[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
試験問題のようであるが、誰も回答しないだろう。
(質問)
フォレスト信頼作成後のログオンについて
恐れ入ります。フォレスト信頼について質問です。
-- 状況 --
当方Hyper-V上にて仮想コンピュータを5台作成し、仮想ネットワークを使い2つのセグメントを持つネットワークを構築しました。
ネットワークは、RASというRRASの機能をインストールしたWindows Server 2008で2つのネットワークを切り、左を192.168.0.0/24でドメインをdom1.localというドメイン、右を192.168.10.0/24でドメインをdom2.localというネットワークになっています。
dom1.localにはWindows Server 2008 Enterpriseで動くDC1と、Windows Vista Enterpriseの動くPC1
dom2.localにはWindows Server 2008 Enterpriseで動くDC2と、Windows Vista Enterpriseの動くPC2
DC1は、dom1のAD統合ゾーンとdom2.localのセカンダリゾーンを持ち、DC2はdom2のAD統合ゾーンとdom1.localのセカンダリゾーンを持っています。
dom1にはユーザーdom1\user1, dom2にはユーザーdom2\user2があります。
------------------------------(RAS)-----------------------------
| | (192.168.0.0/24) | | (192.168.10.0/24)
PC1 DC1(dom1.local) DC2(dom2.local) PC2
これらのドメインでフォレスト信頼→双方向の信頼を作成しました。
-- 質問 --
PC1上でdom2\user2でログオンを試すとエラーメッセージ
"指定されたドメインの名前またはセキュリティーID(SID)はそのドメインの信頼情報と矛盾します。"
と出てしまいます。
フォレスト信頼を作成したとき、別のドメインのコンピュータから、自分のいるドメインのユーザーアカウントでログオンしたいのですが、どうすれば良いでしょうか?
(私の勘違いで、ログオンするコンピュータも同じドメインから出ないと、そもそもログオン出来ないものでしたか? 尚、相手側のファイル共有や、AD上のユーザー、コンピュータ検索は問題なくできています。)
[0回]
実は、Windows Server 2003 ADからスキーマを拡張してWindows Server 2008 ADにアップグレードするとこのようなトラブルが多い。
(質問)
2003からのアップグレードしたドメインでDNSが参照できなくなる
WindowsServer2003のActiveDirectoryからWindowsServer2008のActiveDirectoryへ
アップグレードし、2台以上のドメインコントローラが構築された状態。(アップグレード後の機能レベルはフォレスト/ドメイン共に2003)
上記環境において、すべてのサーバをシャットダウン状態にし、1台のDCを起動するとDNS レコードが表示されなくなる。
ADとして機能しなくなる。
DNS のサービスは動作している。
具体的には、MMC で DNS を参照するとサーバー名に赤 ×が付く。
ログインはできる。
【試した回避策等】
・DC の DNS 参照設定に、セカンダリとして外部の DNS を指定すると回避できた。
・DNS サービスを再起動で、たまに回復する。
・NIC の有効/無効切り替えを行うと確実に回復する。
・他のDCのDNSとたすき掛けに参照をしても回避できない。
・どのDCを先に起動しても同様の現象は発生する。
・新規構築した2008の環境では発生しない。
・復旧後3,4日すると同じ現象が起こる。
また、以下のイベントログが記録されている。
イベント ID : 4013
ソース : Microsoft Windows DNS Service
アップグレードの大まかな手順は以下の通り
・2008サーバをドメイン参加
・Prepの実行
adprep /forestprep
adprep /domainprep
adprep /rodcprep
・DCPROMO実行
・DNS サーバー複製(AD統合)
・グローバル カタログ複製
・FSMO移行
・2003降格
・2008DC追加
以上の条件で何か情報をお持ちの方がいれば教えてください。
何度か検証していますが確実に再現します。
(回答略)
[0回]
難しい検証をする質問に答えてくれるのはやはりこの人。あまり難しい検証をしようとすると心身ともに疲れる。
(質問1)
Windows Server 2008でのサイト間レプリケーションについて
現在2台のサーバ(共にWindows Server 2008)でサイト間レプリケーションの構築を考えており、以下の手順で構築しました。
①サーバAにドメインコントローラをインストール。
・新しいフォレストに新しいドメインを作成
・ドメイン機能レベル、フォレスト機能レベルは共にWindows Server 2008
②サーバBにドメインコントローラをインストール。
・「既存のドメインにドメインコントローラを追加する」で、サーバAのドメインを利用
③「Active Directory サイトとサービス」で、各サーバ用のサイト・サブネット・両サイトを結ぶサイトリンクを設定し、それぞれのサイトに対応したサーバを移動させる。
以上の設定を完了させ、ルータを挟んで別々のサブネット環境にサーバを用意しました。
しかし、レプリケーション自体はうまくいっていますが、スケジュールの面で問題が発生しました。
現在検証のため、サイトリンクのレプリケートの間隔を15分に設定しています。ただし、サイトリンク及び、両サーバのNTDS Settingsのスケジュールにおいて、全ての時間帯でレプリケートしない設定にしていますが、それにもかかわらず、15分おきにレプリケートされてしまい、こちらが設定したスケジュールが無視されてしまいます。
このままでは本番では導入不可能な状態です。なぜレプリケートのスケジュールが反映されていないのでしょうか?
=================================
(回答1)
○○○○です。
> ただし、サイトリンク及び、両サーバのNTDS Settingsのスケジュールにおいて、全ての時間帯でレプリケートしない設定にしていますが、
この設定がよろしくないのではないでしょうか?UI 上ですべてを禁止したつもりが、内部実装ではそう認識されず、逆に制御されていないものとして、もっとも短いタイミングで複製が走っているように見えますね。
ドメインコントローラのデザインのひとつとして "管理者都合で全く複製を中断する" ということは基本的に想定されていないようにみえます。すでに修正されました(UIからでもできないようになった)が、以前、複製間隔時間を思い切り長く設定したとき、UI上ではその数字になっているに、実際には複製が走ってしまい、「あぁ、一定間隔以上、複製タイミングは延ばせないんだな」と合点したものです。
それと同じ制限事項な気がします。これを簡単に切り分ける方法は、UI上で「遠いタイミングのどこか1箇所だけ」複製を許可する時間帯を設定して、複製が行われなくなったら、そういうことなのでしょう。
ちなみに、本当に複製を一時的に全部中断したいなら、各ドメインコントローラ上で repadmin /options +DISABLE_OUTBOUND_REPL コマンドを使うことで実現できるでしょう。
====================================
(質問2)
○○○○さん
返信、ありがとうございます。
>それと同じ制限事項な気がします。これを簡単に切り分ける方法は、UI上で「遠いタイミングのどこか1箇所だけ」複製を許可する時間帯を設定して、複製が行われなくなったら、そういうことなのでしょう。
早速、日曜日のみレプリケートが可能なようにスケジュールを調整してみましたが、残念ながら複製が行われてしまいました。
実際には平日の夜中や土日などにレプリケートが行われるようにするためにスケジュールを組みたいのですが、レプリケートの間隔を調査してみると最大で1週間間隔が可能だとか……
この方法でも構わないかと思ったのですが、
>以前、複製間隔時間を思い切り長く設定したとき、UI上ではその数字になっているに、実際には複製が走ってしまい、「あぁ、一定間隔以上、複製タイミングは延ばせないんだな」と合点したものです。
……どうもこの方法でもまともに動きそうにありませんね。
根本的な問題として、なぜスケジュールが無視されるのかが非常に気になります。
====================================
(回答2)
○○○○です。
> 根本的な問題として、なぜスケジュールが無視されるのかが非常に気になります。
たとえば「スケジュールが無視される状況」というのが、Windows とかのバグ、というなら、ちまたで大問題となっているはずなので、現状でこの可能性は少ないでしょう。
そうなると、あとは別の可能性を探す、ということになるのではないでしょうか?
・設定が想定されてないものだった
[サイトとサービス]にあるIPコンテナのプロパティ"スケジュールを無視する"がONになっている、など
・(設定変更後の)Active Directory 複製がうまくいってない
「どこか一箇所だけ可」のスケジュール設定が全部のドメインコントローラに伝達されてない、など
・矛盾する設定等がある
問題をわかりやすくするため、サイトリンクベースでスケジュールを設定し、他はデフォルトにしておく、とよいかも知れません。
[0回]
この質問文をまともに読んで回答しようとする人はいるだろうか。早く結論がでてよかったと思う。
(質問文)
アクセス拒否されるフォルダーを削除する方法について
Windows Server2003 R2 SP2 Active Directoryのメンバーサーバーです。
ローカルのHDDにて、特定(一つの)フォルダーにてアクセスが拒否されてしまい削除する事もできません。
以下に状況と、試した事を記します。(長文になります)
NGフォルダー N:\AAA\BBB
エクスプローラーで試した事
1)フォルダーを開けない
"N:\AAA\BBBにアクセスできません。アクセスが拒否されました"
2)フォルダーのプロパティにて、セキュリティタブが表示されない
※他のフォルダーでは正常に表示される
3)フォルダーを削除できない
"BBBを削除できません。アクセスできません"
4)フォルダーを移動できない
"ファイルを移動できません。送り側のファイル又はディスクから読み取れません。"
5)同名のフォルダーで上書きできない
"BBBを作成または置換できません。アクセスできません"
6)フォルダーAAAのプロパティ-セキュリティより、
"サブコンテナとオブジェクトの所有者を置きかえる" を実施
→"セキュリティ情報を適用中にエラーが発生しました。"
"N:\AAA\BBB アクセスが拒否されました。"
7)フォルダーAAAのプロパティ-セキュリティより、
"子オブジェクト全てのアクセス許可エントリを、ここに表示されているエントリで
子オブジェクトに適用する物で置換する"
→"セキュリティ情報を適用中にエラーが発生しました。"
"N:\AAA\BBB アクセスが拒否されました。"
コマンドプロンプトで試した事
1)N:\AAA>cacls BBB /C /G Administrators:F
よろしいですか (Y/N)?y
ACCESS_DENIED: N:\AAA\BBB
2)N:AAA>cscript xcacls.vbs BBB /O Administrators
Starting XCACLS.VBS (Version: 5.2) Script at 2009/11/10 14:26:01
Startup directory:
"N:\AAA"
Arguments Used:
Filename = "BBB"
/O (Change Ownership)
Administrators
- Changing /O user/group: "Administrators" to "BUILTIN\Administrators"
Error: File/Directory "N:\AAA\BBB" not found.
Operation Complete
Elapsed Time: 1.78125 seconds.
Ending Script at 2009/11/10 14:26:03
3)N:AAA>subinacl /subdirectories BBB /setowner=Administrators
N:\AAA\BBB - CreateFile Error : 5 アクセスが拒否されました
Elapsed Time: 00 00:00:01
Done: 1, Modified 0, Failed 1, Syntax errors 0
Last Done : N:\AAA\BBB
Last Failed: N:\AAA\BBB - CreateFile Error : 5
フォルダーを削除したいのですが、何か方法はありますでしょうか。
サーバーの再起動はできればしたくありません。(フォーマット含む)
なにか、ヒント・アドバイスをいただけると助かります
宜しくお願いいたします。
――――――――――――――――――――――――――――――――――――
(結論)
自己レスになります。
解決しました。というか、フォルダーが消えてしまいました。
上記の作業の後、Windowsからログオフし再度ログオンをするとNGフォルダーが消えていました。
状況として、
現在まで数ヶ月?程度ログオンをした状態でスクリーンロックをかけて運用していました。
昨夜に障害が発生。今朝から調査を開始しました。
今のところ原因が特定できないので気持ちが悪いですが、様子を見る事にします。
お騒がせいたしました。
[0回]
実はしたのような質問が一番難しく回答に困る。
2009年8月28日 8:49 XXXX
Process(プロセス名)\Virtual Bytes
Process(_Total)\Virtual Bytes
しかし、上記「Process(_Total)\Virtual Bytes」と「タスクマネージャでのコミットチャージの合計値(PF使用量)」が一致しません。
そもそも「Process(_Total)\Virtual Bytes」とタスクマネージャでのコミットチャージの合計値に関連性はないのでしょうか?
どちらの値を見れば現在使用している仮想メモリ領域を確認ができるのでしょうか。
「Process(_Total)\Virtual Bytes」の値がはるかに大きな値となっておりますが、「タスクマネージャコミットチャージの合計値」として算出する値から余分なものが含まれているのでしょうか。
[環境]
Windows XP SP2
RAM:1.95G
仮想メモリ領域: 初期値2046MB 最大サイズ4092MB
ある時点での値
Process(_Total)\Virtual Bytes:5,908,420KB
タスクマネージャコミットチャージの合計値:1,346,996KB
知識不足で申し訳ございませんが宜しく願いします。
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/da8f76b7-906f-4192-8ce4-72764f90f1b7
[0回]
長文のエラーログを読みとるだけで頭が痛くなるが(結論)はあっけなかった。
(質問)
グループ ポリシーの処理に失敗しました。ドメイン コントローラ名を取得できませんでした。などと出てしまう。
xxxxです。
windows server 2008でDNSは動いているのですが、Active Directory のドメインが落ちてしまいます。
DNSのツールは開きました。Active Directoryとグループポリシーの管理のツールはエラーで開きません。
起動後は問題なのですが、何日かすると下記のようなエラーが出てしまいます。
構成はwindows server 2008が2台で、片方(Aサーバー)はドメインのみ、もう片方(Bサーバー)はファイルサーバーとドメインです。エラーが出るのはBサーバーのほうです。
下記のようなエラーが出ます。
-----
ログの名前: System
ソース: Microsoft-Windows-GroupPolicy
日付: 2009/06/02 10:33:33
イベント ID: 1054
タスクのカテゴリ: なし
レベル: エラー
キーワード:
ユーザー: SYSTEM
説明:
グループ ポリシーの処理に失敗しました。ドメイン コントローラ名を取得できませんでした。名前解決の失敗が原因と考えられます。ドメイン ネーム システムが構成され正しく動作しているか確認してください。
----
ログの名前: System
ソース: BROWSER
日付: 2009/06/02 10:37:49
イベント ID: 8021
タスクのカテゴリ: なし
レベル: 警告
キーワード: クラシック
ユーザー: N/A
説明:
ブラウザ サービスは、ブラウザ マスタ \\Aサーバー (ネットワーク \Device\NetBT_Tcpip_{xxx-xxx-xxx-xxx-xxx}) からサーバー一覧を取得できませんでした。
ブラウザ マスタ: \\Aサーバー
ネットワーク: \Device\NetBT_Tcpip_{xxx-xxx-xxx-xxx-xxx}
このイベントはネットワーク接続の一時的な損失により起こった可能性があります。このメッセージが再び表示される場合は、サーバーがネットワークにまだ接続されていることを確認してください。リターンコードはデータ テキスト ボックスにあります
---
ログの名前: System
ソース: NETLOGON
日付: 2009/06/02 10:42:13
イベント ID: 5719
タスクのカテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
説明:
次の理由のため、このコンピュータはドメイン のドメイン コントローラの セキュリティで保護されたセッションをセットアップできませんでした:
RPC サーバーを利用できません。
これにより、認証の問題が発生する可能性があります。このコン ピュータがネットワークに接続されていることを確認してください。 問題が解決されない場合は、ドメイン管理者に問い合わせてください。
追加情報
このコンピュータが指定されたドメインのドメイン コントローラの場合は、 指定されたドメインのプライマリ ドメイン コントローラ エミュレータに対して安全なセッションをセットアップします。そうでない場合は、このコンピュータは、 指定されたドメインのすべてのドメイン コントローラに対して安全なセッション をセットアップします。
---
ログの名前: System
ソース: Microsoft-Windows-GroupPolicy
日付: 2009/06/02 10:43:39
イベント ID: 1030
タスクのカテゴリ: なし
レベル: エラー
キーワード:
ユーザー: SYSTEM
説明:
グループ ポリシーの処理に失敗しました。このユーザーまたはコンピュータの新しいグループ ポリシー設定を取得しようとしました。エラー コードと説明については、[詳細] タブを参照してください。次の更新サイクルで自動的にこの操作が再試行されます。ドメインに参加しているコンピュータの新しいグループポリシー オブジェクトと設定の検出には、適切な名前解決とドメイン コントローラへのネットワーク接続が必要です。グループ ポリシーが正常に処理されると、イベントが記録されます
---
ログの名前: System
ソース: BROWSER
日付: 2009/06/02 10:52:20
イベント ID: 8032
タスクのカテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピュータ: MFSV01.SHOTOKU.local
説明:
ブラウザ サービスがトランスポート \Device\NetBT_Tcpip_{xxx-xxx-xxx-xxx-xxx} でバックアップ一覧の取得に失敗した回数が多すぎます。 バックアップブラウザを停止しています。
---
が出てしまいます。申し訳ないですが、わかる方がいたらお願いします。
--------------------------
(MSFT回答)
xxxx- さん、こんにちは。フォーラムオペレーターのyyyyです(^O^)/
ご投稿いただいた現象ですが、起動して何日かすると発生する現象ということで、原因特定が難しそうですね・・・
何か参考になる情報がないかなと探したところ、USのForumに、似ているかも?という現象の投稿を見つけたので、参考までに紹介させていただきますね。
(ただ、明確な回避方法はなさそうな感じのスレッドです・・・)
Domain Controller Issue - SOS!
http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/5f61fc42-6fdb-4099-8da6-cb5f1f309268
Windows 2008 dropping off the network
http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/84810ea6-fa4d-4acc-bda8-7c55af841a73
投稿された範囲の情報ですが、「Domain Controller Issue - SOS!」のほうは、イベントID:5719、「Windows 2008 dropping off the network」のほうは、イベントID:1030、1054が出力されていて、どちらも、起動してしばらくしてから、複数あるDCのどちらかでエラーが出てきたり(それも名前解決できない感じのエラー)、ADのコンソールが起動しなかったりという現象のようで、xxxx- さんの現象とちょっと似ていて気になるかなと思いました。
英語なので、細かいニュアンスを理解しきれないところがあるのですが、「Domain Controller Issue - SOS!」のほうは、スレッドの最後の方でネットワークカードのドライバを更新してどうか?という投稿がありまして、ただ、それで解決したかは書いてなくて不明です。。。
「Windows 2008 dropping off the network」のほうは、最終的にはサポートで解決できたようですが、やはり具体的な回避策は書いてありませんでした。。。
いまひとつ参考にならない情報しか見つけられなくて・・・お力になれずごめんなさい。
ただスレッドの途中に、情報のリンクなどがありますので、そちらが何か参考になるかもしれません。よろしければ一読してみてください。
どちらの質問者さんも、詳細なログを取得してサポートに問い合わせをして解決に至っているようですし、現象からいっても、正直Forumのような場ではなかなか解決が難しいかな・・・という印象もあります。可能であれば、サポートへの問い合わせも検討してみてください。ご参考となれば幸いです!
--------------------------
(MVP回答)
ZZZZです。
NETLOGON イベント ID 5719 が記録される場合、ドメインコントローラの "セキュリティチャネル(セキュアチャネル)" の構築が失敗しているケースが多いです。
セキュリティチャネルは、コンピュータ起動時にドメインコントローラとの間で作られる暗号化セッションで、コンピュータアカウントで認証を行って作成されます。コンピュータアカウントのパスワードに問題があると、この暗号化セッションが作成できず、RPC エラーなどが記録されます。これはドメインコントローラ間であっても同様です。
したの資料などを見て、ドメインコントローラのコンピュータアカウントパスワードのリセット、などを検討してはどうでしょうか。しかし、状況がはっきりわからない、確実に修正したい、ということであれば MSFT xxxxさんのコメントどおり、MS の有償サポートに依頼した方がいいかもしれませんね。
http://support.microsoft.com/kb/325850/ja
--------------------------
(結論)
ネットワークカードのドライバーを更新して、SP2を入れて、IPをしたいしなおしたら、落ち着いたみたいです。
[0回]
答えてねっと for Business最多回答者のあるMVP氏の模範回答である。TechNet フォーラムにても活躍していただきたい。
(質問)
お世話になります。
ライセンスに関して、ライセンスに関する資料を読みました
(Windows Server 2003 R2 ソフトウェア ライセンス条項http://www.microsoft.com/japan/windowsserver2003/howtobuy/licensing/EULA.mspx
また、他の関連掲示板も調べました。
2003 Serverを、WEBサーバーとして使う場合に、アクセスしてくる不特定多数の人のユーザー認証を行わない(すなわち匿名)場合は、CAL(ユーザーCALもデバイスCALも)は不要である、と認識しました。
また、そのWEBサーバーを、社内のイントラネットで使用する場合や、ユーザーIDとパスワードによって、アクセスしてくる人のユーザーの認証、識別を行う会員制サービスを行うような場合は、CALが必要である、と認識しました。
ここで質問なのですが、例えば、WEBサーバーの中に、ある一般向けWEBサイトを持っているとします。
そのWEBサイトへのアクセスに、ユーザーIDやパスワードは必要ありません。
不特定多数の匿名のアクセスが可能な、いわゆる普通のホームページです。
上記の認識に従うと、この部分においては、CALは必要ないと考えられます。
このホームページのあるボタンをクリックすると、会員サービス専用ログイン画面が表示されます。
ここで、ユーザーIDとパスワードによるユーザー認証を行ないます。
上記の認識に従うと、これより先の部分においては、CALが必要であると考えられます。
つまり、1つのWEBサイトにおいて、不特定多数のアクセスが可能な領域と、そうでない領域があります。
どちらも、同じWEBサーバーの中に入っているわけですから、ユーザー認証後にアクセスできる領域を持っている限り、CALは購入しなければならないと思うのです。
そこで、例えばユーザーCALを20購入したとします。
サーバー機器においても、その数字を管理するページがあると思いますので、そこに「20」と設定します。
ところが、このようにしてしまうと、不特定多数のアクセスを許可する領域においても、この「20」が適用されてしまい、20人を超える人が、このホームページに同時アクセスした場合、ホームページが見れなくなってしまう可能性が出てきてしまうのではないでしょうか。
まだWEBサーバーを実際に立ち上げたことがないので、具体的な記述が出来なくて申し訳ないのですが、もしこの場合、サーバーに対して、どのような処置を行うべきなのか、質問させて頂きました。
また別に、DNSサーバーを立てる場合ですが、これは、不特定多数の匿名のアクセスに対応するためのサーバーなので、CALは必要ないという認識でよろしいでしょうか。
よろしくお願い致します。
---------------------------------------------------------------------------------
(回答)
CALの認識については全て正しいと思いますが、文面に「アクセスしてくる不特定多数の人のユーザー認証を行わない(すなわち匿名)場合は、CAL(ユーザーCALもデバイスCALも)は不要である」とありますが、厳密にはこれに「インターネットを経由して」という言葉も必要です(次の箇所でイントラネットの場合と書かれているので正しく理解されているとは思いますが)。。
IISの認証には以下の種類などがあります。
・統合Windows認証
・ダイジェスト認証
・基本認証
・.NETパスポート認証
今回ご質問のサイトでは匿名アクセスを許可するようになると思いますので、標準ではアクセスしてきた人全員がIUSR_コンピュータ名というユーザーアカウントを利用してファイルなどにアクセスします。
つまりユーザーの管理など出来ないということになりますので、OSの制御上20のライセンスを超えることは無いはずです(ただしMicrosoftのライセンスの考え方上CALは必要です)。
この匿名アクセスの延長で、アプリケーションによるログイン画面でユーザー認証を行うのであれば、Windows上ではそれも全てIUSR_コンピュータ名というユーザーなので、ここでもOSの制御上20のライセンスを超えることは無いはずです。
たとえば統合Windows認証を有効にした場合には、Windows認証が可能であればWindowsのユーザーアカウントで認証されますので、このような場合には20のライセンスを超える場合には警告されるはずです。
DNSサーバーはCALは必要ないはずです。
ライセンスについては以下などから、お問い合わせされたほうがいいかもしれません。
Microsoft カスタマーサービス&サポート
http://www.microsoft.com/japan/customer/
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/fb1b48fd-39d1-4270-abd6-4fa1f3e92e66
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア