人に聞けない痔の悩み、これでスッキリ >>

同一フォレストで新規のADサーバ(ドメイン)を構築します。
既存のADサーバ(Windows Server 2003)のドメインをフォレストルートとし、
新規のADサーバ(Windows Server 2008 R2)をフォレスト内に追加するため、
スキーマの拡張を行う予定です。

具体的には、既存ADサーバ側でadprepを実行し、スキーマのバージョンを
Windows Server 2008 R2のバージョンである「47」に拡張する想定です。
この作業での影響について教えて下さい。

1.スキーマの拡張を行うと使える機能が増えるだけなので、ADサーバが上記の2台だけであれば
  拡張後の動作としては、特に問題は発生しないと考えております。この認識は正しいでしょうか?
2.既存ADサーバのフォレストに、上記2台とは別のADサーバ(Windows Server 2003)が
  既に存在しており、既存ADサーバとの間で信頼関係が結ばれているような場合、
  そのサーバでもadprepを実行する必要があるのでしょうか?
  それとも、既存ADサーバだけで実行すれば問題ないのでしょうか?
  (3台すべてをWindows Server 2008 R2のスキーマバージョンに合わせる必要があるか?)
3.2のケースで、上記2台とは別のADサーバが同一フォレストではなく、別フォレストで信頼関係が
  結ばれている場合は、そのサーバではadprepは不要という認識で正しいでしょうか?
  (上記2台は同一フォレスト、下記1台は別フォレストで信頼関係ば結ばれている場合)

以上、よろしくお願い致します。
  

このQ&Aに関連する最新のQ&A

A 回答 (1件)

1.について



拡張後に問題が発生することは無いという認識で良いと思います。(絶対的な保証ではないですが)

スキーマ拡張は機能が増えるというよりも、新機能が属性などの情報を格納する器が追加されるという認識の方がいいかもしれません。
実際に新機能を使用するにはフォレスト又はドメインの機能レベルを上げるなどすることで行います。

2.について

スキーマの影響範囲はフォレストですが、同一のフォレスト内であれば拡張されたスキーマ情報はドメインコントローラ間でちゃんとレプリケーションされますので一度だけ実行すれば良く不要です。

また、adprepはスキーママスタの役割を持つドメインコントローラ(以下、DC)で実行します。
この内容から理解頂けると思いますが、スキーママスタはフォレストに1つですのでこのDC以外での実行は有り得ません。

3.について

不要です。
先に書きましたがスキーマの影響範囲はフォレストですので、他のフォレストに影響しません。
バージョンが異なるのスキーマを持つフォレスト同士で信頼関係を結ぶ場合に、スキーマのバージョンを合わせる必要はありません。
既に信頼関係を結んでしても同じです。
    • good
    • 0
この回答へのお礼

早々にご回答頂きありがとうございました。
内容も大変わかりやすかったです。
とりあえず大丈夫そうなので安心しました。

お礼日時:2012/10/05 16:11

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q同一フォレストにADサーバが複数存在する場合の運用

既存ドメインのフォレスト内に新規ドメインを構築する形で、両ドメイン間での信頼関係を結んでいます。
両ドメインのADサーバでは、DNSのforwardersの設定で互いのADサーバのIPアドレスを登録しており、
不明な問い合わせがあった場合は相手のADサーバに問い合わせて名前解決をしています。

上記の環境での運用について、2点教えて下さい。

【質問1】
この状況で新規に追加したADサーバを停止した場合、既存ドメインから新規ドメインの名前解決が
できなくなると思いますが、それ以外には影響が出ないと考えて良いでしょうか?気にしているのは、
もともと既存ドメインで完結していた機能が使えなくなるような事態が発生しないか、という点です。

【質問2】
一般的に、上記のように同一フォレスト内に複数のADサーバがある場合、
それぞれのADサーバを単独で停止させても良いものなのでしょうか?
それとも、単独で停止させるためには別フォレストにする必要があるのでしょうか?

Aベストアンサー

まず、標準ゾーン (プライマリまたはセカンダリ) とActive Directory統合ゾーンのゾーン情報の持ち方とゾーン情報の同期について理解しないと混乱すると思います。

標準ゾーンは、BINDなどの一般的なDNSサーバと同様に、各DNSサーバの <ゾーン名>.dns
というファイルにゾーン情報を持ちます。
もちろんこのファイルはローカルファイルなので共有されません。
同期はDNSのゾーン転送要求(AXFR,IXFR)でゾーン転送をすることで同期します。

プライマリとセカンダリの違いは、ゾーン情報を変更できる側と読み取り専用のコピーを持つ側という認識で良いかと思います。

Active Directory統合ゾーンは、Active Directoryデータベースにゾーン情報を持ちこれはDCで共有の情報です。
同期はもちろんActive Directoryで行います。
Active Directory統合ゾーンでは、全てのDNSサーバがゾーン情報を変更する(できる)ので全てがプライマリになります。

>1.AD統合ゾーンによるレプリケーションを行う場合、ゾーン転送は許可しなくても良いのでしょうか?

この許可はゾーン転送要求(AXFR,IXFR)を許可するしないに影響するため、不要ということになります。
(AD統合ゾーンはレプリケーションスコープによるところになります)

>2.AD統合ゾーンによるレプリケーションを行う場合、既存DNSに登録する新規ドメインの種類は

先に書いたように、ADでは1台のプライマリに更新を全部やらせるのではなく、それぞれのDNSサーバが情報を更新して同期されるようになっています。
だから、全てプライマリです。
BINDなどで複数のプライマリで構成することも出来ますが、ADのように同期させることは出来ないです。(最近はどうかわかりません)


セカンダリを使用しない場合の問題点を一つ追加すると
例えばプライマリ1台、セカンダリ複数台の場合、プライマリの1台が故障するとゾーンの変更が出来ず単一障害点になるということもあると思います。
もちろん全てのDNSサーバがAD統合ゾーンを使用出来る前提です。

まず、標準ゾーン (プライマリまたはセカンダリ) とActive Directory統合ゾーンのゾーン情報の持ち方とゾーン情報の同期について理解しないと混乱すると思います。

標準ゾーンは、BINDなどの一般的なDNSサーバと同様に、各DNSサーバの <ゾーン名>.dns
というファイルにゾーン情報を持ちます。
もちろんこのファイルはローカルファイルなので共有されません。
同期はDNSのゾーン転送要求(AXFR,IXFR)でゾーン転送をすることで同期します。

プライマリとセカンダリの違いは、ゾーン情報を変更できる側と読み取り...続きを読む

QActiveDirectoryのリプレース作業

現在
ActiveDirectoryサーバが1台あり、ドメインを構築しております。(test.net とします。)
そのActiveDirectoryに、端末が300台つながっており、ユーザ等の一元管理をしています。

今回ADサーバが老朽化したこともあり、リプレースすることになりました。
旧ADサーバから、新ADサーバに、から利用していたユーザーアカウント情報をそのまま使えるように新ADサーバに移行したいと思っています。

どういう手順を踏んで、旧サーバのAD情報(ユーザーID)を新ADサーバに移行すればいいのでしょうか?なるべくユーザーに影響を与える範囲・手間を小さくして移行したいと考えています。

一からユーザーを新ADサーバで作り直して、300台参加しなおす。という方法しか思いつきません。
こんなことすると、色々なアプリで影響が出るとわかっているのですが…。

ご教示お願いします。

旧サーバOSは、2008Enterprise。
新サーバOSは、2008R2です。
端末は、WindowsXP、Windows7が50%ずつです。

Aベストアンサー

>一からユーザーを新ADサーバで作り直して、300台参加しなおす。という方法しか思いつきません。

これをやっちゃうとユーザーに影響でまくりですね。

ドメインコントローラ(以下、DC)の移行は大体確立された手順があります。
ちゃんとした手順で移行すればクライアント側はほとんど変更の必要はありません。
もちろんユーザーやコンピュータなどの情報もきちんと移行されます。

現在DCが1台ならば、概ねこんな手順になると思います。

・2008R2のDCを追加できるようにスキーマ拡張(OSのバージョンが異なるため)
・新サーバを追加DCとしてADに追加
・FSMOの移行
・クライアントDNSのIPアドレスを新サーバに向ける
・旧サーバの降格

注意点としては、
・新サーバもグローバルカタログにする
・新旧サーバおよびクライアントのDNSリゾルバが存在しないIPアドレスを指していないよう付け替えを注意
こんなところでしょうか。

DNSについては、クライアントの使用を止められるのであれば、新サーバを旧サーバのIPアドレスと同じアドレスになるようにすればクライアント側の変更は不要になります。
(DCとDNSが共存している場合)

詳しい手順はググると情報がいろいろ出てくると思いますので確認してみて下さい。
不明点があれば再度質問して頂ければいいでしょう。

あと一応、DCはドメインで2台以上あることが推奨になっています。
もしDCが一台だけならばこれを機会に2台になるよう検討してみてはいかがでしょうか。

>一からユーザーを新ADサーバで作り直して、300台参加しなおす。という方法しか思いつきません。

これをやっちゃうとユーザーに影響でまくりですね。

ドメインコントローラ(以下、DC)の移行は大体確立された手順があります。
ちゃんとした手順で移行すればクライアント側はほとんど変更の必要はありません。
もちろんユーザーやコンピュータなどの情報もきちんと移行されます。

現在DCが1台ならば、概ねこんな手順になると思います。

・2008R2のDCを追加できるようにスキーマ拡張(OSのバージョンが異なる...続きを読む

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

QADのDC移行の手順を教えてください

はじめまして。
現在WindowsServer2000をDCししてADを構築しております。
ユーザー数は役250規模です。
最近ADの挙動がおかしく(サーバー名でpingは通るが\\サーバー名では接続ができないなど)他のサーバーは2003なのにADだけ2000だったり、ハード自体ももうそろそろヤバめなので、新DC(WindowsServer2003R2)への移行を計画しております。

いろいろ調べた結果、新DCをドメインにメンバサーバーとして参加させ、DCへの昇格をするのがいいらしいまではわかりました。

しかし、具体的名手順が不明だったり気になる点がなんてんかあるので、専門家や熟練者のアドバイスをいただきたいのです。

構成:
 1.IPアドレス構成
  サーバー:192.168.31.0
  ユーザ:192.168.1.0
  ルーター:192.168.31.1 192.168.1.1
  AD(DC)兼DNS:192.168.31.2
  新DC予定サーバー:192.168.31.10(ADに参加済)

質問1:DC昇格への具体的な手順をわかりやすく教えてください。

質問2:現在ユーザーのIP設定でDNSを192.168.31.2になっております。
新サーバーをDCに昇格し終えた後ユーザーのDNSを全て192.168.31.10に変えなければならないのでしょうか?
あるいは新サーバーをDCに昇格したのち、旧DCを外してしまい新DCのIPアドレスを192.168.31.2にしてもいいのでしょうか?

よろしくお願いいたします。

はじめまして。
現在WindowsServer2000をDCししてADを構築しております。
ユーザー数は役250規模です。
最近ADの挙動がおかしく(サーバー名でpingは通るが\\サーバー名では接続ができないなど)他のサーバーは2003なのにADだけ2000だったり、ハード自体ももうそろそろヤバめなので、新DC(WindowsServer2003R2)への移行を計画しております。

いろいろ調べた結果、新DCをドメインにメンバサーバーとして参加させ、DCへの昇格をするのがいいらしいまではわかりました。

しかし、具体的名手順が不明だった...続きを読む

Aベストアンサー

ああ、やはり降格させないで撤去したDCがあったようでその亡霊の仕業ですね。

的確にアドバイスできずに随分遠回りさせてしまいました申し訳ありませんでした、

で、
>認証関連は旧2000ではなく2003のIPを見に行ってるように見受けられます。

旧2000の方のネットワークケーブルを抜いたままで問題なければそのとおりです。

>2003→2003R2はとくになにもないですよね?

むしろIPアドレスとFQDNが旧2000と同じにしやすいですよね。
今の2003の方が移行中間サーバーとして動くのでやりやすいですよね。

2003→2003のスキーマ拡張は必要ないはずですので。
adprep/forestadprep  adprep/domeinadprep
は実行しなくてもOKでしょう。

単にメンバーサーバーからdcpromo.exeでいけるはずです。
ただし、DC昇格じにDNSは同時にインストールしない方が良いです。
DCに昇格したら跡からDNSをインストールしてください。

Win2000SRV撤去時は降格してDC上のDNSに反映させてから(普通はDC上でdcpromoで降格させればOK)撤去してください。

うまくいくことを祈ります、

ああ、やはり降格させないで撤去したDCがあったようでその亡霊の仕業ですね。

的確にアドバイスできずに随分遠回りさせてしまいました申し訳ありませんでした、

で、
>認証関連は旧2000ではなく2003のIPを見に行ってるように見受けられます。

旧2000の方のネットワークケーブルを抜いたままで問題なければそのとおりです。

>2003→2003R2はとくになにもないですよね?

むしろIPアドレスとFQDNが旧2000と同じにしやすいですよね。
今の2003の方が移行中間サーバーとして動くのでやりやすいですよ...続きを読む

Qドメインの一般ユーザーにローカルの管理者権限を付与したい

ドメインの一般ユーザーにローカルコンピューターの管理者権限を付与する方法を教えてください。ドメイン管理者のパスワードは知っています。

Aベストアンサー

Windows XPと仮定して。
1.ローカルコンピューターにドメイン管理者のアカウントでログオン。
2.「マイコンピュータ」を右クリック⇒「管理」
3.「コンピュータの管理」画面⇒「システムツール」⇒「ローカルユーザーとグループ」⇒「グループ」
4.「Administrators」を右クリック⇒「グループに追加」
5.ドメインの特定のユーザー(あるいは、Domain Users)を追加
でできるはずです。

QAuthenticated Userって何ですか?

Windows系サーバにあるAuthenticated Userって何ですか?
ネットで調べてもいまいちよく理解できません。
わかりやすく説明してくれる方がいらっしゃいましたらお願いします。

Aベストアンサー

ドメインに参加することを許可されたユーザ。
(ドメインにアカウントのあるユーザ)
ローカルで言えば一般ユーザ(User)と変わりないです。

QAdministratorsとDomain Adminsの違い

ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。

権限など違いがわかりません。
どのような用途でそれぞれ使いわけるのでしょうか?

よろしくお願いします。

Aベストアンサー

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators は無視しても構わない。(と思う)
なぜなら Domain Admins に所属していれば自動的にローカルの Administrators にも所属しているから。
仮に個人名をつけた "admin-hoge" というユーザーを AD 上に作成し、これを Domain Admins に所属させたとしても、やはり自動的に DC 上の Administorators に所属するため、Administrators グループは意味を持たなくなる。

AD に所属するクライアント上で言えば、
クライアント ローカルの Administrators グループはそのクライアントの管理権限しか持たず、他のクライアントの管理権限は持たない。
ただし AD に所属している以上、クライアント ローカルの Administrators グループには Domain Admins グループも含まれるため、Domain Admins に含まれるユーザーはその AD に所属するすべてのクライアント上で管理権限を持つことになる。


じゃぁクライアントでも Administrators グループは無用なものなのかというとそうではない。

「個人に貸与したクライアントは、その個人にもクライアントの管理権限を与える」 というルールで運用するならば(一般従業員には推奨できるものではないが)、PC-A のローカル Administrators グループに AD 上の hoge ユーザーを加えることで、 hoge さんは PC-A の管理権限を持たせられる。(他の PC の管理権限は持たない)

AD 上の hoge ユーザーを Domain Admins に所属させれば、hoge さんは AD 上の全ての PC で管理権限を持つ。

また、PC-A のローカルに admin-hoge というユーザーを作り、それを PC-A の Administrators に所属させれば、PC-A にしかログインできない管理権限ユーザーということになる。

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators...続きを読む

Q起動しているサービスを確認するコマンド

初歩的な質問で恐縮ですが、ご教示いただけますと幸いです。

起動しているサービスを確認するために以下の2つのコマンドを打ってみるのですが、結果(出て来るサービス名)が違います。
このコマンドの違いについてご教示いただけますでしょうか。

(1)service --status-all
(2)chkconfig --list

Aベストアンサー

(1)service --status-all

サービスの現在のステータスを調べるコマンド

(2)chkconfig --list

OSのブート時に自動起動するサービスを調べるコマンド

違いが出るのは、
・ブート後に手動あるいは他のコマンドから起動したサービス
・ブート後に手動あるいは他のコマンドから、あるいはエラーで停止したサービス
・ブート後に実行はされるがすぐに停止して常駐しないサービス (ntpdate とか)

あるいは、(1)ではサービス名が表示されない物もあるので、どのサービスがどんなステータス出力をするのか知っておく必要もありますね。(service network statusとか)

Qバッチ処理でファイルの中身を変数に入れるやり方

あるファイルの中には1行の文字列があります。
このファイルをバッチで読み取り、変数に設定したいです。

例:
test.txt
abcacbacbacbacbacbacbacbacb

test,bat
set DATA=[test.txtを読み込んだ値]

よろしくお願い致します。

Aベストアンサー

これですね。

参考URL:http://www.upken.jp/kb/dqvgHNRUxwFDkmtoqEwfXHUjDrevNv.html

Qドメイン再参加時に、エラー:アクセスが拒否されました。

---------------------------
コンピューター名/ドメイン名の変更
---------------------------
参加の操作を正しく完了できませんでした。
これは、既存の "PC名" という名前のコンピューター アカウントが以前、別の資格情報で作成された可能性があります。
別のコンピューター名を使うか、管理者に連絡して、競合を発生している無効なアカウントを削除してもらってください。

エラー:アクセスが拒否されました。
---------------------------
OK
---------------------------

ドメイン再参加時に上記エラーメッセージが表示されます。

ADサーバ上にコンピューターオブジェクトが残っているのが原因かと思いますが、
ADサーバ上からコンピューターオブジェクトを削除し、ドメイン参加した場合、
パソコン内の個人用フォルダ(C:\Users\ドメインユーザー名のフォルダ)は削除・再作成されますか?

それともパソコン内の個人用フォルダを元に、コンピューターオブジェクトが作成されますか?


よろしくお願いします。

---------------------------
コンピューター名/ドメイン名の変更
---------------------------
参加の操作を正しく完了できませんでした。
これは、既存の "PC名" という名前のコンピューター アカウントが以前、別の資格情報で作成された可能性があります。
別のコンピューター名を使うか、管理者に連絡して、競合を発生している無効なアカウントを削除してもらってください。

エラー:アクセスが拒否されました。
---------------------------
OK
---------------------------

ドメイン再参加...続きを読む

Aベストアンサー

> パソコン内の個人用フォルダ(C:\Users\ドメインユーザー名のフォルダ)は削除・再作成されますか?

削除も再作成もされず、そのまま残ります。

ワークグループで使用している PC に、その PC のローカルに作成したアカウントでログオンしているのでしょうかね。
この PC を Active Directory に参加させたとします。
AD 参加後、従来と同様に PC のローカルに作成されているユーザー アカウントでログオンした場合は以前の環境を引き続き使用できます。

AD 参加後、AD で管理されているユーザー アカウントでログオンした場合は新規にユーザー プロファイルが作成されます。
(その AD のユーザー アカウントで今まで一度もこの PC にログオンしたことが無い場合は)

AD で管理されているユーザー アカウントの名前が偶然にもローカルで使っていたユーザー アカウントの名前と同じだった場合も新規にユーザー プロファイルが作成されます。
ユーザー アカウントの名前が同じでも別のアカウントとして識別されるからです。

AD 参加後は AD のユーザー アカウントで日常的なログオンをするのであれば、今まで使っていたユーザー アカウント用のユーザー プロファイルから必要な物を引っ越してくる必要があります。

> パソコン内の個人用フォルダ(C:\Users\ドメインユーザー名のフォルダ)は削除・再作成されますか?

削除も再作成もされず、そのまま残ります。

ワークグループで使用している PC に、その PC のローカルに作成したアカウントでログオンしているのでしょうかね。
この PC を Active Directory に参加させたとします。
AD 参加後、従来と同様に PC のローカルに作成されているユーザー アカウントでログオンした場合は以前の環境を引き続き使用できます。

AD 参加後、AD で管理されているユーザー ア...続きを読む


人気Q&Aランキング

おすすめ情報