記の手順です。
1.ローカルにメンテナンス用のアカウントを作る。
2.ローカルマシンのネットワーク関係の各種設定をドメインに参加するため変更する。(ドメインに参加する)
3.再起動し、ドメイン(Active Directory)のユーザーでログインし、ユーザープロファイルを作成する。
4.ドメイン(Active Directory)のユーザーをぬけローカルマシンのメンテナンス用のアカウントでログインしローカルのワークグループで使用していた、データをドメイン(Active Directory)のユーザーコピーする。
5. ドメイン(Active Directory)のユーザーでネットワークログインする。
6.アクセス権などを確認し問題があれば適切な対応をする。
という事を1台ずつ行っているのですが、
これらを行った結果発生した問題としてユーザー 別の質問で確認取らせて頂いていますが、アクセス権の設定のミス・ファイルがコピーではないことにより、最終的に動作がおかしい・ディスクのコピー容量が足りないい・権限が正しく設定されずに管理者の雨カウントが必要だと言われる・事が発生しておりこれら諸問題が発生すると言うことを無くしたいため何か良い方法はない物でしょうか。
(回答2)
○○○○です。ユーザプロファイルの移行に「魔法の方法」は、ありません。 プロファイルのコピーをしないで移行したいなら、moveuserコマンドを使ってみてください
[0回]
苦労したADの構成図を作成した時間は給料の一部となったと思われる。
(質問)
「リムーバブル記憶装置の使用制限」ポリシー適用について
■構成
Domain Server:
・Windows Server 2003 R2 Standard Edtion SP2
Member Server:
・Windows Server 2003 R2 Enterprise Edtion SP2
Client:
・Windows XP Professional SP2
■経緯と現状
現在,「情報漏えい対策ガイド(Windows編)*1」の内の,「リムーバブル記憶装置の使用制限」の構築を検討しています。
*1 http://www.microsoft.com/japan/windowsserver2003/activedirectory/kinko/
default.mspx
当ドキュメントにて提供されている次のファイルを使用して,新たに作成したOUにGPOを適用したいとえています。
・BlockRmStor.adm
・BlockRmStor.wsf
この新たに作成するOUには,ドメイン配下のクライアントを所属させ,このOUの「コンピュータの構成」にグループポリシーを適用する予定です。
1.クライアント用OUのポリシー
+-コンピュータの構成
+-Windows の構成
| +-スクリプト(スタートアップ/シャットダウン)
+-管理用テンプレート
+-リムーバブル記憶装置の使用制限
現在,当該環境では,以下のポリシーを設定しています。
1.ドメインのポリシー
+-コンピュータの構成
| +-Windowsの設定
| | +-セキュリティの設定
| | +-アカウント ポリシー
| | | +-パスワード ポリシー
| | | +-アカウント ロックアウト ポリシー
| | | +-Kerverosポリシー
| | +-ローカルポリシー
| | +-監査ポリシー
| | +-ユーザー権利の割り当て
| | +-セキュリティ オプション
| | +-イベント ログ
| | +-イベント ログの設定
| +-管理用テンプレート
| +-Windows コンポーネント
| +-Windows Update
+-ユーザーの構成
+-管理用テンプレート
+-Windows コンポーネント
| +-Windows Update
+-タスク バーと [スタート] メニュー
2.ドメインコントローラ用OUのポリシー
+-コンピュータの構成
+-Windowsの設定
+-セキュリティの設定
+-アカウント ポリシー
| +-パスワード ポリシー
| +-アカウント ロックアウト ポリシー
+-ローカルポリシー
| +-監査ポリシー
+-ローカルポリシー
| +-ユーザー権利の割り当て
| +-セキュリティ オプション
+-イベント ログ
+-イベント ログの設定
3.メンバーサーバ用OUのポリシー
+-コンピュータの構成
+-Windowsの設定
+-セキュリティの設定
+-ローカルポリシー
| +-監査ポリシー
+-イベント ログ
+-イベント ログの設定
4.各種ユーザー グループ用OUのポリシー
+-ユーザーの構成
+-Windowsの設定
| +-Internet Explorer のメンテナンス
+-管理用テンプレート
+-Windows コンポーネント
| +-エクスプローラ
| +-Microsoft 管理コンソール
| +-タスク スケジューラ
| +-Internet Explorer
+-タスク バーと [スタート] メニュー
+-デスクトップ
+-コントロール パネル
+-ネットワーク
+-システム
■質問
質問①
このような構成で,前述のグループ ポリシーを適用することで,
これらの既存グループ ポリシーに影響を与えることはあるのでしょうか。
質問②
また,このグループ ポリシーを適用することで問題が発生した事例は,ありますでしょうか。
ご教授の程,よろしくお願いいたします。
---------------------------
(回答)
① 新たに作成したOUにポリシーを適用するのであれば既存ポリシーに影響はありません。
② 検証したことがありますが、"問題"は発生しませんでした。
[0回]
以下の2つの質問のイベントIDの内容は奇遇にもほぼ同じである
(質問1)
Windows Server 2003 R2、AD冗長化構成時に発生したエラー(ID : 1586)について
お世話になります。
既存のAD、Windows Server 2003が存在するネットワークに、新たにWindows Server 2003 R2を導入しADを冗長化しました。
導入した直後は何事も無かったのですが、しばらくするとイベントログに以下の警告が発生してしまいました。
-------------------------------
イベントの種類: 警告
イベント ソース: NTDS Replication
イベント カテゴリ: レプリケーション
イベント ID: 1586
ユーザー: NT AUTHORITY\\\\ANONYMOUS LOGON
説明:
PDC エミュレータ マスタとの、Windows NT 4.0 またはそれ以前のレプリケーションチェックポイントに失敗しました。
PDC エミュレータ マスタ役割がローカル ドメインコントローラに次に成功したチェックポイントの前に転送される場合は、Windows NT 4.0 およびそれ以前の OS を実行しているドメイン コントローラにセキュリティ アカウント マネージャ (SAM) データベースの完全同期が実行される可能性があります。
4 時間後にチェックポイント処理を再試行します。
-------------------------------
このエラーはどのような時に発生するのでしょうか。
また、このエラーが発生したことにより起こるトラブルなどはあるのでしょうか。
よろしくお願いします。
--------------------------------
(質問2)
ActiveDirectoryサーバーでRPCエンドポイントマッパーエラーが発生する。
初めて書き込みします。
以下の様にサーバー2台構成でActiveDirectory運用しております。
---------------------------------------------
Server_A:
Windows Server2003SP1 ActiveDirectory
FSMO
DNSサーバー AD統合
Server_B:
Windows Server2003SP1 ActiveDirectory
FSMOなし
DNSサーバー AD統合
----------------------------------------------
最近、Server_Aの構成でH/W障害が発生したため約1日程Server_Bのみで
運用し、Server_Aの障害復旧後にServer_Aを起動しました。
Server_AはFSMOだったのですが、ディスク障害ではなかったため短時間で
復旧できると思い、Server_BにFSMO移行せず運用しました。
この状態でServer_Bのレプリケーションイベントで次の様なエラーが
発生しました。
-------------------------------------------------------------
イベントの種類: 警告
イベント ソース: NTDS Replication
イベント カテゴリ: レプリケーション
イベント ID: 1586
ユーザー: NT AUTHORITY\\\\ANONYMOUS LOGON
説明:
PDC エミュレータ マスタとの、Windows NT 4.0 またはそれ以前のレプリケーションチェックポイントに失敗しました。
PDC エミュレータ マスタ役割がローカル ドメイン コントローラに次に成功したチェックポイントの前に転送される場合は、Windows NT 4.0 およびそれ以前の OS を実行しているドメインコントローラにセキュリティ アカウント マネージャ (SAM) データベースの完全同期が実行される可能性があります。
4 時間後にチェックポイント処理を再試行します。
追加のデータ
エラー値:
1753 エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません。
-------------------------------------------------------------
「1753エンドポイント 」について調べましたら、RPCで使用されるTCPポートがないとの事、NETSTATコマンドで確認した所、ポート5000までのポート(全てではありませんが)がServer_A ポート1025に対してTIME_WAITの状態で使用されていました。
数時間ほど定期的にNETSTATでポート状態を確認していたのですが、ポートが解放されることはありせんでした。
そこで質問なのですが
1) FSMOをもつActiveDirectoryサーバーが長時間ダウンする場合、Server_BにFSMOを移行する必要はありますか?(FSMO移行する目安の時間がある?)
2) 1753:エンドポイント ~のエラーが発生した場合、一般的にどのような対処が必要になりますか?
(http://support.microsoft.com/kb/839880/jaを参照し、ポート番号の拡張方法があることは確認しました。)
3) NETSTAT で表示されるポートがTIME_WAITのまま状態が変わらない現象を解消することはできますか?
現時点では各サーバーの再起動くらいしか解決策が考え付かない状態です。
不足している情報等あるかとは思いますが、何か解決の手がかりになる情報がありましたらアドバイスお願いいたします。
--------------------------------------
(回答)
○○○○です。
FSMO のダウンタイムが許される(?)目安、といった一般的な値はありません。FSMO にはいくつかの機能があり、「この機能を使わないとシステムが立ちいかない」ときにないと困る、ということで、このタイミングはシステムによって違うからです。
ですが、特別なシチュエーションを除いては、1 日程度 FSMO がダウンしていても普通は問題はありません。
イベント ID: 1586 エラーは Windows NT 4.0 BDC が複製を行なうときに必要な情報が得られなかった、ということを指しているので、BDC が存在しない限り、エラーそのものは無視して問題ありません。
で、RPC エンドポイントの問題、という点では、基本的には KB839880 の資料を参考にして対応することになりますが、ケースバイケースなので、一般論といったものはないでしょう。
このケースでは、RPC クライアント側でポートがいっぱいになってしまっている、という風にみえるので、RPC というより TCP/IP レベルでエフェメラルポートの上限値を増やすといった方法があるかもしれません。
http://support.microsoft.com/kb/196271
TIME_WAIT 設定の調整を行なうには TCP/IP のレジストリ値 TcpTimedWaitDelay を調整します。デフォルトでは 120 秒たつとポートが開放される実装です。
ですが、どちらもネットワーク負荷が高い環境などでのチューニングテクニックに属する内容で、このケースのような場面で調整が必要な内容ではありません。とりあえず、両ドメインコントローラを再起動して様子を見て、(他の内容も含めて) エラーが現れないか確認したほうがよいかもしれません。
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=39048&forum=6
[0回]
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=39048&forum=6
[0回]
質問の用語が難しい専門用語なので、回答も難しい専門用語となる。
(質問)
Cross-Forest 認証の名前解決について
はじめまして、表題の件についてご教授願います。
WS2003 R2 二台でCross-Forestの構成をとり JAASを用いて認証モジュールを作成しようとしています。
ADtechover(ActiveDirectory技術情報)を見たところ、以下のような記述がありました。
「名前一致機能はセキュリティプリンシパル名をすべての信頼されたフォレストの信頼された名前空間と比較します。
一致するものが見つかった場合、ルーティングヒントとして信頼されたフォレスト名が返されます。」
マルチドメイン環境で親ドメインを指定し子ドメインの情報の問い合わせを行うと「referral」といったものが
返ってくるのは確認しており、似た様のものが返ってくると推察しプロトコルモニタ等で確認を行いましたが
確認できませんでした。
具体的に「ルーティングヒントとして信頼されたフォレスト名」とはどのようなものなのでしょうか?
また、どうやったら確認できるのでしょうか?
現状のCross-Forestの構成です
1.二台のWS2003 R2 で相互に信頼関係を結ぶ。
2.ドメインの機能レベルを二台ともWindows Server 2003に上げる
3.セカンダリのDNSサーバにお互いのIPを指定する。
設定等不足が原因ではないかとは思いますがよろしくいお願いします。
-----------------------------
(回答)
○○○○です。
まず、(推移的信頼関係を含む)ドメイン間の信頼関係と、フォレスト間信頼の動作の違いについては、MSの資料がありますので、これを見てみてください。
ルーティングヒントが何か、という答えについては、異なるフォレストのリソースにアクセスする にこういう記述がありますね。
----
フォレストの信頼が最初に確立されるとき、各フォレストはそのパートナーフォレストで信頼されているすべての名前空間を収集し、TDO に情報を格納します。信頼された名前空間には、ドメインツリー名、ユーザー プリンシパル名 (UPN) サフィックス、サービス プリンシパル名 (SPN) サフィックス、および他のフォレストで使用されるセキュリティ ID (SID) 名前空間が含まれます。TDO オブジェクトは、グローバル カタログにレプリケートされます。
< 中略 >
ルーティング ヒントは、そのフォレストの信頼の TDO に一覧表示された信頼される側の名前サフィックスを参照できるだけです。
----
TDO(信頼されるドメインオブジェクト)は、信頼関係が構築された際に作られるオブジェクトで、信頼先に関する情報が含まれます。
ルーティングヒントを受け取ったときに「ネットワークモニタでどう見えるのか」については、うえの資料を参考に、実際に試してもらうのが早いと思います。
あと、「フォレスト間信頼」の設定方法ですが、チェックリスト : フォレストの信頼を作成する を参考に作業をしてみてください。ドメイン機能レベルやDNSを適切に設定する前に信頼関係を結んだ場合、単なる外部信頼関係に設定されるでしょう(自動的には変更されません)。またウィザードでは明示的に「フォレストの信頼」を選択する必要があります。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア