SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿
WIndows 2000 / 2003 のサポートツールに含まれている repadmin.exe を使用すると DC のレプリケートを
コマンドラインで実行することができます。
オプションを何も設定しないで実行すると同一サイト内の DC とのみレプリケートが実行されますので、
複数のサイトを作成している場合は /e オプションを指定する必要があります。
[自サイト内の DC とのみレプリケート]
| repadmin /syncall |
?
[他のサイトの DC も含めてレプリケート]
| repadmin /syncall /e |
?
[Active Directory サイトとサービス] を使用して [今すぐレプリケート] で同期をとる場合は
対象の接続オブジェクトを選択するので別サイトでも問題はありませんが、コマンドで実行する場合は
気をつけないといけないですね。
よく忘れるのでメモ。
Scripting.FileSystemObject の ReadAll で別ファイルの内容を読み込んで、
ExecuteGlobal に読み込んだ内容を渡して別ファイルをインクルード。
Windows Server 2003 のドメインコントローラーを使用している場合にダウレベルクライアントで
影響が出そうなグループポリシーをメモ
# グループポリシーに KB823659 へのリンクが表示されていたものです。
| グループポリシー | 設定値 |
| Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う |
|
| Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う |
|
| ドメイン メンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする |
|
| ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する |
|
| ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない |
|
| ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない |
|
| ネットワーク アクセス: 匿名の SID と名前の変換を許可する |
|
| ネットワーク セキュリティ: LAN Manager 認証レベル |
|
| ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント |
|
| 監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする |
|
セキュリティ的に問題ないかは別にして、これらの設定をドメインコントローラにしておけば、
95 / 98 / NT 4.0 SP3 以前がログインできないという現象は回避できそうです。
ダウンレベルクライアントがなくなったら設定を戻しましょうという但し書きをしたうえで設定しておこう。
Microsoft の方がスピーカーを担当されるテクニカルセッションのアジェンダが公開されたようです。
SQ!L Server 2008 R2 のセッションがあるので行きたいです…。
去年と比べると SQL Server のセッション数はだいぶ減りましtね。
今年も去年と同様 Post Conference DVD が一般販売されないのでしょうかね。
去年は事務局に問い合わせたところ、一般販売も予定しているといわれていたのですが、
最終的には販売されなかったので…。
tech days のように後日、全セッションの動画 / スライド一般公開されると、とてもうれしいのですが。
Windows のファイルサーバーではないのですが DNS の Ailias (CNAME) で CIFS 共有にアクセスすると
認証が発生してしまうという社内の問い合わせがあったので少し調べてみました。
とりあえず Windows のファイルサーバーだとどうなるんだろうと思い調べてみたところ、事例がありました。
Windows 2000 ベースのサーバー上の SMB 共有へのエイリアス名による接続が機能しない
Windows2000/Server2003の共有フォルダをDNSのCNAMEレコードを使用して開けない
Windows Server 2003 Service Pack 1 のインストール後に FQDN または CNAME エイリアスを使用してサーバーにローカル アクセスしようとするとエラー メッセージ "アクセスが拒否されました" または "指定されたネットワーク パスはどのネットワーク プロバイダによっても受け付けられませんでした" が表示される
ログオン ウィンドウの表示 Windows Server 2003 Service Pack 1 NLB 仮想 NLB クラスタ名を参照するとき
以下のレジストリを設定すれば CNAME でアクセスできるようになります。
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters
値の名前 : DisableStrictNameChecking
データの種類 : REG_DWORD
基数 : 10進
値 : 1
エラーの時は以下のようなメッセージが表示されます。
| ネットワークに重複した名前があるため接続されませんでした。 コントロール パネルのシステムでコンピュータ名を変更して再実行してください。 |
CNAME だけでなく、A レコードで本来のコンピュータ名の IP を登録しても同様のエラーとなりました。
NLB で Kerberos 認証をする場合もいろいろと考慮点があるみたいですね。
# NLB の仮想ホスト名も CNAME みたいなものだと思いますので。
Windows Server 2003 NLB構成で Kerberos認証を有効にする
負荷分散アーキテクチャで Kerberos 経由の認証の委任は動作しません
Kerberos authentication for load balanced web sites
Enabling Kerberos Delegation on a NLB scenario
こちらはアプリケーションプールをドメインユーザーで起動して、 NLB で負荷分散に使用するホスト名と
アプリケーションプールの起動ユーザーで SPN を登録するのがポイントみたいです。
SQL Server の Kerberos 認証もそのうち試そうと思ってなかなか手が出せていないですね~。
まだまだ勉強することが沢山です。