SE の雑記

NT ドメインを Windows 2000 Active Directory にアップグレードした場合の、メンバーとして参加している
コンピュータのプライマリ DNS サフィックスの表示内容についてです。

[NT ドメインの時の表示内容]

以下の画像が、NT ドメインならびに、AD アップグレード直後のドメインとフルコンピュータ名の表示です。
アップグレードをしてもそのままの状態ではフルコンピュータ名とドメイン名は変更されません。

[Windows XP]

[Windows NT]

?

一度ログオン / ログオンまたは、再起動するすと以下の内容に変更となります。

[ログオン / ログオフまたは再起動後]

[Windows XP]

?

XP だと再度コンピュータにログオンし、マイコンピュータのプロパティを確認すると
[変更はコンピュータの再起動後に有効になります。]
と表示されています。

コンピュータのプロパティの再起動に関しては以下のレジストリ値の比較で表示が制御されているようです。

-[HKLMSYSTEMCurrentControlSetServicesTcpipParameters]
　[Domain]
　[NV Domain]

NT ドメインからのアップグレード後は [Domain] が空白、[NV Domain] が参加ドメインの値となっているようです。

この設定値が異なることによって再起動のメッセージが表示されてしまうようです。

[Windows NT]

?

[再起動後]

[Windows XP]

再起動後は [Domain] に値が設定されています。
アップグレード後は再起動しないと DNS サフィックスが設定されないので再起動のメッセージが表示されていると
コンピュータ名の名前解決で思ったような結果が得られないかと。

[Windows NT]

NT のメンバサーバーの場合は変化はないようですね。

2000 / 2003 のメンバーサーバーでは試せていないのですが XP と同じ動きになりそうな気が。
SID の解決は再起動しなくてもできていそうですが、名前解決が想定した動きにならない場合は、
コンピュータのプロパティを開き、再起動の表示がないことを確認したほうが良さそうです。

各、ドメインコントローラーで別々の DNS を使用している場合に現象が発生しました。

子ドメインを既存ドメイン (親ドメイン) に追加すると、親ドメインの [Active Directory サイトとサービス] に
作成したドメインのドメインコントローラが追加されます。

以下が、子ドメイン追加後のサイトとサービスの内容になります。

[2000-AD-01] を [us.domain.local] として追加したのですが追加直後はドメインがブランクになっていました。
[2000-AD-01] で [Active Directory サイトとサービス] を確認するとこちらでは正常に表示されています。

親ドメインと子ドメインで同一の DNS を使用している場合はこのような現象は発生しなかったのですが、
各ドメインで独自の DNS を使用して、委任 / フォワーダで名前解決をさせている環境を作ったところ、
このような状態になりました。

他のドメインコントローラには自動生成の接続オブジェクト (2000-AD-01 のプルレプリケーション) は
作成されていますので、[今すぐレプリケート] を実行してみると以下のメッセージが表示されます。

[名前付きコンテキストが削除中華、または指定されたサーバーからレプリケートされていません。]? となってしまいます。
別々の DNS を使用しているので FQDN でないと名前解決ができないことが原因でしょうか…。
現在はドメインが空白になっているために解決できないのかも。

[2000-AD-01] で [レプリケーショントポロジの確認] をして KCC による接続の自動生成をしようとすると
以下のメッセージになります。

[ディレクトリのプロパティがキャッシュに見つかりません。] とのことですが、今回の場合は、プロパティは
ドメイン名の部分のことでしょうか。

正しい状態には以下のどちらかの方法で設定できました。

1. ADSIEDIT.msc を使用して修正
2. KCC がチェックするまでしばらく待つ

?

[ADSIEDIT.msc]

1. [ADSIEDIT.msc] を起動します。
   
2. Configuration で対象のサイトを展開し、対象サーバーを右クリックし、[プロパティ] をクリックします。
   
3. [dNSHostName] を選択し、[Edit] をクリックします。
   
4. [Value] に FQDN を設定します。
   

[しばらく待つ]

1. 親ドメインのドメイン個とローラーのイベントビューアに以下のメッセージが表示されるまで待ちます。
   # 私の環境だとドメインコントローラー追加後 13 分後ぐらいに表示されました。
   [ソース]:NTDS KCC
   [イベント ID]:1104
   ?

どちらかの対応 (一方はただ待つだけですが…) をすると親ドメインでも正常にドメイン名が
表示されるようになります。

新規ドメインを追加した場合は各ドメインコントローラの [repadmin /showrepl] を確認して、
接続オブジェクトの作成状況のチェックは必要ですね。

新しいバージョンの AD を追加 / 一部のアプリケーション (Exchange 等) をインストールする場合には
AD のスキーマ拡張が必要となります。

スキーマのバージョン確認基本的な作業は以下の KB に記載されているとおりです。

Active Directory インストール ウィザードの実行時にエラー メッセージ "ソース フォレストの Active Directory スキーマのバージョンはこのコンピュータの Active Directory のバージョンと互換性がありません" が表示される

以下の手順で確認可能です。

[確認手順]

1. [adsiedit.msc] を起動します。
2. [CN=Schema,CN=Configuration,DC=<ドメイン名>] を右クリックし、プロパティをクリックします。
   
3. [objectVersion] の値を確認します。
   

以下が [objectVersion] と OS の対応表になります。

今のところ Windows Server 2008 R2 のスキーマバージョンは [47] となっているようですね。
Sch47.ldf

スキーマ拡張をした際に、各ドメインコントローラでスキーマ拡張が反映されているかを確認する場合は
この値を確認するのが良さそうです。

今月は SQL Server の投稿を増そう月間にするつもりだったのですが業務都合上そうもいかず、
当初の予定とは異なり AD のメモを増やさなくてはいけなさそうです…。

AD ではサイト間、サイト内にオブジェクトを伝搬するためにレプリケーションが行われていますが、
OCS や Exchange の導入時にスキーマ拡張やドメインのオブジェクト準備をするときに特定の
ドメインコントローラーから出力方向 (変更を他のドメインコントローラーに伝搬) のrレプリケーションを
一時的に無効化したいこともあるかと思います。
# DNS を AD 統合にして自サーバー内に持っているのであればネットワークケーブルを抜いて
　代わりにループバックコネクタをつけておけばよいのかもしれませんが…。

repadmin コマンドでオプションを設定すると一時的にレプリケーションを無効にすることができます。
Windows Server 2003 まではこのコマンドはサポートツールに含まれていますので、設定する場合は
OS のメディアまたはサービスパックのメディアからインストールする必要があります。
Windows Server 2008 には AD の役割を追加すると自動でインストールされます。
＃ 2008 には replmon / netdiag は含まれていないようですが。

出力方向のレプリケーションを停止

出力力方向ですので対象のドメインコントローラで変更した内容のレプリケーションを
ブロックする設定になります。
# 変更内容尾を伝搬させない。

入力方向のレプリケーションを停止

入力方向ですので他のドメインコントローラの変更を取り込まない設定になります。

出力方向のレプリケーションを開始

?

入力方向のレプリケーションを開始

?

2003-AD-01 というドメインコントローラーで入力 / 出力のレプリケーションを停止する場合は
以下のようなコマンドとなります。

?

この状態で [repadmin /showreps] コマンでレプリケーションの状態を確認すると以下のような表示となります。
# 2003-AD-01 のレプリケーションパートナーである 2003-AD-02 のレプリケーショントポロジーを表示しています。

?
2003-AD-01 でレプリケーションが拒否されていることが確認できます。
# 停止してからレプリケーションのパートナー側で停止されていると認識されるまで少し時間がかかりました。
　実運用で停止する場合は小出しに showreps を実行して停止しているかを確認したほうがよいかも。
　上記、実行結果のように全パーティションでレプリケーション要求を拒否することはできます。

入力と出力の関係によっては以下のメッセージが表示されることも。

レプリケーションが停止しているドメインコントローラーはサポートツールの [replmon.exe] では
以下の画像のように表示されます。

[Active Directory サイトとサービス] で複製をしようとすると以下の警告となります。

ドメインコントローラーで今、どのようなオプションが設定されているかは以下のコマンドで確認可能です。

実行すると以下のような結果
が表示されます。

レプリケーションの停止の仕方をよく忘れてしまうのでメモとして残しておきたいと思います。

AD を専門にされている方は周知のことかと思いますが、私はよく忘れてしまうのでメモ。

AD のバックアップには Tombstone 期間が設定されており、この期間を過ぎると適切な
バックアップとしてみなされなくなります。
# 実際に期間を過ぎて戻したことはないので戻そうとするとどうなるかは後で調べなくては…。
　 以前、情報を見た記憶があるのですがすっかり忘れています。

Windows Server 2003 SP1 以前ではこの期間は [60 日] として設定されています。
Windows Server 2003 SP1 以降では [180 日] として設定されています。

ただし、この設定は Windows Server 2003 SP1 以降をインストールした際に自動的に
変更されるのではなく、1 台めのドメインコントローラを 2003 SP1 以降で構築した場合に
180 日で設定されています。

また、この設定はエンタープライズの構成情報 (AD の構成パーティション) に含まれているため、
フォレスト内で共通の設定となっています。

新規にフォレストを構築した場合は、初期導入したドメインコントローラのバージョンに依存しますので
設定値はわかりやすいと思いますが、企業で使用しているドメインコントローラは

• NT ドメイン
• Windows 2000 Server AD ドメイン
• Windows Server 2003 AD ドメイン
• Windows Server 2008 AD ドメイン

と、段階的にアップグレードしていることが多そうですので運用担当者が固定化されていないと
実際の設定値がわからないこともあるかと。
# ADMT でマイグレーションする場合と、アップグレードする場合はどちらが多いんでしょね？？

以下の KB にどこを確認すればよいか掲載されています。
Active Directory のシステム状態のバックアップの有効期間について..

[ldp.exe] または [adsiedit.msc] で以下のコンテナを開くと確認できます。
# Windows Server 2008 では標準でインストールされていますが、それ以前のバージョンでは
　 サポートツールをインストールする必要があります。

• [CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ドメイン名]
• [tombstoneLifeTime]? の値を確認

LDP.EXE

ADSIEDIT.MSC

ldp で検索する場合は以下のような検索条件で。
Filter と Options の Attributes を設定しています。

?

上記の画像は Windows Server 2003 のサポートツールを使用しているため UI が英語表記ですが、
Windows Server 2008 になると UI が日本語化されています。

直近の案件は AD がらみになりそうなのでいろいろとメモを残していきたいと思います。

検証環境を構築する場合、AD と DSN を同居させるのが一番手間がかからずに楽です。
しかし、実運用環境になると同居させずに AD と DNS を別にすることが多いかと。

Windowsで DNS サーバーを用意して、AD の参照先 DNS として指定しただけでは
[dcpromo] 実行時に
[このコンピュータが使用する DNS サーバーでタイムアウト期間内に応答したものがありませんでした。]
となり、DNS に必要なレコードを登録することができません。

DNS サーバーで以下の手順で事前にリソースレコードを登録しておく必要があります。
(以下の手順は domain.local という ドメインを作成する際の DNS の登録内容です)

1. 前方参照ゾーンの新しいゾーンを作成します。
   
2. [次へ] をクリックします。
3. [プライマリ ゾーン] を選択し、[次へ] をクリックします。
   
4. ゾーン名に作成するドメイン名を入力し、[次へ] をクリックします。
   
5. [次の名前で新しくファイルを作成する] を選択し、[次へ] をクリックします。
   
6. [非セキュリティ保護およびセキュリティ保護の両方による動的更新を許可する] を選択し、[次へ] をクリックします。
   この設定により DNS の動的更新が可能となります。
   
7. [完了] をクリックします。

これでドメイン用のゾーンが作成されます。

この状態で dcpromot の [DNS の登録の診断] を実行してもまだ DNS 登録のエラーが発生します。
最低でも以下の作業を実施する必要があります。

1. A レコードの追加
2. SOA レコードの修正

?

[A レコードの追加]

1. 作成したゾーンを右クリックして [新しいホスト] をクリックします。
   
2. DNS サーバーの名前と IP アドレスを入力し、[ホストの追加] をクリックします。
   
3. [OK] をクリックします。
   

[SOA レコードの修正]

1. SOA レコードを右クリックして、[プロパティ] をクリックします。
   
2. プライマリサーバーには DNS サーバー名のみが設定されているので FQDN に変更し、[OK] をクリックします。
   

以上で DNS の設定は完了です。

再度 [DNS の登録の診断] を実行すると正常に診断が完了します。

これで dcpromo が終了後、AD が再起動すると DNS に AD に必要なレコードが登録されます。
# netlogon サービスが実行されることにより、DNS に動的更新がされます。

忘れなようにメモ書きとして残しておきたいと思います。

2009/06/27 追記

NS レコードも FQDN の形式に修正してあげないとだめですね。
NS レコードが FQDN になっていないと親ドメインでスタブゾーンとして子ドメインの DNS ゾーンを
設定しても名前解決ができないです。
親ドメインの DNS に委任で子ドメインのドメインを設定する場合は問題ないのですが。

忘れないようにメモ。

1. AD RMS と Office 2007 の IRM でアクセスの制限を設定します。
   
2. ドメインユーザーでログインしていて以下のダイアログが表示されてしまうことがあります。
   
3. [Microsoft Windows アカウントの使用] を選択、[OK] をクリックすると以下のエラーが発生します。
   

この状態になった時に確認するとよさそうな個所は以下の 2 箇所のようです。

1. ユーザーアカウントに [電子メールアドレス] が設定されている。
   
2. クライアントが SCP の URL にアクセスできることを確認。
   ?

メールアドレスについては盲点でした…。
IRM でユーザー追加するときにメールアドレスが表示されますが、アカウントを使用しているのではなく
AD の属性情報使っているんですね。

インターネットで調べて、この現象の解決方法を知りました。

自宅の AD の機能レベルを Windows Server 2008 に変更しているのですがその際に調べたことのメモです。
# 最初から機能レベルを最新にすればよかったのですが。

[SYSVOL の複製を FRS から DFSR に変更]

ドメインの機能レベルを [Windows Server 2008] にすると SYSVOL の複製に DFSR を使用することが可能となります。
インストール時に機能レベルを [Windows Server 2009] に設定しておけば複製には DFSR が使用されますが
機能レベルを上げた場合には手動で設定する必要があります。

Microsoft の安納さんのブログに一連の手順が書かれておりとても参考になりました。

【Windows Server 2008】 Sysvol 複製を FRS から DFSR に移行するには Dfsrmig.exe コマンドを使用する
【Windows Server 2008】 dcpromo 時に ドメインモードを 2008 にすれば SYSVOL 複製は DFSR に自動設定される

作業としては

1. [dfsrmig /SetGlobalState 0] で状態を移行
2. [dfsmig /GetMigrateState] で状態移行が完了していることを確認
   # 数分時間がかかるので小出しに実行して移行完了するまで待ちます。
3. [dfsrmig /SetGlobalState 1] で状態を移行
4. [dfsmig /GetMigrateState] で状態移行が完了していることを確認
   # 数分時間がかかるので小出しに実行して移行完了するまで待ちます。
5. [dfsrmig /SetGlobalState 2] で状態を移行
6. [dfsmig /GetMigrateState] で状態移行が完了していることを確認
   # 数分時間がかかるので小出しに実行して移行完了するまで待ちます。
7. [dfsrmig /SetGlobalState 3] で状態を移行
8. [dfsmig /GetMigrateState] で状態移行が完了していることを確認
   # 数分時間がかかるので小出しに実行して移行完了するまで待ちます。

という順番で順次状態を移行しながら作業をしていくと完了しました。

機能レベルを上げて手動で DFSR を設定した場合は [SYSVOL] のディレクトリが [SYSVOL_DFSR] になります。
# インストール時に機能レベルを DFSR に設定した場合は [SYSVOL] になります。

他の情報も調べていたところ以下の記事がありました。

第1回 Active Directoryアップグレード方法論

今までは SYSVOL の複製に FRS を使用していたので [File Replication Service] が起動した状態のままになってしまうようですね。
ちょうど新規に検証用の AD を構築していたところなのでドメインの機能レベルを [Windows Server 2008] にして構築したところ
このサービスは [手動] 起動となっていました。

[インストール時に Windows Server 2008]

[機能レベルを上げた場合]

ひとまずこのサービスは手動に変更。

?

今回はドメインの機能レベルを上げただけなので問題はないのですが AD のアップグレード時によく話題になる設定のメモを
# レガシーな OS を使用しているときの SMB パケット署名のお話です。

Windows Server 2008 ベースのドメイン コントローラで既定のセキュリティ ポリシーを変更する
Active Directory ドメインを Windows Server 2008 AD DS ドメインにアップグレードする

少し古いですがこちらもメモ

Windows 2000 ドメイン コントローラを Windows Server 2003 にアップグレードする方法