あまり実施しませんが、Windows Server2012に自動ログオンさせてほしいということで調べたところ、autologonを利用して自動的にActiveDirectoryの機能が有効であってもログオンできましたのでまとめました。
https://technet.microsoft.com/ja-jp/sysinternals/bb963905.aspx
1.Autologon.zipの中の「Autologon.exe」をC:\Windowsへコピーする
2.フォルダへ入れた「Autologon.exe」を実行してパスワード類を設定する。「Enable」で有効。「Disable」で無効
3.再起動して自動ログオンするかのテストを行う。
ActiveDirectoryでメインとバックアップのADを入れ替えるときに操作マスター移動するのだが、どんだけ移動するのか忘れないように記録としてまとめてみました。
■ADコンピューターとユーザー
・RID
・PDC
・インフラストラクチャ
■ADドメインと信頼関係
・ドメイン名前付け操作マスター
■ADスキーマ
・スキーママスタ
※「regsvr32 schmmgmt.dll」で管理コンソールに追加。MMCを起動してスナップインを追加する。
※移行先のドメインコントローラを指定する。そのあとに操作マスターで移動する
ActiveDirectoryのドメイン名を変更するときが来ましたのでその時の作業方法をまとめましたのでメモ的に残しておきます。
※検証したOSは、Windows Server 2008 R2
手順は下記の通りです。
■ドメイン名の変更
例:sample-domain.co.jp→sample-domain.co.jp.local
1.管理者権限アカウントでADサーバーへログオンする
2.DNSに前方参照ゾーンを追加する
(1)DNSマネージャーを起動する
(2)「前方参照」を右クリックして、「新しいゾーン」をクリックする
(3)ゾーンの種類:プライマリゾーン
※Active Directoryにゾーンを格納するのチェックを外す。
(4)動的更新:非セキュリティ保護およびセキュリティ保護の両方による動的更新を許可する
3.RENDOMコマンドでドメイン名の変更(作業用のテンポラリフォルダを用意しておくとよい)
(1)コマンドプロンプトで「rendom /list」を入力し「Domainlist.xml」を出力する。また、バックアップも取得する
(2)Domainlist.xmlをメモ帳で開く。
(3)DNSname要素とNetBiosName要素を変更したものにする。
例:
(旧)
<DNSname>DomainDnsZones.sample-domain.co.jp</DNSname>
(新)
<DNSname>DomainDnsZones.sample-domain.co.jp.local</DNSname>
(旧)
<NetBiosName>sample-domain</NetBiosName>
(新)↓sample-domainの部分が変わっていないので特に変更しなかった。
<NetBiosName>sample-domain</NetBiosName>
(4)メモ帳を閉じる
(5)「rendom /showforest」を入力して、内容を検証する。
※操作は正常に終了しましたと表示されていることを確認する
(6)「rendom /upload」を入力してドメイン名称を変更する
(7)動作検証用のファイル「dclist.xml」を生成しているか確認する。(同じ場所にある)その中に変更前のドメイン名が書かれているか確認する
(8)FSMOの機能を担当しているサーバを確認コマンド「dsquery server -hasfsmo name」を実行する。そしてメモをしておく。
(9)「repadmin /syncall /d /e /P /q <DomainNamingMaster>」
※AD1台の場合は<DomainNamingMaster>は省略可能。DomainNamingMasterは、コンピュータのFQDNを指定する。
※例えば、インターネットに存在するドメインがAD名になっている場合は、インターネットの接続を切断してから実施するとエラーが起きない。
(10)ドメインコントローラが名前変更できるか確認するコマンド「rendom /prepare」を実行する
※エラーがないことを確認
(11)ドメイン名変更を実行する。「rendom /execute」と入力して実行する
(12)変更に成功したかチェックする。自動的に再起動がかかる。
変更に成功すると、「dclist.xml」ファイルのState要素に「Done」と書かれる
※エラーが発生したときには、このテキストが「Error」となる。
■最終設定
(1)「Active Directoryユーザーとコンピュータ」でドメイン名が認識しているのか確認する。
(2)「rendom /end」を入力し、フォレストのフリーズ状態を解除する。(作業フォルダは作業していたフォルダを指定)
※「操作は正常に終了しました。」と表示されることを確認
(3)DNSマネージャーを起動し、作成したゾーンのプロパティを開く。
「全般」タブの「変更」ボタンをクリックし「ゾーン種類」で「ActiveDirectoryにゾーンを格納する」にチェックを入れる。
それで「このゾーンをActiveDirectory統合にしますか?」とメッセージが表示されるので「はい」ボタンをクリックする。
また、「動的更新」欄を「セキュリティ保護のみ」にする。
(4)必要に応じて、グループポリシーなども確認する。
まあ、リスクと面倒さとあるのでこのような作業はご依頼いただけるとよいですね・・・。
ActiveDirectoryでパソコンのユーザー管理を行っていることが多々あると思います。
昨今、パスワードを強化せよ!ってお達しも多いかと思いますが、AD上では、一律なルールしか設定できない思っておりました。時代は進化して、WindowsServer2008から、個々のパスワードルールを設定できるようになったとのことで、ちょっと試してみました。(試したのはWindowsServer2012)
ということで~さっそく・・・。
まず何をするかというとActiveDirectory管理センターを開きます。
「ドメイン名」>「System」>「Password Settings Container」を開きます。
「新規」>「パスワードの設定」をクリックする。
上記の設定画面が表示されるのでルールを設定します。
また、ここでポイントは、「直接の適用先」を指定することができ、指定先はグループやユーザーに対して設定することができます。
これによりAさんは超厳しいルール、Bさんはあまあまなルールなど個別に設定できるので非常にシステム的には重要なポイントです。
あと、ADのグループポリシーで設定したパスワードルールなどは無視状態みたいなので運用上でどのようなポリシーを設定したかクライアント側で確認するすべが私の調べたところではわかりませんでした。
例えば「net accounts /domain」でアカウントポリシーの適用状況がクライアント側でも見ることができますが上記の設定を反映した結果は見ることができません。
それなので忘れないように設定方法を覚えておくしかないのかもしれないです。
Windows Server 2008,Windows Server 2012
※こちらで試したもの
イベントID:1988が発生する。
Active Directory ドメイン サービス レプリケーションは、ローカル ドメイン コントローラー (DC) Active Directory ドメイン サービス データベースから 削除されたオブジェクトを次のパーティションで見つけました。直接 または推移性のレプリケーション パートナーのすべてが、廃棄 (Tombstone) の有効期間が経過する前に削除でレプリケートされたわけではありません。削除されて Active Directory ドメイン サービス パーティションからガベージ コレクションされたオブジェクトで、同じドメインの 他の DC の書き込み可能パーティション、またはフォレストの他のドメインのグローバル カタログ サーバーの 読み取り専用パーティションに存在するものは、”残留オブジェクト” と 呼ばれています。
….(続く)
すべてのActiveDirectoryのドメインコントローラで
下記のレジストリキーの値を「1」→「0」に変更し、「サイトとサービス」から「今すぐレプリケーション」を実施しエラーが出なくなることを確認する。
その後、レジストリキーを元の値に戻す。
レジストリ キー:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency
