レジストリで設定するようになります。従来と同じです。
・regeditでレジストリを起動します。
・以下のキーの値を設定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
| 名前 | 値 |
| DefaultDomainName | ドメイン名 |
| DefaultUserName | ユーザー名 |
| DefaultPassword | パスワード |
| AutoAdminLogon | 1 |
DefaultPasswordがない場合は作成する
名前 : DefaultPassword
種類 : REG_SZ
データ : パスワード
この記事を書いていることはそろそろ、Windows Server 2012のお役目御免のタイミングかと思います。
それなのでWindowsServer2022を追加してWindowsServer2012をお休みさせる予定の手順をまとめてみました。
・Windows Server 2012のActive Directoryサーバーを用意します。
以下はご自身の環境に合わせてご変更ください。
| ホスト名 | win2012ad1 |
| IPアドレス | 192.168.255.11 |
| ドメイン名 | sample.local |
・Windows Server 2022を初期インストール状態、IPアドレス割り当て済み状態を用意します。
| ホスト名 | win2022ad2 |
| IPアドレス | 192.168.255.12 |
Win2022ad2で作業します。Windows Server 2022を「sample.local」ドメインに参加します。
・DNSをwin2012ad1のIPアドレスにします。
・コンピューターのプロパティを開きます。その後、「このPCの名前を変更(詳細設定)」をクリックします。
・変更ボタンを押します。
・所属するグループを選択して参加先のドメイン名を入力し、「OK」ボタンをクリック後、管理者アカウント情報を入力します。
※以下のエラーの場合:DNS周り、IPv6になっていないかを確認します。
・Active Directoryに参加できたら再起動して準備完了です。
・サーバーマネージャーから「役割と機能の追加」をクリックします。
・指示に従って進めていき、「サーバーの役割の選択」で「Active Directoryドメインサービス」にチェックを入れます。
※ポップアップで表示されたものは追加します。
・そのまま画面に従って進めていき、「インストール オプションの確認」で「必要に応じて対象サーバーを自動的に再起動する」にチェックを入れ、「インストール」をクリックします。
・インストールが終わり「閉じる」をクリックした後、サーバーマネージャーから「このサーバーをドメインコントローラーに昇格する」をクリックします。
・「既存ドメインにドメインコントローラーを追加する」を選びます。
このときに「ユーザーアカウント名を指定してください。」と表示された場合は「変更」をクリックしてユーザーアカウントをドメインの管理者のアカウントを指定します。
・後は画面に従っていき、「インストール」をクリックしてインストール行います。
SYSVOLフォルダ等は場所を移動するものではないと過去の経験上そう思っています。
再起動が終わって、Active Directoryの同期等が行われます。同期しているので15分ぐらいは、待ちましょう!
やっぱりこのあたりは、きちんと行わないと後のトラブルになるのでしっかりと行う必要があります。PDCという言い方はないのですが、もう、古い人間なのとなんだかんだPDCという概念が残っているようなのでそうしています。
操作は、wind2022ad2で実施
・コマンドプロンプトを開いて、同期状態を確認します。
実行コマンド:repadmin /replsummary
失敗が0であることを確認。
テスト用のはきれいにエラーがありません。そりゃ、運用していないので。
ちなみにしばらくぶりにADサーバーをチェックするとこんな感じが一般的かもしれません?気づけよ!?気づかないことが多いですΣ(´∀`;)
以下のところで対処方法を記述してみました
作業するサーバーが変わって、「win2012ad1」です。この部分が昔の時代のPDC的なイメージです。そんなことはおいておいて、役割を転送します。
転送する役割は以下の5つです。
・ PDC エミュレーター
・ RID マスター
・ インフラストラクチャーマスター
・ スキーママスター
・ ドメイン名前付け操作マスター
・PowerShellを管理者で開きます。
・以下のコマンドを実行して移行します。1行でできるので便利です。
Move-ADDirectoryServerOperationMasterRole –Identity <宛先ドメインコントローラー名> -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMaster,DomainNamingMaster
・操作マスタ(FSMO)を確認します。PowerShellで以下のコマンドを実行します。
netdom query fsmo
移行できたことが確認できればOKです。
「win2012ad1で作業を行います。」
忘れないうちに、各ドメインコントローラーで降格の優先と代替DNSのIPアドレスを変更します。(win2012ad1の削除)
・サーバーマネージャーから「役割と機能の削除」をクリックします。
・指示に従って画面を進めていき「サーバーの役割」で「Active Directory ドメインサービス」のチェックを外します。
・関連サービスも削除します。
・検証結果がエラーで表示されますがその中にある「このドメインコントローラーを降格する」をクリックします。
・Active Directoryドメインサービス構成ウィザードが表示され、「次へ」をクリックします。
・「削除の続行」にチェックを入れて、「次へ」をクリックします。
・降格後のパスワードを入力して「次へ」をクリックします。
・「降格」ボタンをクリックします。
・再起動が強制的に実施されます。
・ログインを行います。DNSを変え忘れたときは、ドメインでなくローカルでログインしましょう!
・サーバーマネージャーを開き「役割と機能の削除」をクリックします。
・「Active Directory ドメインサービス」と「DNSサーバー」のチェックを外します。
・画面に従っていき、削除を行います。
・削除が終わったら、サーバー再起動を行います。(コマンドだと「shutdown /r /t 0」)
・これで作業は終わりです。
win2022ad2のIPアドレスを「win2012ad1」にしたい場合は、IPアドレスを変更して、サーバーを再起動してください。(win2012ad1はシャットダウンした状態もしくはIPアドレスを変更した後に行ってください)
これは対処しないとNG案件です。時間経過しているので強制同期スタートです。
レジストリーに下記の強制同期キーを記述して、サーバーを再起動してみた。再起動後は削除
レジストリ キー: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\
値: Allow Replication With Divergent and Corrupt Partner
タイプ: REG_DWORD
値のデータ: 1
結果としては前進した!
「tombstoneLifetime」の値を確認する。
サーバーマネージャーから「ADSIエディター」を開く
・「ADSIエディタ」>「右クリック」>「接続」をクリックする。
・「接続ポイント」を「識別名または名前付きコンテキストを選択するまたは入力する」を選択する。
接続値として以下のようにする
例:ドメイン名.localの場合 repadmin /showattr CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ドメイン名,DC=local /atts:tombstonelifetime
・既定の名前付きコンテキストの下の「CN=」のプロパティを開く。(表示されなければ、「既定の名前付きコンテキスト」をダブルクリックすれば表示される
・「tombstonelifetime」の値を確認する。これだと180
*上記で日数見たけど、結局オーバーしているのは削除しないとというお話なので削除します。
削除するにはGUIDが必要だそうで。GUIDも調べる
削除コマンド:repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> /ADVISORY_MODE
PDCのサーバーのGUIDを以下のコマンドで調べる。
repadmin /showrepl /v サーバー名
・削除を実行する
repadmin /removelingeringobjects <削除するサーバー+ドメイン名> <調べたGUID> <DC=のドメイン名指定> /ADVISORY_MODE
・レジストリでレプリケーションを停止する
・レジストリキーの値を0にする
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency
・Active Directoryサイトとサービスで今すぐレプリケーションを実行し、エラーがないことを確認する。
・上記の作業が終わったら、レジストリキーの値を1に戻す。(忘れずに)
・それで最初に戻って同期のエラーがないか確認する
repadmin /replsummary
・追加した以下のレジストリキーを削除する
レジストリ キー: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\
値: Allow Replication With Divergent and Corrupt Partner
すこしこの状態で様子を見ましょう!
参考URL
Windows Server 2022で新規にActiveDirectoryサーバーを構築するところから始めたいと思います。
※事前にOSのインストールは完了済み状態からスタート
・サーバーマネージャーから「役割と機能の追加」を押す。
・開始する前には「次へ」を押す
・インストールの種類と選択は「役割ベースまたは機能ベースのインストール」を選択し「次へ」を押す
・対象サーバーの選択は自動選択されたままで「次へ」を押す。
・ActiveDirectoryドメインサービスにチェックを入れ、「次へ」を押す
・「機能の追加」を押す
・「次へ」を押す
・次へを押す
・「次へ」を押す。
・「必要に応じて対象サーバーを自動的に再起動する」にチェックを入れ、「インストール」を押す
・「閉じる」をクリックする
・サーバーマネージャーのビックリマークから、「このサーバーをドメインコントローラーに昇格する」をクリックする。
・「新しいフォレストを追加する」を選択し、ドメイン名を入れて、「次へ」をクリックする。
・パスワードを設定し、「次へ」を押す
・次へを押す
・次へを押す
・「次へ」を押す
・「次へ」を押す
・「インストール」を押す
・再起動したら、インストール完了です。
WindowsServerから離れて久しいですが、久々にWindows Server2019でActiveDirectoryを構築してみました。
ひさびさなのでインストールからの作業です。
・Windowsセットアップで「次へ」を押す。その後、「インストール」をクリックする。
・「Windows Server 2019 Standard Evalution (デスクトップ…)」を選択し、「同意」して「カスタム:Windowsのみをインストールする」を選択する
・ドライブは適当に推奨のままでインストールしていきます。
あ、コアだけにしていしまった。間違えた…。
今度はちゃんとGUIになって完了。
・まずは、ネットワークを動的IPアドレスから固定IPアドレスに変更する
・サーバーマネージャーから「役割と機能の追加」をクリックします。
・「次へ」ボタンをクリックします。
・「役割ベースまたは機能ベースのインストール」を選択して、「次へ」をクリックする
・「次へ」をクリックする
・ActiveDirectoryドメインサービスを選択する
・機能の追加をクリックする
・次へをクリックする
・次へをクリックする
・次へをクリックする
・「必要に応じて対象サーバーを自動的に再起動する」にチェックを入れて「インストール」をクリックする
・閉じるをクリックする
・サーバーマネージャーの展開後構成のところから「このサーバーをドメインコントローラーに昇格する」をクリックする
・「新しいフォレストに追加する」を選択し、「ルートドメイン名」を入力し、「次へ」を押す
・パスワードを入力して「次へ」をクリックする
・そのまま次へをクリックする
・次へをクリックする
・次へをクリックする(変更するとトラブルになりやすいからそのまま)
・次へをクリックする
・インストールをクリックする
・再起動になります。
これでADの初期インストールは完了です。
あまり実施しませんが、Windows Server2012に自動ログオンさせてほしいということで調べたところ、autologonを利用して自動的にActiveDirectoryの機能が有効であってもログオンできましたのでまとめました。
https://technet.microsoft.com/ja-jp/sysinternals/bb963905.aspx
1.Autologon.zipの中の「Autologon.exe」をC:\Windowsへコピーする
2.フォルダへ入れた「Autologon.exe」を実行してパスワード類を設定する。「Enable」で有効。「Disable」で無効
3.再起動して自動ログオンするかのテストを行う。
ActiveDirectoryでメインとバックアップのADを入れ替えるときに操作マスター移動するのだが、どんだけ移動するのか忘れないように記録としてまとめてみました。
■ADコンピューターとユーザー
・RID
・PDC
・インフラストラクチャ
■ADドメインと信頼関係
・ドメイン名前付け操作マスター
■ADスキーマ
・スキーママスタ
※「regsvr32 schmmgmt.dll」で管理コンソールに追加。MMCを起動してスナップインを追加する。
※移行先のドメインコントローラを指定する。そのあとに操作マスターで移動する
ActiveDirectoryのドメイン名を変更するときが来ましたのでその時の作業方法をまとめましたのでメモ的に残しておきます。
※検証したOSは、Windows Server 2008 R2
手順は下記の通りです。
■ドメイン名の変更
例:sample-domain.co.jp→sample-domain.co.jp.local
1.管理者権限アカウントでADサーバーへログオンする
2.DNSに前方参照ゾーンを追加する
(1)DNSマネージャーを起動する
(2)「前方参照」を右クリックして、「新しいゾーン」をクリックする
(3)ゾーンの種類:プライマリゾーン
※Active Directoryにゾーンを格納するのチェックを外す。
(4)動的更新:非セキュリティ保護およびセキュリティ保護の両方による動的更新を許可する
3.RENDOMコマンドでドメイン名の変更(作業用のテンポラリフォルダを用意しておくとよい)
(1)コマンドプロンプトで「rendom /list」を入力し「Domainlist.xml」を出力する。また、バックアップも取得する
(2)Domainlist.xmlをメモ帳で開く。
(3)DNSname要素とNetBiosName要素を変更したものにする。
例:
(旧)
<DNSname>DomainDnsZones.sample-domain.co.jp</DNSname>
(新)
<DNSname>DomainDnsZones.sample-domain.co.jp.local</DNSname>
(旧)
<NetBiosName>sample-domain</NetBiosName>
(新)↓sample-domainの部分が変わっていないので特に変更しなかった。
<NetBiosName>sample-domain</NetBiosName>
(4)メモ帳を閉じる
(5)「rendom /showforest」を入力して、内容を検証する。
※操作は正常に終了しましたと表示されていることを確認する
(6)「rendom /upload」を入力してドメイン名称を変更する
(7)動作検証用のファイル「dclist.xml」を生成しているか確認する。(同じ場所にある)その中に変更前のドメイン名が書かれているか確認する
(8)FSMOの機能を担当しているサーバを確認コマンド「dsquery server -hasfsmo name」を実行する。そしてメモをしておく。
(9)「repadmin /syncall /d /e /P /q <DomainNamingMaster>」
※AD1台の場合は<DomainNamingMaster>は省略可能。DomainNamingMasterは、コンピュータのFQDNを指定する。
※例えば、インターネットに存在するドメインがAD名になっている場合は、インターネットの接続を切断してから実施するとエラーが起きない。
(10)ドメインコントローラが名前変更できるか確認するコマンド「rendom /prepare」を実行する
※エラーがないことを確認
(11)ドメイン名変更を実行する。「rendom /execute」と入力して実行する
(12)変更に成功したかチェックする。自動的に再起動がかかる。
変更に成功すると、「dclist.xml」ファイルのState要素に「Done」と書かれる
※エラーが発生したときには、このテキストが「Error」となる。
■最終設定
(1)「Active Directoryユーザーとコンピュータ」でドメイン名が認識しているのか確認する。
(2)「rendom /end」を入力し、フォレストのフリーズ状態を解除する。(作業フォルダは作業していたフォルダを指定)
※「操作は正常に終了しました。」と表示されることを確認
(3)DNSマネージャーを起動し、作成したゾーンのプロパティを開く。
「全般」タブの「変更」ボタンをクリックし「ゾーン種類」で「ActiveDirectoryにゾーンを格納する」にチェックを入れる。
それで「このゾーンをActiveDirectory統合にしますか?」とメッセージが表示されるので「はい」ボタンをクリックする。
また、「動的更新」欄を「セキュリティ保護のみ」にする。
(4)必要に応じて、グループポリシーなども確認する。
まあ、リスクと面倒さとあるのでこのような作業はご依頼いただけるとよいですね・・・。
ActiveDirectoryでパソコンのユーザー管理を行っていることが多々あると思います。
昨今、パスワードを強化せよ!ってお達しも多いかと思いますが、AD上では、一律なルールしか設定できない思っておりました。時代は進化して、WindowsServer2008から、個々のパスワードルールを設定できるようになったとのことで、ちょっと試してみました。(試したのはWindowsServer2012)
ということで~さっそく・・・。
まず何をするかというとActiveDirectory管理センターを開きます。
「ドメイン名」>「System」>「Password Settings Container」を開きます。
「新規」>「パスワードの設定」をクリックする。
上記の設定画面が表示されるのでルールを設定します。
また、ここでポイントは、「直接の適用先」を指定することができ、指定先はグループやユーザーに対して設定することができます。
これによりAさんは超厳しいルール、Bさんはあまあまなルールなど個別に設定できるので非常にシステム的には重要なポイントです。
あと、ADのグループポリシーで設定したパスワードルールなどは無視状態みたいなので運用上でどのようなポリシーを設定したかクライアント側で確認するすべが私の調べたところではわかりませんでした。
例えば「net accounts /domain」でアカウントポリシーの適用状況がクライアント側でも見ることができますが上記の設定を反映した結果は見ることができません。
それなので忘れないように設定方法を覚えておくしかないのかもしれないです。
Windows Server 2008,Windows Server 2012
※こちらで試したもの
イベントID:1988が発生する。
Active Directory ドメイン サービス レプリケーションは、ローカル ドメイン コントローラー (DC) Active Directory ドメイン サービス データベースから 削除されたオブジェクトを次のパーティションで見つけました。直接 または推移性のレプリケーション パートナーのすべてが、廃棄 (Tombstone) の有効期間が経過する前に削除でレプリケートされたわけではありません。削除されて Active Directory ドメイン サービス パーティションからガベージ コレクションされたオブジェクトで、同じドメインの 他の DC の書き込み可能パーティション、またはフォレストの他のドメインのグローバル カタログ サーバーの 読み取り専用パーティションに存在するものは、”残留オブジェクト” と 呼ばれています。
….(続く)
すべてのActiveDirectoryのドメインコントローラで
下記のレジストリキーの値を「1」→「0」に変更し、「サイトとサービス」から「今すぐレプリケーション」を実施しエラーが出なくなることを確認する。
その後、レジストリキーを元の値に戻す。
レジストリ キー:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency
