参考書
ひと目でわかるMicrosoft Active Directory (マイクロソフト公式解説書) (単行本)  これはマイクロソフトから貰った。
Microsoft Windows Server 2003 リソースキット 導入編3 [Active Directory]【CD-ROM付】 (マイクロソフト公式解説書) (単行本)  これは買ったw
Active Directory (ペーパーバック) 
Active Directory Cookbook (Cookbooks) (ペーパーバック) 
Windows Server 2003 Technology Active Directory 障害対策ガイド (単行本) 

Active Directory (AD) TechCenter
http://technet.microsoft.com/ja-jp/activedirectory/default.aspx
がオープンしました。
Active Directory 関連ドキュメント
FSMO 配置と Active Directory のドメイン コント ローラーの最適化
Windows サーバー システムのサービス概要およびネットワーク ポート要件
[攻撃手法]標的型攻撃はこう動く、AD悪用で同一ドメインを制圧 - 頻発する標的型攻撃に備えよ:ITpro



TOP メモ全般 DNS と ActiveDirectory 関連(ここ) Windows Server 2003 SP1 関連 リモートデスクトップ 関連 WSC 関連 SMTP 送信関連 IIS 関連 ASP 関連
NSLOOKUP の主要なオプション オプション   意味 help      ヘルプを表示する。NSLOOKUPユーティリティで使用可能なオプションの一覧が表示される server NAME  使用するDNSサーバーをNAMEで指定されたDNSサーバーに変更する。 lserver NAME  server の場合はその時点で選択されているDNSサーバーを検索し         lserver の場合は TCP/IP のプロパティで指定されている DNS サーバーを検索する。 ls ZONE    ZONEで指定されたゾーンの情報を表示する。         lsコマンドでゾーン情報を表示する場合、DNSサーバーからnslookupコマンドを実行したクライアントへとゾーン転送されることになる。         ゾーン転送を許可していないDNSサーバーに対してlsコマンドを実行した場合は拒否される。         具体的には、“ls active.dsl.local”のように用いる。         lsコマンドにはオプションが用意されており、表示するリソースレコードを制御するために利用される。          オプション 意味          -a      CNAMEとエイリアスのみを表示する          -d      すべてのリソースレコードを表示する          -t      TYPE TYPEで指定されたリソースレコードのみを表示する set debug   デバッグ情報を表示する。d2は「デバッグレベル2」を意味しておりより詳細なデバッグ情報を表示できるようになる。 set d2     デバッグ情報には,DNSサーバーとのやり取りが含まれている為、DNSの問題を解決するときによく利用される set timeout=X タイムアウト時間をX秒に指定する set type=X   照会するリソースレコードのタイプをXに指定する。Xには,A,PTR,SRV,MX,NSなどを指定できる set querytype=X DNS設定の確認 nslookup > set type=all > server ns.netdive.jp Server: ns.netdive.jp Address: 61.194.16.122 > netdive.jp. 《 最後にドットを忘れずに(無くても動きます) 情報がずらずらと・・・ > ls -t netdive.jp. 《 最後にドットを忘れずに(無くても動きます) 情報がずらずらと・・・ > exit nslookup コマンドを使ってドメイン コントローラの DNS 登録を確認する nslookup(2)――メール・サーバーも探せる BIND のバージョンを調べるには ※動作は未確認 > set type=txt > set class=chaos > version.bind      コマンドからだと   nslookup -type=txt -class=chaos version.bind サーバー名 NBLookup.exe コマンド ライン ツール (Microsoft)
Windows 2000 Server、Windows Server 2003 での DNS クライアント設定の最適な構成  ●ドメイン コントローラが DNS サーバーとしても機能する場合   ・設定したサーバーの IP アドレスを参照するように DNS クライアント設定を構成し、これ以外の DNS サーバーを指定しない。   ・ドメイン コントローラの DNS クライアント設定を、プロバイダの DNS サーバーを参照するように構成しない。    ※設定してしまうと Netlogon サービスが Active Directory ディレクトリ サービスの正しいレコードを登録しなくなるため     自身のレコードを自身の DNS サーバーに登録する必要がある。     ・外部 DNS 要求を転送するには、DNS 管理コンソールで、ISP の DNS サーバーを DNS フォワーダとして追加する。     ・フォワーダを構成しない場合は、デフォルトのルート ヒント サーバーが使用される。     ・内部 DNS サーバーからインターネット上の DNS サーバーに転送するには、DNS 管理コンソールの [前方参照ゾーン] フォルダで、ルート "." (ドット) ゾーンを削除する      ※ルートゾーンが存在しているとフォワーダの設定が出来ません      [HOWTO] ルート ゾーン (ドット ゾーン) を削除する方法      ルート ヒントを削除しても再び表示される      ルート"."ゾーンでのドメインを委任するために、委任ウィザードを使用することができません。   ・DNS をホストするドメイン コントローラに、ネットワーク アダプタが複数装着されている場合は、DNS 名前登録のためにアダプタの 1 つを無効にする。    RRASとDNSがインストールされたDCでの名前解決と接続の問題   ネットワークのプロパティから   ・[DNS サーバー アドレス (使用順)] ボックスに、推奨される DNS サーバーのアドレスを追加。   ・[不適切な名前の解決に使用するオプションを選択してください。以下の設定は TCP/IP が使用可能になっている接続すべてに適用されます]    から[以下の DNS サフィックスを順に追加する] に設定した場合は、Active Directory の DNS ドメイン名をリストの最初 (先頭) に置く。   ・[この接続の DNS サフィックス] ボックスの設定が Active Directory のドメイン名と同じことを確認。   ・[この接続のアドレスを DNS に登録する] チェック ボックスを「オン」に。   DNS クライアント設定を変更する場合    DNS リゾルバ キャッシュを消去して DNS リソース レコードを登録する    DNS リゾルバ キャッシュを消去 ipconfig /flushdns    DNS リソース レコードを登録  ipconfig /registerdns   ・DNS データベース内の DNS レコードが正しいことを確認。    DNS 管理コンソールから、コンピュータ名のホスト レコード調べる。    ※"A" レコード、SOA (Start of Authority) レコード、ドメイン コントローラを指すネーム サーバー (NS) レコード ・DNS がインストールされていないドメイン コントローラ ・Windows 2000 Server メンバ サーバーおよび Windows Server 2003 メンバ サーバー ・ドメインに所属していない Windows 2000 Server および Windows Server 2003 は以下を参考 Windows 2000 Server および Windows Server 2003 における最適な DNS クライアント設定 Windows Server 2003 の DNS サーバー ログにイベント ID 4515 が記録される   DNS キャッシュ・ポイズニング攻撃(DNSサーバーの情報を勝手に書き換える攻撃)」の対策   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters   値の名前 : SecureResponses   データ型 : REG_DWORD   値    : 1(悪質なデータを削除します)   ※デフォルトでは、このキーは存在しないため、応答から悪質なデータが削除されません。 DNS キャッシュ破壊の防止策 DNS サーバーの [Pollution に対してセキュリティでキャッシュを保護する] 設定について Windows 2000 および Windows Server 2003 の DNS に関してよく寄せられる質問 Windows Server 2003 で Web サイトの DNS レコードを構成する方法 Windows XP および Windows Server 2003 でクライアント側の DNS キャッシュを無効にする方法 Windows でクライアント側の DNS キャッシュを無効にする方法 マイクロソフト セキュリティ アドバイザリ (935964) Windows DNS サーバー の RPC の脆弱性により、リモートでコードが実行される   対策    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters    値の名前 : RpcProtocol    データ型 : REG_DWORD    値    : 4         DNS_RPC_USE_TCPIP 0x1         DNS_RPC_USE_NAMED_PIPE 0x2         DNS_RPC_USE_LPC 0x4         値を「0」に設定すると、すべての DNS PRC が無効になる。         副作用         RPC を使用した DNS サーバーの機能のリモート管理は無効になります。    もしくは     ポート情報の送信を要求していないすべての受信トラフィック (1024 から 5000)をフィルタする。     ※ TCP/UDP 139 および 445 ポートもブロックする必要がある事が追加されました。      MS07-029 適用後は RPC が割り当てられたバッファにメッセージを渡す前の検証方法が変更されたので      このレジストリキーを削除しても問題ありません。 Web プロキシ自動発見 (WPAD) の脆弱性により情報漏えいが起こる  例えば、netdive.jp だった場合、WPAD サーバを探しているうちに .jp には WPAD.jp(実在)を参照してプロキシ・サーバを見つけてしまい  その結果、中間者攻撃によって通信内容を盗聴されたり、なりすましによる攻撃を受けたりする可能性があるんだそうです。  対策    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters    値の名前 : UseDomainNameDevolution    データ型 : REG_DWORD    値    : 0(デフォルト 1)    http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93802.mspx  または、IE の LAN の設定の自動構成から「設定を自動的に検出する」を無効にする。  または、DNS の検索サフィックス・リストを定義する http://www.atmarkit.co.jp/fwin2k/win2ktips/398dnssuffix/dnssuffix.html DNS の更新プログラムのインストール後のクライアント コンピューターにおける動作    プライマリ DNS サフィックスのデボルブ レベル    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters    DomainNameDevolutionLevel    データ型 : REG_DWORD    値    : 3(デフォルト 2)          デボルブの際に最低 3 つのラベルのプライマリ DNS サフィックスが追加されることが保証されます。          設定は 2 以上の値。(2 〜 50)    The Cable Guy: Windows 7 と Windows Server 2008 R2 の DNS クライアント サービスで行われた変更    http://technet.microsoft.com/ja-jp/magazine/ff679956.aspx 「知らない間にサイトが“乗っ取られる”」、ドメイン名期限切れに注意 http://www.nikkeibp.co.jp/news/it06q2/501544/ http://www.cyberpolice.go.jp/ のシステム/ネットワーク管理者→セキュリティ講座に 『DNS編』が追加されています。 新手の Dos 攻撃について 細工された DNS に再帰的問い合わせを送信させることで、リモートの攻撃者にDos攻撃を実行される恐れがあるようです。  猛威を振るう新種のDoS攻撃--ダメージは従来よりはるかに深刻  http://japan.cnet.com/news/sec/story/0,2000050480,20098827,00.htm Windows DNS もこの影響を受けるようです。危険度は低いようですが… 回避するには、再帰的問い合わせを無効にする。 ※この設定をすると、DNS に書かれているドメイン以外は引けなくなりますので、参照している DNS をまず確認しましょう。。。 JPCERT/CC が注意喚起出しましたね。   DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起   http://www.jpcert.or.jp/at/2006/at060004.txt   ▼攻撃の踏み台とならないために Windows DNS サービス編   Windows の DNS サーバである、Windows DNS サービスは、単体ではアクセス   を制限する機能はありません。またコンテンツサーバとキャッシュサーバの機   能が兼用となっています。このため、キャッシュサーバにアクセス制限を行う   には、2 台のサーバを使い、キャッシュサーバとコンテンツサーバを物理的に   分離し、キャッシュサーバ側にのみルータ等の外部の機器によるアクセス制限   を施す必要があります。   Windows DNS サービスで、コンテンツ専用サーバとするには、DNS コンソール   のプロパティを選びます。詳細タブに「再帰を無効にする」というチェックボッ   クスがあるので、ここを選択すると、コンテンツ専用サーバになります。    ネームサーバの3つの働きとは    http://www.atmarkit.co.jp/fnetwork/dnstips/005.html DNSの再帰的な問い合わせを悪用したDDoS攻撃手法の検証について(@police) http://www.cyberpolice.go.jp/detect/pdf/20060711_DNS-DDoS.pdf  DNS介したDDoS攻撃はデータを40倍に増幅――警察庁が検証  http://www.itmedia.co.jp/enterprise/articles/0607/12/news055.html ネットのドメインの85%は乗っ取り攻撃から逃れられない http://slashdot.jp/security/article.pl?sid=06/04/29/0835235 DNS製品の一部に脆弱性──研究機関がテスト・ツールを提供 http://www.computerworld.jp/news/sec/38401.html DNS Ampの脅威 http://itpro.nikkeibp.co.jp/article/COLUMN/20060905/247220/?ST=print 意外と知られていない? DNSが抱えるセキュリティ問題 http://www.itmedia.co.jp/enterprise/articles/0612/11/news035.html  http://jprs.jp/tech/material/IW2006-DNS-DAY-JPDNS.pdf  http://jprs.jp/tech/material/iw2006-DNS-DAY-minda-03.pdf DNSサーバーは絶対に信頼できるのか http://itpro.nikkeibp.co.jp/article/COLUMN/20071024/285311/ 新たに新手法の毒入れが公開されています。 DNSキャッシュポイズニング、各ネームサーバの対応が話題に http://www.itmedia.co.jp/enterprise/articles/0807/26/news009.html  DNSの危機に対応を! 〜キャッシュ毒入れ新手法 Kaminsky Poisoning 〜  https://www.tokai-ic.or.jp/kaminsky.html DNS発明者のモカペトリス氏、DNSセキュリティの強化訴える http://internet.watch.impress.co.jp/cda/news/2008/08/29/20707.html DNSキャッシュ・ポイズニングとNAT機能 http://itpro.nikkeibp.co.jp/article/COLUMN/20080826/313472/ 新たなるDNSキャッシュポイズニングの脅威〜カミンスキー・アタックの出現〜 http://jpinfo.jp/topics-column/009.pdf 情報処理推進機構:情報セキュリティ:脆弱性対策:DNSキャッシュポイズニングの脆弱性に関する注意喚起 http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html 前編 カミンスキー氏が発表したDNSアタック手法と対策例 http://www.atmarkit.co.jp/fsecurity/special/130dnspoisoning1/dnspoisoning01.html DNSキャッシュ汚染問題にみる脆弱性の公開と対処 (1/2) http://www.itmedia.co.jp/enterprise/articles/0810/14/news010.html DNSサーバの25%は「キャッシュ・ポイズニング攻撃」にいまだ未対応 http://www.computerworld.jp/topics/vs/126869.html DNSサーバの脆弱性に関する再度の注意喚起 http://www.ipa.go.jp/security/vuln/documents/2008/200812_DNS.html    DNS の SocketPool ランダム化機能    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters    値の名前 : SocketPoolSize    データ型 : REG_DWORD    値    : 10(デフォルト 2500)          TCPView や netstat -a で競合しているポートの確認がしやすいよう一時的に・・・          設定後、DNS サービスを再起動。          DNS の脆弱性により、なりすましが行われる          http://support.microsoft.com/kb/953230/    ephemeral ポートに割り当て可能な最大ポート数    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters    値の名前 : MaxUserPort http://technet.microsoft.com/ja-jp/library/cc938196(en-us).aspx    データ型 : REG_DWORD    値    : 60000 (デフォルト 5000)Exchange Server 2003 はこの既定値が 60000 になる          このレジストリ エントリの値が設定されている場合 [1024 - MaxUserPort] の範囲からランダムに割り当てられる。          値が設定されていない場合ポートは [49152 - 65535] の範囲からランダムに割り当てられる。    ephemeral ポートの範囲を予約    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters    値の名前 : ReservedPorts    データ型 : REG_MULTI_SZ    値    : ポートの範囲はxxxx-yyyyの形式で入力。          ポート 50000 を指定するのには、50000-50000 と入力。         Windows Server 2003 または Windows 2000 Server を実行しているコンピューター上の ephemeral ポートの範囲を予約する方法         http://support.microsoft.com/kb/812873/    ポートを制限することによるリスク    特に TTL が短い場合にキャッシュ汚染の影響を受けやすくなる。(と思うが、、、対策されたんだっけか?) プロバイダが提供している DNS も未対策の場合、ネットに突然繋がらなくなったりしますので そういう現象が出ている場合は、ルータか DNS 周りを疑うと解決への早道かも。  ついでに ARP 周りも確認した方がいいかもね。(メモ帳にも書いてますけど)  Default Gateway に ping した後に arp -a で type が dynamic になっている場合は arp -s で static に。  詳しくは「ARPスプーフィング」をキーに検索。 特集 インターネット「常時」接続計画第6回 DNSサーバの設定と確認 (@IT) クラスC未満での逆引き設定は下記参考 逆引きの仕組みと逆引きDNSの運用(@IT) DNS Tips(@IT) DNS を構成するうえでの注意点   ・ MX レコードの値は CNAME で登録しない。(A 、場合によっては IP 直接で設定)RFC1912,RFC2181   ・ NS レコードの値は CNAME で登録しない。(A 、場合によっては IP 直接で設定)   ・上位で登録されている NS と自分の NS に差異がないように。(自分のところだけ勝手に NS を変えない) ちなみにメール関係でトラブルが起きた場合 DNS が絡んでいる事が多いです。 DNS(上位含め) が停止、もしくはファイアウォール、MX 記述ミスなど。 (緊急)Windows DNSサーバーの脆弱性を利用した攻撃について http://jprs.jp/tech/security/2011-08-11-msdns-vuln-naptr-remote-code.html その他、関連資料 DNS 設計時の推奨事項  Active Directory 用の DNS サーバーを構成するには  DNS  DNS での NetBIOS 名の解決を無効にする方法  Windows NT、Windows 2000、または Windows Server 2003 でサブネット化された逆引き参照ゾーンを構成する方法  Windows 2000 および Windows Server 2003 で DNS 更新を有効/無効にする方法  Netlogon イベント 5774、5775、5781 のトラブルシューティング  Windows Server 2003、Windows XP、および Windows 2000 に必要な信頼されたルート証明書  単一ラベル DNS 名のドメイン用に Windows を構成する  Windows Server 2003 DNS の条件付き転送  前方参照ゾーンにドメイン サブフォルダが不足している  [HOWTO] Windows Server 2003 でインターネット アクセス用に DNS を構成する方法  現在のプライマリ DNS サーバーを新しいプライマリ Windows Server 2003 DNS サーバーに置き換える方法  Active Directory が有効な Windows Server 2003 で、既存の DNS インフラストラクチャに DNS を統合する  ワイルドカード文字を使用した MX レコードが存在する場合、GUID レコードが登録されない  運用環境で Microsoft DNS server は、利点。  TCP と UDP で DNS または他のサービスが機能します。  Windows Server 2003 で DNS 動的更新を構成する方法  クライアントが DNS レコードを単一ラベルの前方参照ゾーンに動的に登録できない  Windows Server 2003 で外部 DNS クエリの実行時にエラー メッセージが表示されることがある  Windows Server 2003 の DNS サーバー ログにイベント ID 4515 が記録される  Windows Server 2003 および Windows 2000 Server で DNS エイリアス (CNAME) レコードを使用してプリント サーバーを統合する方法  Windows Server 2003 を実行している DNS サーバーで、DNS サービスのゾーンの一部が読み込まれない  Windows Server 2003 を実行しているそして動的な更新をサポートする DNS サーバーを使用する場合、一部のアプリケーションは正しく機能しません。  Windows Server 2003 DNS サーバーに、EnableDirectoryPartitions レジストリ エントリを 0 に設定した後 DNS 清掃失敗のイベント ID 2502 がログに記録される。  Windows Server 2003 ベースのDNS サーバーがホスト名を最初に正常に解決します。ただし、それ以降のクエリで名前の解決に次に失敗します。  A primary DNS zone file may not transfer to the secondary DNS servers in Windows Server 2008  DNS レコードは、BIND DNS サーバーから Windows Server 2003 SP2 ベースの DNS サーバーに転送される DNS データの破損が発生します。  高負荷状況で Windows Server 2008 R2 で、DNS サーバー サービスのパフォーマンスを小さくすると維持  しばらくの間では、Windows Server 2008 R2 の機能と DNS サーバー サービスによって外部の DNS 名が解決しません。  スナップインで、DNS 管理コンソールの Windows Server 2008 R2 の [ネーム サーバー] タブを編集するときに応答が停止します。  DNS セカンダリ ゾーンの "状態" が「ゾーンが読み込まれていない」と表示される  "には EDNS を使用できる転送する DNS サーバーにクエリを送信し、クエリを使用して WINS 参照では、Windows Server 2008 R2 の転送解決と名前エラー 3」エラー メッセージ RFC4033: DNSセキュリティ拡張の紹介とその要件 RFC4034: DNSセキュリティ拡張で使用するリソースレコード RFC4035: DNSセキュリティ拡張のためのプロトコル修正 DNS ソフトウェアアップデート情報 JPRSがDNSサーバの不適切な管理による危険性解消のための取り組みを開始  JPRS、DNSの更新間隔を15分に変更?ドメイン登録から約15分で利用が可能に  JP DNSの設定・構成変更について ドメインサーチオーダーと IPv6  Microsoft Windows - IPv6  Internet Protocol Version 6  Configuring Microsoft Research IPv6  Configuring 6to4 Connectivity with Microsoft Research IPv6  http://download.microsoft.com/download/7/d/f/7df2b3c5-e3da-4172-be2f-9c2e47b9c52a/IPv6RFCs.doc   DNSの仕組みの基本を理解しよう DNSの仕組みと運用(1)   http://www.atmarkit.co.jp/fnetwork/rensai/dns01/dns01.html   telnetでWebサーバに接続してみよう   http://www.atmarkit.co.jp/fnetwork/rensai/tcp01/01.html   TCPの迷宮をさまよってみませんか?   http://www.atmarkit.co.jp/fnetwork/rensai/tcp08/01.html   Webページを見せるまでのパケット君の冒険   http://www.atmarkit.co.jp/fnetwork/rensai/tcp18/01.html   DNSの逆引きゾーンを定義する(イントラネット編)   http://www.atmarkit.co.jp/fwin2k/win2ktips/736dnsptr/dnsptr.html   Microsoft DNSサーバを単独でバックアップするには   http://techtarget.itmedia.co.jp/tt/news/0805/27/news02.html Windows NT、Windows 2000、または Windows Server 2003 でサブネット化された逆引き参照ゾーンを構成する方法 http://support.microsoft.com/kb/174419/ja Active Directory用のDNSレコードを強制的に作成する方法 http://www.atmarkit.co.jp/fwin2k/win2ktips/299addns/addns.html 日本DNSオペレーターズグループ http://dnsops.jp/ JPNIC http://www.nic.ad.jp/ JP DNS Web Page http://www.dns.jp/index-j.html DNS の設定を確認できるサイト。 http://member.dnsstuff.com/pages/dnsreport.php 和訳 http://www.windowslivetranslator.com/BV.aspx?&MKT=ja#http://member.dnsstuff.com/pages/dnsreport.php L.root-servers.net の IP アドレス変更に伴う設定変更について http://jprs.jp/tech/notice/2007-11-02-l.root-servers.net.html 第1回 ヘルスチェックしてる? 怠ってはならないDNSのケア http://www.atmarkit.co.jp/fsecurity/rensai/corenet01/corenet01.html Microsoft Windows での DNS のなりすましによる情報漏えい http://www.isskk.co.jp/support/techinfo/general/ms_dns_278.html BIND採用が進むDNSサーバー,ただし多くが攻撃されやすい誤設定 http://itpro.nikkeibp.co.jp/article/Research/20071121/287728/ 第5回 DNS、管理者として見るか? 攻撃者として見るか? http://www.atmarkit.co.jp/fsecurity/rensai/view05/view01.html DNSベストプラクティスとは「隠す」そして「重ねる」 http://www.atmarkit.co.jp/fsecurity/rensai/corenet02/corenet01.html AWS、クラウドベースのDNSサービス「Amazon Route 53」発表 http://www.atmarkit.co.jp/news/201012/06/route53.html 逆引きネームサーバの適切な設定についてのお願い http://www.nic.ad.jp/ja/topics/2008/20080422-03.html |2008年7月1日(火)より、lame delegation の状態にある逆引きネームサーバの通知と委任停止を実施いたします。 |今回実施する内容につきましては、以下のURLをご参照ください。 DNSキャッシュポイズニング対策 http://www.ipa.go.jp/security/vuln/DNS_security.html JPドメイン名サービスへのDNSSECの導入予定について http://jprs.jp/info/notice/20090709-dnssec.html DNSSECの導入・普及へ、「DNSSECジャパン」設立 http://internet.watch.impress.co.jp/docs/news/20091125_331241.html  DNS の新機能  http://technet.microsoft.com/ja-jp/library/dd378952(WS.10).aspx 見直しを迫られるDNSの運用 http://itpro.nikkeibp.co.jp/article/Watcher/20100302/345260/ Windows client and server operating system compatibility with DNSSEC enabled root servers http://support.microsoft.com/kb/2028240 DNSSEC導入の負荷実験データに大きな関心、海底ケーブル埋設&修理ネタも http://internet.watch.impress.co.jp/docs/event/janog26/20100714_380523.html DNSSECがルートゾーンで正式稼働、普及に弾み http://itpro.nikkeibp.co.jp/article/NEWS/20100716/350404/ 最近のDNSSECの動向 http://www.netagent-blog.jp/archives/51489071.html 第2回 DNSSECの役割と動作の概要 http://www.atmarkit.co.jp/fnetwork/rensai/dnssec02/02.html ※ iOS4 では .local が付いたドメインは引けないようです。これから AD 構築するような場合はご注意を。   http://support.apple.com/kb/TS3389?viewlocale=ja_JP&locale=ja_JP JP DNSのDNS応答におけるIPアドレス出力条件変更のお知らせ http://jprs.jp/info/notice/20100712-arecord-1.html ICANN、ルートゾーンにおけるDNSSECの正式運用を開始 http://internet.watch.impress.co.jp/docs/news/20100716_381342.html JPRSがルートゾーンへのDSレコードの登録を申請、JPゾーンをDNSSECで検証可能に http://itpro.nikkeibp.co.jp/article/NEWS/20101206/354931/ DNSSEC運用ノウハウ (第2版) http://jprs.jp/tech/material/id/draft-ietf-dnsop-rfc4641bis-04-ja.txt 【レポート】サイトの40%、DNSの設定にエラーあり http://journal.mycom.co.jp/articles/2010/09/16/dns-health-test/ そのDNSの応答、本当に正しいものですか? 「.jp」でも正式導入、DNSSECの仕組みと意義<前編> http://internet.watch.impress.co.jp/docs/special/20101006_398080.html あなたのキャッシュDNSサーバー、DNSSECしてますか? 「.jp」でも正式導入、DNSSECの仕組みと意義<後編> http://internet.watch.impress.co.jp/docs/special/20101007_398082.html .jpゾーンへの署名鍵(DSレコード)登録受け付け、公開開始 http://dnssec.jp/?p=423 ドメイン名やDNSの解説コラム No.18 運用者から見たDNSSECと従来のDNSの違い〜運用上特に注意が必要なポイント〜 http://jpinfo.jp/topics-column/018.pdf 第1回 脅かされるDNSの安全性 http://www.atmarkit.co.jp/fnetwork/rensai/dnssec01/01.html  Windows 7 または Windows Server 2008 R2 を実行しているコンピューターで複数の IPv4 アドレスを使用すると、予期しない現象が発生する可能性があります。  http://support.microsoft.com/kb/2175609  Windows 7 または Windows Server 2008 R2 を実行しているコンピューター上の発信トラフィック用の IP アドレスが使用されていない場合でも、IP アドレスは、DNS サーバーに登録されています。  http://support.microsoft.com/kb/2386184
GoogleパブリックDNS  Using Google Public DNS  http://code.google.com/intl/ja/speed/public-dns/docs/using.html  Googleの無料パブリックDNSサービス「Google Public DNS」を使ってネットのアクセス速度を上昇させる方法  http://gigazine.net/index.php?/news/comments/20091204_google_public_dns/  DNS参照を高速に - GoogleがパブリックDNSサービスを無料提供  http://journal.mycom.co.jp/news/2009/12/04/011/  Geekなぺーじ : 「魔法の数字8.8.8.8」を検証する  http://www.geekpage.jp/blog/?id=2011/9/22/1
SRV(Server Selection) レコード  特定のサービスを提供しているサーバのホスト名を取得するためのリソース。  ドメインコントローラ、Kerberos の KDC(Key Distribution Center)、LADP サーバ等を探索する場合に使用される。 RFC2782    書式  [owner] [ttl] [class] SRV [priority] [weight] [port] [target]    owner: _サービス名._トランスポート層プロトコル名.ドメイン名       例えば、Kerberos サービスの場合は、_kerberos._tcp.netdive.local. となる。  priority: target で記述したホストの優先順位。この数値が小さいほど優先順位が高い。        ロードハランシングを利用しない場合は、0 とする。  port: そのホスト上でサービスを提供している TCP/UDP のポート番号。        提供するサーバが存在しない場合は「.」を記述する。  例)_ldap._tcp IN SRV 0 8 389 ldap1 IN SRV 0 2 389 ldap2    この場合、ldap1.netdive.local と ldap2.netdive.local のアクセス負荷は、8:2 の割合となる。(マシンで処理能力が異なる場合に有効)        SRVレコードによるメールサーバの指定    _smtp._tcp IN SRV 10 0 25 mx.netdive.local.     IN SRV 20 1 25 mx1.netdive.local.     IN SRV 30 4 25 mx2.netdive.local.  Active Directory で DNS が使われているのは、この位置情報をどこからでも引けるようにする為。 DNS ドメイン ゾーンのドメイン コントローラの SRV レコード http://support.microsoft.com/kb/556006 Active Directory サポートのための BIND (Berkeley Internet Name Domain) の構成 http://technet.microsoft.com/ja-jp/library/cc985025.aspx WindowsのActive DirectoryとbindによるDNSの連携 http://piro791.blog.so-net.ne.jp/2010-03-11
Dnscmd を使ったサーバー管理 Dnscmd.exe を使用して Active Directory 統合 DNS ゾーンから情報を抽出する方法 DNSサーバをコマンド・プロンプトから制御する http://www.atmarkit.co.jp/fwin2k/win2ktips/530dnscmd/dnscmd.html dnscmd.exe は Support tool のに入っています。 DNS サーバーの使用統計を表示 > dnscmd サーバー名 /statistics 部分的な取得をするには /statistics の後ろに番号を追加。 > dnscmd /statistics 8 結果 ----------------------------------------------------------- DNS Server . statistics: Recursion: ---------- Query: Queries Recursed = 0 Original Questions = 0 Additional Question = 0 Total Questions = 0 Retries = 0 Total Passes = 0 ToForwarders = 0 Sends = 0 Response: TotalResponses = 0 Unmatched = 0 Mismatched = 0 FromForwarder = 0 Authoritative = 0 NotAuthoritative = 0 Answer = 0 Empty = 0 NameError = 0 Rcode = 0 Delegation = 0 NonZoneData = 0 Unsecure = 0 BadPacket = 0 Process Response: Forward Response = 0 Continue Recursion = 0 Continue Lookup = 0 Next Lookup = 0 Timeouts: Send Timeouts = 0 Final Queued = 0 Final Expired = 0 Failures: Recurse Failures = 0 Into Authority = 0 Previous Zone = 0 Retry Limit = 0 Partial (HaveAnswer) = 0 Cache Update = 0 Server Failure Resp = 0 Total Failures = 0 TCP Recursion: Try = 0 Query = 0 Response = 0 Disconnects = 0 Cache Update Queries: Query = 0 Response = 0 Retry = 0 Free = 0 Root NS Query = 0 Root NS Response = 0 Suspended Query = 0 Resume Suspended = 0 Other: Discarded duplicates = 0 Command completed successfully. ----------------------------------------------------------- dnslist.exe  /d ドメイン名   テストするドメイン名を指定  /s DNS のサーバIP 指定しないと、www.internic.netを調査  /test_tcp     TCP/53 に対して応答があるかテスト  /ql ファイル名   診断する DNS レコードを含んだファイル名を指定して結果をレポート。autocreate でサンプル in-dnslist.txt を作成する  /ad LDAP サーバIP Active Directory のレプリケーションで使用されている DNS リソースレコードに関する結果をレポート表示  /v         結果レポートを画面表示  /r ファイル名   結果レポートを保存するファイル名を指定(デフォルトは dnslist.htm)  /y         レポートファイルが存在する場合は、上書きする  /no_open      dnslist 診断終了時にレポートファイルを開かない   ----------------------------------------------------------- IPv6 の設定 > dnscmd /Config /EnableIPv6 Registry property EnableIPv6 successfully reset. Command completed successfully. で、出来たのかな・・・ ここらへんも。  IP Version 6  http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/b4afbbb9-986e-4791-8f1e-8c9ddd2c723e.mspx?mfr=true  Windows 7 および Windows Server 2008 R2 用 IPv6 対応準備更新プログラムについて  http://support.microsoft.com/kb/2750841/ja  DNSサーバでのIPv6の設定  http://jprs.jp/tech/material/tip0002.html  DHCPv6 プロトコル  http://www.microsoft.com/technet/technetmag/issues/2007/03/CableGuy/default.aspx?loc=jp/  Microsoft IPv6 - Teredo の概要  http://technet.microsoft.com/ja-jp/library/bb457011.aspx  IPv6 のインターフェイス識別子  http://technet.microsoft.com/ja-jp/library/cc736439(WS.10).aspx  IPv6アドレスについて知っておくべき10のこと  http://japan.zdnet.com/sp/feature/07tenthings/story/0,3800082984,20423460,00.htm JPNIC のレポートによると、未配分 IPv4 アドレスの在庫は 2010年に無くなる。 http://www.nic.ad.jp/ja/topics/2007/20070619-01.html IPv4最初の枯渇、2011年3月を予測 http://journal.mycom.co.jp/news/2010/11/16/074/ Windows Vista 標準サポートでデフォルト有効 Winsows Server 2008 標準サポートでデフォルト有効 Windows XP オプション Windows Vista 以降の IPv6 は IPv4 よりも優先される。 localhost 127.0.0.1 (IPv4) localhost ::1 (IPv6) DNS の名前解決も A レコード と AAAA(クアッドA) レコードの両方を問合せ 応答と得た場合は、 AAAA が優先されて利用される。 Windows Vista 、Winsows Server 2008 でサポートされている移行テクノロジ 6to4 6over4 ISATAP Teredo Windwos Vista では Teredo クライアントがデフォルトで有効 インターネットにアクセス出来る環境の場合 Teredo サーバ(デフォルト:teredo.ipv6.microsoft.com)から 有効な IPv6 アドレスが取得される  Teredo は IPv6 トラフィックを IPv4 の UDP(3544)メッセージ  としてカプセル化するトンネリング技術で、Teredo サーバや  Teredo リレーを介して他の IPv6 ホストと  エンド・ツー・エンドの通信を可能とする。  実験する場合は  http://[2a01:48:1:0:2e0:81ff:fe05:4658]/  ping.exe -6 www.ipv6day.org XP の場合は ping6.exe www.ipv6day.org  ※ IPv6 には プライベートアドレスは存在しない。  また、Teredo クライアントは IPv6 ホストへ接続が試行されると  初めて有効になる。  ファイアウォールで動的なフィルタを使用しており内部からの発信を許可している場合  Teredo クライアントは NAT だけでは無く、ファイアウォールをすり抜けて  双方向の IPv6 トラフィックを通してしまう場合がある。    IPv6 には NAT が不要という考え方が主流で IPv6 版の NAT ソリューションは存在しない。  セキュリティについては、ファイアウォールで制御し IPsec と組み合わせれば  VPN 無しで安全に外部から接続出来る、、、らしい。 Teredo による IPv6 接続を禁止するには ファイアウォールで、UDP/3544 の発着信を禁止する事が必要。 IPv6アドレスをEUI-64ではなく、ランダムな数値になるように加工して利用 ランダム化を無効にする場合 ※セキュリティ的に問題となる可能性がある netsh interface ipv6 set global randomizeidentifiers=disabled ランダム化を有効にする場合(デフォルト) netsh interface ipv6 set global randomizeidentifiers=enabled 一時IPv6アドレスを無効にする ※セキュリティ的に問題となる可能性がある netsh interface ipv6 set privacy state=disabled 一時IPv6アドレスを有効にする(デフォルト) netsh interface ipv6 set privacy state=enabled マイクロソフト セキュリティ情報 MS07-038 - 警告 Windows Vista ファイアウォールの脆弱性により、情報漏えいが起こる (935807) http://www.microsoft.com/japan/technet/security/bulletin/ms07-038.mspx  攻撃者がメール等で、IPv6 ホストへのリンクを配布された場合に  外部から IPv6 インターフェイスにアクセス出来た問題。 Windows Server 2003 R2 x64 + SP2 + フルパッチ & IE7 な環境に IPv6 を有効にすると IE7 が起動しなくなる(タスクには存在する)現象が発生。 2007年11月現在(うちだけ?) IPv6を無効にすれば IE7 は正常に表示される。 また、ネットワーク周りもなんだか怪しい… itojun氏インタビュー YouTubeで伝えたい、IPv6のあんなことこんなこと http://internet.watch.impress.co.jp/cda/special/2007/11/05/17407.html IPv6で始めるネットワーク http://journal.mycom.co.jp/series/ipv6/menu.html IPv6導入記 http://www.vwnet.jp/IPv6/IPv6Start.asp ASCII .technologies 2010年1月号(2009年11月24日発売)に IPv6 の記事がありました。 http://tech.ascii.jp/elem/000/000/476/476589/ ASCII.technologies (アスキードットテクノロジーズ) 2010年 01月号 [雑誌] (雑誌) (アマゾン)持っておくと、いいかも。 Part1 128ビットのアドレス,表記と構造を押さえる http://itpro.nikkeibp.co.jp/article/lecture/20070613/274633/ Part2 IPv4環境にそのまま足すだけ,体験して理解を深める http://itpro.nikkeibp.co.jp/article/lecture/20070613/274634/ IPv6家庭用ルーターのガイドライン、新版が公開へ http://itpro.nikkeibp.co.jp/article/NEWS/20100527/348576/  ソース: DNS Client Events  イベント ID: 1014  名前 xxx.xxx.xxx.xxx.in-addr.arpa の名前解決は、構成されたどの DNS サーバーからも応答がなく、タイムアウトしました。  てなエラーが出る場合・・・  どうも、IPv6 周りっぽい。  IPv6 を無効にすると解決できるとか。 I.root-servers.net への IPv6 アドレス追加に伴う設定変更について http://jprs.jp/tech/notice/2010-06-18-i.root-servers.net-aaaa-add.html 静的 IPv6 アドレスを設定していない Windows Server 2008 または Windows Server 2008 R2 で、DHCP-Server 10020 警告イベントが記録される http://support.microsoft.com/kb/2293684 IPv6技術の安全性、相互運用性を検証する「IPv6技術検証協議会」を設立 http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3880 第32回 IPv4の枯渇に備えよ――IPv6の特徴と必要性 http://jibun.atmarkit.co.jp/lskill01/rensai/ccnatai32/01.html 情報セキュリティ技術動向調査(2010 年上期) 6 IPv6ネットワークにおけるローカルネットワークの保護 http://www.ipa.go.jp/security/fy22/reports/tech1-tg/a_06.html IPv6導入前に知っておくべき3つのポイントと注意点 http://enterprisezine.jp/article/detail/3156 トンネル方式入門(前編) http://itpro.nikkeibp.co.jp/article/COLUMN/20110517/360402/ 第1回 IPv6の概要 − @IT http://www.atmarkit.co.jp/fwin2k/network/ipv601/ipv601_01.html DNS Server service randomly cannot resolve external names and returns a "Server Failure" error if IPv6 is disabled in Windows Server 2008 R2 http://support.microsoft.com/kb/2549656 診断ツール Fix it: Windows Vista、Windows 7、および Windows Server 2008 で特定の IPv6 (Internet Protocol version 6) を無効にする方法に関する問題 http://support.microsoft.com/kb/929852/ja Windows Vista、Windows 7、および Windows Server 2008 で特定の IPv6 (Internet Protocol version 6) を無効にする方法 http://support.microsoft.com/kb/929852/ja ヤフーのIPv6への取り組み Continue: 現状の IPv6 における利用の問題 (Yahoo! JAPAN Tech Blog) http://techblog.yahoo.co.jp/infrastructure/ipv6_issue/ 「日本では壊れたIPv6が広まっている」とGoogle、IPv6接続お断りの方針 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20120521_534357.html 6.6年以内に半数以上がIPv6に、Googleが「正常動作するIPv6」の必要性訴える -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20120518_533873.html
LLMNR  Link-Local Multicast Name Resolution (LLMNR)  http://technet.microsoft.com/ja-jp/library/bb878128.aspx  IPv4 マルチキャストとは  http://technet.microsoft.com/ja-jp/library/cc772041(WS.10).aspx  IPv6マルチキャストアドレスの割り当て  http://www.nic.ad.jp/ja/translation/rfc/2375.html
TTL の強制? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 値の名前 : LameDelegationTtl データ型 : REG_DWORD 値 : 1800(秒) 設定されている TTL より小さい値にする。 http://support.microsoft.com/kb/938863
キャッシュの TTL を調整 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSCache\\Parameters 値の名前 : MaxCacheTtl データ型 : REG_DWORD 値 : 86400(秒)  値の変更後はサービスの再起動をする  net stop dnscache & net start dnscache  キャッシュの問い合わせ結果は  ipconfig /displaydns    キャッシュを利用しない場合は、サービスから DNS Client を停止させて手動に変更する。  Windows XP および Windows Server 2003 でクライアント側の DNS キャッシュを無効にする方法  http://support.microsoft.com/kb/318803/ja
CNAME レコードによる共有接続を有効にする HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 値の名前 : DisableStricNameChecking データ型 : REG_DWORD 値 : 0(False) 1で有効。
EventID 4013 DNS サービスが正常に動作しない。  Windows 2008 以降のドメイン コントローラーで Active Directory 統合ゾーンを使用している場合に  起動時に自分以外の DNS に接続できない場合に発生。 Active Directory の初期同期要件を無視する HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 値の名前 : Repl Perform Initial Synchronizations データ型 : REG_DWORD 値 : 0  Windows Server 2008 R2 へのドメイン コントローラーのアップグレード  http://technet.microsoft.com/ja-jp/library/upgrade-domain-controllers-to-windows-server-2008-r2(v=ws.10).aspx  Troubleshooting DNS Event ID 4013: The DNS server was unable to load AD integrated DNS zones  http://support.microsoft.com/kb/2001093/en-us
非修飾名をドメイン ネーム リゾルバからドメイン ネーム サーバーに照会するかどうかを制御 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 値の名前 : AllowUnqualifiedQuery データ型 : REG_DWORD 値 : 0(False) 1で有効。 非修飾名の解決に失敗した場合に名前に付加するドメイン名サフィックスのリストを指定 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 値の名前 : SearchList データ型 : REG_SZ 値 : なし(1 〜 50 で設定) 詳しくは Microsoft Windows Server 2003 TCP/IP 実装詳細
AOL.com、Qwest.net、EarthLink.net などのドメインへメールが送れない場合 ※フォワーダの設定している場合は必須。nslookup でタイムアウトが出る場合も。  ベクターで「このアドレスにメールを送信できません」って言われるのもこれが原因かも?   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dns\Parameters   値の名前 : EnableEDnsProbes   データ型 : REG_DWORD   値 : 0 または、コマンドから  dnscmd /config /EnableEDnsProbes 0  ※ dnscmd は サポートツールの中に入っています。   値の名前 : EDNSCacheTimeout   データ型 : REG_DWORD   値 : 3600    ※入力可能範囲は、3600 (1 時間) 〜 15724800 (182 日)   値の名前 : MaximumUdpPacketSize   データ型 : REG_DWORD   値 : 1280(デフォルト)   ※MTU に対応するよう 10 進表記で 512 〜 16384 の範囲で   入力(16 進表記で 200 〜 4000 に相当)して調整する。 参考  DNS クエリの応答が Windows Server 2003 のファイアウォールを通過しない  
2003、2008 Server で DNS の名前解決に失敗する場合の対策  原因   512 バイトを超える UDP パケットが許可されていない場合に発生する。   DNS にフォワード設定をしていない時に発生する。  コマンドを管理者で実行し、dnscmd で EDNS0 を無効にします。     dnscmd /config /EnableEDnsProbes 0  DNS サーバーを Windows Server 2003 にアップグレードすると一部の DNS 名クエリが失敗する  http://support.microsoft.com/kb/832223  WS08R2で名前解決ができないホストがある場合の対処  http://www.vwnet.jp/Windows/WS08R2/EDNS0/EDNS0.htm
選択されたアドレスだけをリッスンするように DNS サーバーを制限   dnscmd ServerName /ResetListenAddresses [ListenAddress ...]  構文のヘルプを表示   dnscmd ServerName /ResetListenAddresses /help
DNS の動的更新を無効化   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters   特定のインターフェイスの動的更新を無効にする場合   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface   値の名前 : DisableDynamicUpdate   データ型 : REG_DWORD   値 : 1   参考   Windows Server 2003 で DNS 動的更新を構成する方法
ゾーン転送を不許可にする(サービスの再起動で許可に戻される為)  dnscmd を使い以下を実行。   dnscmd server_name /ZoneResetSecondaries domain_name /NoXfr   参考   Windows Server 2008 では、DNS ゾーンの転送設定は保持されません。
複数の名前(NetBIOS ホスト名)を付ける   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters   値の名前 : OptionalNames   値の型  : 別名を1つだけ定義する場合 REG_SZ        : 複数定義する場合      REG_MULTI_SZ   値    : REG_MULTI_SZ 型の場合は各行に1つずつコンピュータ名を記述   ※設定後は再起動が必要。 確認は、net view コマンドで行える。   コンピューター、ドメイン、サイト、および組織単位の Active Directory 名前付け規則   Windows Server 2008 または Windows Server 2008 R2 の NetBIOS 名を使用して、サーバーの ping を実行すると誤った IP アドレスが返されます   HOSTS ファイルにおけるエイリアス名の最大数について   コンピューターを起動するとイベント ID 5719 を記録です。
キャッシュされたログオンを無効にする   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon   値の名前 : CachedLogonsCount   データ型 : REG_SZ   値    : 0 (0にするとキャッシュされたログインが無効になる) デフォルトは 10  ドメイン コント ローラーに Windows 7 または Windows Server 2008 R2 ベースのドメイン メンバー コンピューター上で利用可能なないスタートアップまたはログオン時間  http://support.microsoft.com/kb/2673042/ja  ※ログオン出来なくなった場合はセキュアチャネルの破損を疑う。  ドメインにログオンできない 〜 セキュア チャネルの破損 〜 - Ask the Network & AD Support Team - Site Home - TechNet Blogs  http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx  Windows 7 を実行しているコンピューターにログオンするときの「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」のエラー  http://support.microsoft.com/kb/2771040/ja

ネットワーク ブラウズ リストでコンピュータを非表示にする   KEY: HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\parameters   値の名前 : hidden   データ型 : REG_DWORD   値 : 1   SMB プロトコルがインストールされているコンピュータは、提供する   リソースがあるかどうかに関係なく、既定で、マスタブラウザが保持する   このリソース一覧に自らを通知します。   これにより、多くの場合において不必要なネットワークオーバーヘッドが   生じると同時に、ファイアウォール内部の潜在的な攻撃者が利用可能な   ネットワークリソースの一覧を簡単に生成できるようになります。   このため、提供するリソースを持たないコンピュータからの   ブラウザ アナウンスメントをオフにすることが望まれます。   # XP SP2 もこのキーを作成する事で非表示に出来ます。(確認済み) 参考 第 5 章 - セキュリティの構成 ワークグループのコンピュータ一覧から身を隠す マイコンピュータの指定ドライブを非表示にしたい場合は、下記を参考に。 Windows2000/XPのGPOでマイコンピュータ内の指定ドライブを非表示にする
起動、シャットダウン、ログオン、およびログオフの詳細な状態メッセージを有効にする方法 Windows Server 2003 ファミリで、起動、シャットダウン、ログオン、およびログオフの詳細な状態メッセージを有効にする方法 http://support.microsoft.com/kb/325376/ja
Kerberos 認証を UDP から TCP を使用するように変更   KEY: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters   値の名前 : MaxPacketSize   データ型 : REG_DWORD   値 : 1 既定値は「0」で UDP を利用する。   UDP では、Windows ではなく TCP を使用する Kerberos を強制する方法   http://support.microsoft.com/kb/244474/ja   ドメインのログインが遅い場合に。   ネットワークの共有を開くのが遅い場合で、ドメインコントローラーを入れ替えたなら   DNS が 古いマシンを参照していないか確認。   ルーターの DHCP を使っている場合なども、DNS を変更しているか確認。(忘れがち)
ドメインコントローラーの時刻同期   UDP/123 を空けておく。   コマンドから   w32tm /stripchart /computer:ntp.nict.jp /samples:3 /dataonly   NTPサーバーの確認が取れたら   w32tm /config /manualpeerlist:ntp.nict.jp /syncfromflags:manual /relible:yes /update   参考   Windows タイムサービスを構成する   http://technet.microsoft.com/ja-jp/library/cc731191(WS.10).aspx   Windows Server で権限のあるタイム サーバーを構成する方法   http://support.microsoft.com/kb/816042/ja
クリーンアップ  Windows Server 2008 R2 でドメインコントローラーに昇格すると、DISK のプロパティに「ディスクのクリーンアップ」が消滅  してしまい、Service Pack のインストール中に作成されたバックアップ ファイルを削除出来ない・・・   以下のコマンドでクリーンアップ   C:\>dism /online /cleanup-image /spsuperseded   展開イメージのサービスと管理ツール   バージョン: 6.1.7600.16385   イメージのバージョン: 6.1.7600.16385   Service Pack のインストール中に作成されたバックアップ ファイルを削除しています。   パッケージ Microsoft-Windows-ServerDatacenterEdition~31bf3856ad364e35~amd64~~6.1   .7600.16385 を削除しています   [==========================100.0%==========================]   Service Pack のクリーンアップ操作が完了しました。   操作は正常に完了しました。  ※Windows Server 2008 SP2 の場合は compcln.exe, Windows Server 2008 SP1 の場合は vsp1cln.exe  大規模な Windows コンポーネント ストア (WinSxS) ディレクトリが原因で発生するディスク領域の問題に対処する方法  http://support.microsoft.com/kb/2795190/ja
ドメインコントローラーは仮想化しないほうが良い。  Active Directoryドメイン・コントローラ(AD)の仮想化はNG? − @IT  http://www.atmarkit.co.jp/fwin2k/greatblog/002addcvm/addcvm_01.html  マイクロソフト以外のハードウェア仮想化ソフトウェアでマイクロソフトのソフトウェアを実行する場合のサポート ポリシー  http://support.microsoft.com/kb/897615/ja  仮想ホスト環境で Active Directory ドメイン コントローラをホストする場合の考慮事項  http://support.microsoft.com/kb/888794/ja  Active Directory ドメインコントローラ (AD) の仮想化は NG? - 仮想化でプリセールスしてるSEの一日  http://d.hatena.ne.jp/ogawad/20101129/1290991581  VMware の仮想マシンで実行される Microsoft ソフトウェアのサポート  http://www.vmware.com/jp/support/policies/ms_support_statement.html  [2]進化する仮想アプライアンス、OpenFlowと組み合わせ仮想プライベートクラウド構築:ITpro  http://itpro.nikkeibp.co.jp/article/COLUMN/20110920/368983/?ST=network&P=1  ゲストにドメインコントローラを立てて、ホストマシンを参加させるとトラブル発生時に厄介な事になります。  起動やシャットダウンも遅くなりますので、やらない方が良いでしょう。  ホストの共有を使いたい場合は、iSCSI にするか、ゲストマシンに物理マウントしたドライブを共有するのが無難。  DISK を沢山積んだホストマシンも I/O の帯域不足で DISK が不安定になるようです・・・  ↑  eSATA ケーブル不良の疑いが濃厚に。不安定な場合はケーブルを疑った方が良いかも。
チューニングの為のレジストリ操作 まとめちゅう。  このへん。   定期的な WAN トラフィックを最小限をする設定   イベント ID 2021 および 2022 のトラブルシューティング   NAT 経由で Active Directory のサポート範囲について   MaxConcurrentApi 設定を使用して NTLM 認証のパフォーマンスをチューニングする方法   ブラウザ サービスがドメイン マスタ ブラウザに問い合わせる既定の間隔を調整   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters   値の名前 : MasterPeriodicity   データ型 : REG_DWORD   値 : 既定で、 MasterPeriodicity エントリは、存在しません。          ※ ダイヤル オンデマンド展開の推奨既定は、(1日)86,400秒です。 マスタ ブラウザ の設定   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters   値の名前 : MaintainServerList   データ型 : REG_SZ   値 : YES 又は NO          ※ 問い合わせを減らすために、MasterPeriodicity 間隔を大きめに設定すること。   セキュリティアカウント マネージャ(SAM) の同期問い合わせ   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters   値の名前 : Pulse   データ型 : REG_DWORD   値 : 60(60 〜 172800)   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters   値の名前 : PulseMaximum   データ型 : REG_DWORD   値 : 172800(60 〜 172800)  ダイヤルアップ待ち時間のレジストリ設定   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters   値の名前 : ExpectedDialupDelay   データ型 : REG_DWORD   値 : 90   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters   値の名前 : AvoidPdcOnWan   データ型 : REG_DWORD   値 : 1(有効)   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters   値の名前 : NegativeCachePeriod   データ型 : REG_DWORD   値 : 84600(既定 45)   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters   値の名前 : BackgroundRetryInitialPeriod   データ型 : REG_DWORD   値 : 84600   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters   値の名前 : BackgroundRetryMaximumPeriod   データ型 : REG_DWORD   値 : 84600   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters   値の名前 : BackgroundRetryQuitTime   データ型 : REG_DWORD   値 : 600   KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters   値の名前 : DfsDcNameDelay   データ型 : REG_DWORD   値 : 15(分)   Windows XP クライアントの DFS クエリの頻度を制御するポリシー    KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFS    値の名前 : SyncIntervalInSeconds    データ型 : REG_DWORD    値 : 3600(秒)   ドメインでのコンピュータ アカウントのレプリケーションによる影響    最大コンピュータ アカウントのパスワードの有効期間    KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters    値の名前 : MaximumPasswordAge    データ型 : REG_DWORD    値 : 7 (推奨値 42 〜 70)    定期的な変更を無効にする    KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters    値の名前 : DisablePasswordChange    データ型 : REG_DWORD    値 : 0    コンピュータ アカウントのパスワードの変更を拒否する    KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters    値の名前 : RefusePasswordChange    データ型 : REG_DWORD    値 : 0   KEY:   値の名前 :   データ型 : REG_DWORD   値 :
レプリケーション間隔の変更    レプリケーション パートナーの最初の通知間隔を変更    KEY: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters    値の名前 : Replicator notify pause after modify (secs)    データ型 : REG_DWORD    値 : 15 秒(Windows Server 2003 およびそれ以降の既定値)    ドメイン コント ローラー間の通知待ち時間を変更    KEY: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters    値の名前 : Replicator notify pause between DSAs (secs)    データ型 : REG_DWORD    値 : 3 秒(Windows Server 2003 およびそれ以降の既定値)    既定サイト内のドメイン コント ローラーのレプリケーション間隔を変更する方法    http://support.microsoft.com/kb/214678 NtFrs(ファイル レプリケーション サービス)がエラーを起こしている場合の修復方法 イベントID:13555 イベントID:13552 コマンドプロンプトから以下実行。  net stop ntfrs  rd /s /q c:\windows\ntfrs\jet  net start ntfrs ドメイン コントローラでイベント ID 13552 と 13555 を表示 SYSVOL レプリカ セットをホストしている DFS レプリカ メンバまたはドメイン コントローラでイベント ID 13552 および 13559 が出力される In a domain environment, Windows Explorer may stop responding on a client computer that is running Windows XP or Windows Server 2003, and CPU usage is very high on the primary domain controller http://support.microsoft.com/default.aspx?scid=kb;ja;925066
SYSVOL, NETLOGON のフェールバックを有効にする    KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs\Parameters    値の名前 : SysvolNetlogonTargetFailback    データ型 : REG_DWORD    値 : 1    設定後、DFS Replication サービスを再起動
ライセンス マネージャの情報をリセットする 1. ライセンス ログ サービスを停止 2. プライマリ ドメイン コントローラ (PDC) またはエンタープライズ サーバー上の次のファイルを削除するかファイル名を変更。 ・Cpl.cfg  購入の履歴がすべて保存されている。 %Systemroot%\System32 にあります。 ・Llsuser.lls 接続数に関するユーザー情報が保存されている。 %Systemroot%\System32\Lls にあります。 ・Llsmap.lls ライセンス グループ情報が保存されている。 %Systemroot%\System32\Lls にあります。 3. ライセンス ログ サービスを再開 4. 該当するライセンス情報を追加し直し。 資料  ライセンス マネージャ情報のリセット方法  Windows Server 2003 でライセンス ログ サービスをリセットする方法  Windows Server 2003 ターミナル サービスで検出されるライセンス サーバーを変更する方法
イベント ソース: NETLOGON イベント ID: 5789 説明: Active Directory のコンピュータ オブジェクトの DNS ホスト名を 更新しようとしましたができませんでした。 更新された値は 'computer' です。 次のエラーが発生しました:パラメータが間違っています。 の対策。 「マイコンピュータ」を右クリックして、プロパティを開いて フルコンピュータ名 が正しく設定しているか確認。  資料  Windows 2000 のワークステーション/サーバーでエラー メッセージ 5788 および 5789 が発生する
SYSVOL の再構築  ドメイン内の SYSVOL ツリーとその内容を再構築する方法  http://support.microsoft.com/kb/315457/ja
FRS 関連の修復  Active Directory 内で失われた FRS オブジェクトおよび FRS 属性を回復する  http://support.microsoft.com/kb/312862/ja
Windows Server 2003 SP1 で動作している DC を入れ替えたい(PDC の変更手引き) 作業手順 1.PC を用意し Windows Server 2003 SP1 に DC を入れ Secondary を立てる。   (64bit のバージョンでも完全に相互運用可能)Professor Windows - May 2003    64 ビット版の Windows Server 2003 と Windows XP での 32 ビット プログラムの互換性について    Windows Server 2003 R2 x64 の場合は、スキーマを拡張しないとエラーが出るようです。    Windows Server 2003 フォレスト内の Windows Server 2003 R2 x 64 Edition-based ドメイン コントローラは配置できません。   ※DNS の構成をしてから DC を入れると余分なトラブルが減るかも。    ・Windows Server 2003 では、すべての DNS サーバーで自分自身を自分のプライマリ DNS サーバーとして使用するよう構成。     代替 DNS サーバーには、同一ドメイン内の別のドメイン コントローラを使用。     http://support.microsoft.com/kb/291382/ja?spid=3198&sid=769    ・前方参照ゾーンの "." ゾーンは削除     http://support.microsoft.com/kb/229840/        単純に2台目を追加する場合は、現在あるドメインの DNS を指定してからセットアップし   その後 DNS を自分に戻してセカンダリに記述すれば問題ないでしょう。   ※2台目をセットアップして何回も降格を繰り返している場合は、存在しないコンピュータが残っていて同期に失敗する事があるようです。。。  イベントログに   MS DTC は、DC 昇格/降格イベントを正しく処理できませんでした。   MS DTC の動作はこれまでと変わりません。  と出ている場合   Microsoft 分散トランザクション コーディネータ (MS DTC) は、Windows で構成されていない部分があり   分散トランザクションを使用するリンク サーバー、分散クエリ、およびリモート ストアド プロシージャが影響を受ける為、 MS DTC を完全に有効にする必要がる。    MS DTC を完全に有効にするには     [管理ツール]>[コンポーネント サービス]>[コンソール ルート]>[コンポーネント サービス]>[コンピュータ]>[マイ コンピュータ] で右クリックし「プロパティ」を開く。     [MSDTC] タブをから [セキュリティの構成] を選択。     [セキュリティの設定] 下のすべてのチェックボックスをオン。     [DTC ログオン アカウント] が NT AUTHORITY\NetworkService に設定されていることを確認。      "XACT_E_NOENLIST" error message in DTC and SQL Server       ここら辺にも        2.5.3 Windows で MS DTC は有効ではありません。http://support.microsoft.com/kb/910228/     Windows Server 2008 以降は、さらに下の [Distributed Transaction Coordinator]>[ローカル DTC] のプロパティからセキュリティタブを開く。    ●新規に追加した DC の DNS に、ゾーンが正しく複製されているか確認。     %SystemRoot%\System32\Config\Netlogon.dns をテキストエディタで開く。     表示される最初のレコードは、_ldap._tcp.domainname でドメイン コントローラの LDAP (Lightweight Directory Access Protocol) SRV レコード     NSLOOKUP を使う場合は      SET TYPE=ALL _ldap._tcp.dc._msdcs.domainname hostname.domainnameinternet address =ipaddress と、一つ以上のSRV サービス ロケータ レコードを返す     参考      ドメイン コントローラの SRV レコードの作成を確認する    ●FSMO 役割が正しく登録されているか確認。    ・FSMO を確認     「ファイル名を指定して実行」から「dsa.msc」を起動     左側に表示されているドメイン オブジェクトを右クリック>[操作マスタ] を選択    ・フォレスト内のスキーマ FSMO のホルダの確認     「ファイル名を指定して実行」から「mmc」を起動     「ファイル」>「スナップインの追加と削除」をクリックし、「追加」から「Active Directory スキーマ」を選択     (※「Active Directory スキーマ」が無い場合は、regsvr32 schmmgmt.dll を実行)     左側に表示されている「Active Directory スキーマ」を右クリック>[操作マスタ] を選択    ・フォレスト内のドメイン名前付け FSMO のホルダの確認     FSMOフォルダと同じ手順で 「Active Directory ドメインと信頼関係」を選択し、同じく「操作マスタ」を選択     ※ここではまだ役割を変更しない。     参考      FSMO 役割のホルダの確認方法 (サーバー) 2.グローバル カタログ (GC) サーバを新規に追加した DC に移行     「ファイル名を指定して実行」から「mmc」を起動     「ファイル」>「スナップインの追加と削除」をクリックし、「追加」から「Active Directory サイトとサービス」を選択     「Sites」>「サイト名」>「Servers」>「ドメイン コントローラ」>「NTDS Settings」で右クリックしてプロパティを表示      [全般]タブで [グローバル カタログ] チェック ボックスをオンにし、グローバル カタログの役割をこのサーバに割り当てる     ドメイン コントローラを再起動 ※ GC の削除および移行情報が、すべての DC に複製されるのを待つ。(十分な時間を取る)     元の DC から同様に操作し、グローバル カタログの役割を削除。     ドメイン コントローラを再起動     参考      [HOWTO] Windows Server 2003 でグローバル カタログの作成または移動を行う方法 3.FSMO の役割を 旧DC から 新DC に転送    ●ドメイン固有の役割 (RID、PDC、インフラストラクチャ マスタ) の転送     「ファイル名を指定して実行」から「dsa.msc」を起動     左側に表示されているドメイン オブジェクトを右クリック>[操作マスタ] を選択     RID, PDC, インフラストラクチャ の操作マスタの役割を変更    ●スキーマ マスタの役割の転送     「ファイル名を指定して実行」から「mmc」を起動     「ファイル」>「スナップインの追加と削除」をクリックし、「追加」から「Active Directory スキーマ」を選択     (※「Active Directory スキーマ」が無い場合は、regsvr32 schmmgmt.dll を実行)     左側に表示されている「Active Directory スキーマ」を右クリック>[操作マスタ] を選択し、スキーマ マスタの変更    ●ドメイン名前付けマスタの役割の転送     FSMOフォルダと同じ手順で 「Active Directory ドメインと信頼関係」を選択     同じく「操作マスタ」を選択し、操作マスタを変更する    ※ FSMO の役割の移行情報が、すべての DC に複製されるまで待つ事。     参考      [HOW TO] グラフィカル ユーザー インターフェイスで FSMO 役割を表示し転送する方法      転送できない場合は以下を参照       Ntdsutil.exe を使用してドメイン コントローラに FSMO の役割を強制または転送する       「エラー-1101」使用すると、Ntdsutil.exe ユーティリティでは、Windows Server 2008 R2 または Windows Server 2008 での AD DS データベースの整合性をチェックするには 4.旧DC をメンバー サーバへ降格    ●Active Directory を削除     「ファイル名を指定して実行」から「dcpromo」を起動     Active Directory のインストール ウィザードから削除     参考      [HOWTO] Windows Server 2003 で Dcpromo.exe ツールを使用して ActiveDirectory を削除する方法     降格できない場合の強制降格      ディレクトリ サービス復元モードでコンピュータを起動できることを確認        ※起動できない状態で強制的に降格するとログオンできなくなります。         ディレクトリ サービス復元モードのパスワードを覚えていない場合         Winnt\System32 フォルダにある Setpwd.exe ユーティリティを使用してパスワードをリセット     参考      [サーバーの構成] ウィザードが、回復モードのパスワードを空白にする      dcpromo /forceremoval と入力。      Active Directory のインストール ウィザードから削除      コマンドプロンプトを起動      「ntdsutil」を実行し、以下コマンドを順次入力      metadata cleanup      connections      set creds domainname username password ※空のパスワードの場合は、パスワードのパラメータに null と入力 quit select operation target      list domains      select site number ※number は削除しようとしているサーバーが所属しているドメインに対応する番号      list sites      select site number ※number は、削除しようとしているサーバーが所属しているサイトに対応する番号      list servers in site      select server number ※number は、削除するサーバーに対応する番号      quit      remove selected server      quit      DNS の _msdcs.root domain of forest ゾーンにある cname レコードを削除      これで NTDS 設定オブジェクトが削除される。      詳しくは       Windows Server 2003 と Windows 2000 Server で、Active Directory のインストール ウィザードを使用して強制的に降格を実行しても、ドメイン コントローラが正常に降格されない       ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法  ※メンバー サーバへ降格した 旧DC をネットワークから取り外す場合は DC に接続可能な状態で一旦 Workgroup 設定に戻す。   強制降格を行なった場合には、自動的に Workgroup 設定に戻る。   正常に降格させた場合、オブジェクトは残りますので(ドメインコントローラーホスト名)手動で削除する(そのままにしておいても問題ない) DHCP 等の手順は下記参考  単一ドメイン コントローラとドメインの単一ドメイン コントローラを置き換える方法?  ヒント: IP アドレスの競合を検出および回避する  ヒント: DHCP の統計情報を自動的に更新する  ヒント: DHCP データベースをバックアップおよび復元する その他のトラブル資料  DNS ルックアップ エラーまたはイベント ID 2087 のためまたはイベント ID 2088 のため発生する Active Directory レプリケーション障害のトラブルシューティング  Dcpromo.exe 実行後 Windows Server 2003 を再起動すると、システム イベント ログにイベント ID 40960 および 40961 が記録される  サーバーをドメイン コントローラの役割に昇格させた場合の LSASRV イベント ID 40960 および 40961  Windows Server 2003 でグループ ポリシー処理がイベント 1058 および 1030 で失敗する  Windows 2000 Server または Windows Server 2003 を実行しているドメイン コントローラで SYSVOL ツリーを再配置する方法  フォレストのルート ドメイン コントローラにシステム イベント 54 および 64 が表示されることがある  Active Directory の変更を Windows Server 2003 にレプリケートできない  ADSI と WSH を使用して FSMO の役割の所有者を検索する方法  Active Directory のリストア  Active Directory™ 障害復旧ガイド  Active Directoryをインストールする  更新プログラム AD RMS クライアントからアプリケーション マニフェストの有効期限機能を削除するのには  IIS を復元し、Active Directory フェデレーション サービス 2. 0 をアンインストールするときに Active Directory を削除する方法   可用性と Active Directory フェデレーション サービス 2. 0 の説明  Windows Server 2008 R2 で AD DS のベスト プラクティス アナライザー ルール用の更新   更新プログラム用のベスト プラクティス アナライザーによって x 64 エディションの Windows Server 2008 R2 Active Directory の権限管理のサービス ロールには   更新プログラム用のベスト プラクティス アナライザーによって x 64 エディションの Windows Server 2008 R2 ファイル サービスのロールには   更新プログラム用のベスト プラクティス アナライザーによって x 64 エディションの Windows Server 2008 R2 アプリケーション サーバーの役割には  AD DS のベスト プラクティス アナライザーのルールを Windows Server 2008 R2 用の更新  Windows 7 と Windows サーバー 2008 R2 で、ディレクトリ サービスの問題のトラブルシューティングを行う
現在どのドメインコントローラが操作マスタの役割を持っているか確認する  操作マスタの種類  ・PDCエミュレータ    デフォルト:ドメインで最初にインストールされたドメインコントローラで、ドメインに1台    役割:BDC の復元、パスワード更新    動作タイミング:BDC への複製時、パスワード変更要求時    障害時の影響:BDC への複製、Windows 95/98/NT からのパスワード変更要求に失敗する           ※Windows 95/98 の場合は、DSCLIENT.EXE をインストールしないとドメインに参加出来ません。(メモにインストール方法を書いてます。またグループポリシーやケルベロスはサポートされません)  ・RIDマスタ    デフォルト:ドメインで最初にインストールされたドメインコントローラで、ドメインに1台    役割:RIDプールの配布    動作タイミング:ドメインコントローラが RID プールを使いきり、追加のプールが必要になった時    障害時の影響:RID プールが空で RID マスタが利用不可能の場合、新規ユーザ、グループ、コンピュータオブジェクトの作成が出来ない  ・インフラストラクチャマスタ    デフォルト:ドメインで最初にインストールされたドメインコントローラで、ドメインに1台    役割:メインをまたがるグループとユーザーの参照と更新    動作タイミング:グループメンバー情報を更新した時(ユーザーの追加、変更等)    障害時の影響:正しいグループメンバー情報が表示されない  ・ドメイン名前付けマスタ    デフォルト:フォレストで最初にインストールされたドメインコントローラで、フォレストに1台    役割:フォレスト内でのドメインの追加・削除    動作タイミング:フォレストにドメインを追加・削除した時    障害時の影響:フォレストに新しいドメインの追加・削除が出来ない  ・スキーママスタ    デフォルト:フォレストで最初にインストールされたドメインコントローラ、フォレストに1台    役割:スキーマの更新    動作タイミング:スキーマを更新する時    障害時の影響:管理者によるスキーマ更新が出来ない、スキーマを更新するアプリがインストール出来ない可能性   コマンドプロンプトから、ntdsutil を実行   例)   C:\>ntdsutil   ntdsutil: roles   fsmo maintenance: connections   server connections: connect to server netdive.local(ドメインコントローラのFQDN)   netdive.local に結合しています...   ローカルでログオンしているユーザーの資格情報を使って netdive.local に接続しました。   server connections: quit   fsmo maintenance: select operation target   select operation target: list roles for connected server   サーバー "netdive.local" は 5 個の役割を認識しています   スキーマ - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local   ドメイン - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local   PDC - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local   RID - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local   インフラストラクチャ - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local   select operation target: quit   fsmo maintenance: quit   ntdsutil: quit   netdive.local から切断しています...   C:\>   操作マスタの転送   例)   C:\>ntdsutil   ntdsutil: roles   fsmo maintenance: connections   server connections: connect to server netdive.local(転送先ドメインコントローラのFQDN)   netdive.local に結合しています...   ローカルでログオンしているユーザーの資格情報を使って netdive.local に接続しました。   server connections: quit   fsmo maintenance: transfer PDC   fsmo maintenance: transfer RID master   fsmo maintenance: transfer infrastructure master   fsmo maintenance: transfer domain naming master   fsmo maintenance: transfer schema master   fsmo maintenance: quit   ntdsutil: quit   netdive.local から切断しています...   C:\>   強制移動(占有)   例)   C:\>ntdsutil   ntdsutil: roles   fsmo maintenance: connections   server connections: connect to server netdive.local(ドメインコントローラのFQDN)   netdive.local に結合しています...   ローカルでログオンしているユーザーの資格情報を使って netdive.local に接続しました。   server connections: quit   fsmo maintenance: seize PDC   fsmo maintenance: seize RID master   fsmo maintenance: seize infrastructure master   fsmo maintenance: seize domain naming master   fsmo maintenance: seize schema master   fsmo maintenance: quit   ntdsutil: quit   netdive.local から切断しています...   C:\>   ※移動元と移動先のドメインコントローラが正しく通信できている場合は通常の転送が実行されます。    この作業を行って強制移動させた場合、移動元のドメインコントローラは必ず再インストールする事。   降格に失敗したドメインコントローラの削除   例)   C:\>ntdsutil   ntdsutil: metadata cleanup   metadata cleanup: connections   server connections: connect to server netdive.local   netdive.local に結合しています...   ローカルでログオンしているユーザーの資格情報を使って netdive.local に接続しました。   server connections: quit   metadata cleanup: select operation target   select operation target: list domains   1 個のドメインを検出しました (ドメインの一覧が番号付で表示される)   0 - DC=netdive,DC=local   select operation target: select domain 0   現在のサイトがありません   ドメイン - DC=netdive,DC=local   現在のサーバーがありません   現在の名前付けコンテキストがありません   select operation target: list sites   1 個のサイトを検出しました (サイトの一覧が番号付で表示される)   0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local   select operation target: select site 0   サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local   ドメイン - DC=netdive,DC=local   現在のサーバーがありません   現在の名前付けコンテキストがありません   select operation target: list servers in site   2 個のサーバーを検出しました (ドメインコントローラの一覧が番号付で表示される)   0 - CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local   1 - CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local   select operation target: select server 0   select operation target: quit   metadata cleanup: remove selected server   metadata cleanup: quit   ntdsutil: quit   netdive.local から切断しています...   C:\>   ※DNS のゾーンに削除したドメインコントローラのレコードが残ってる場合があるので確認して削除する。   ディレクトリデータベースとログファイルを移動   例)   C:\>set SAFEBOOT_OPTION=DSREPAIR   C:\>ntdsutil   ntdsutil: files   file maintenance: info   ドライブの情報: C:\ NTFS (固定ドライブ ) 空き(27.1 Gb) 合計(39.6 Gb)   DS パスの情報: データベース : C:\WINDOWS\NTDS\ntds.dit - 20.1 Mb バックアップ ディレクトリ : C:\WINDOWS\NTDS\dsadata.bak 作業ディレクトリ : C:\WINDOWS\NTDS ログ ディレクトリ : C:\WINDOWS\NTDS - 合計 48.1 Mb temp.edb - 2.1 Mb res2.log - 10.0 Mb res1.log - 10.0 Mb edbtmp.log - 6.0 Mb edb00017.log - 10.0 Mb edb.log - 10.0 Mb   file maintenance: move db to c:\NTDS   file maintenance: move log to c:\NTDS   file maintenance: quit   ntdsutil: quit   netdive.local から切断しています...   C:\>set SAFEBOOT_OPTION=   C:\>   うまくいかない場合は、ディレクトリサービス復元モードで起動する。   ユーザアカウントを復活させる   例)   C:\>ntdsutil   ntdsutil: authoritative restore   authoritative restore: restore subtree "ou=OU1,dc=netdive,dc=local" (OU復活)   authoritative restore: restore subtree "cn=USER1,dc=netdive,dc=local" (ユーザ復活)   authoritative restore: quit   ntdsutil: quit   netdive.local から切断しています...   C:\>   リストアから削除したユーザアカウントや組織単位(OU)を復活させる(SYSVOLフォルダのリストア)   1.ディレクトリサービス復元モードで起動   2.NTBACKUP を起動   3.[復元の確認]>[詳細設定]>[複製されたデータを復元するとき、復元されたデータの複製物をプライマリーデータとしてマークする]にチェック   4.コマンドプロンプトを起動し ntdsutil を起動    ntdsutil: authoritative restore    authoritative restore: restore database    authoritative restore: quit    ntdsutil: quit   5.再起動   ※バックアップ時に巻き戻るので、パスワードが古くなっていたり、ドメインにログオン出来なくなる副作用に注意   完全に壊れたドメインコントローラを復元(システム状態とSYSVOLフォルダのリストア)   1.バックアップした構成と同じにしたドメインコントローラを用意(ほかのドメインコントローラからSYSVOLフォルダが複製されてる事)   2.ディレクトリサービス復元モードで起動   3.NTBACKUP を起動   4.システム状態、SYSVOLフォルダにチェックしてリストア   5.再起動  [HOWTO] Windows Server 2003 で FSMO の役割を確認して転送する方法  http://support.microsoft.com/kb/324801/ja  Active Directory の障害回復  http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/support/adrecov.mspx  Authoritative Restore、プライマリ Restore、通常の Restore  http://technet2.microsoft.com/WindowsServer/ja/library/18f89932-80ee-4b50-9a1f-698cada42ccc1041.mspx?mfr=true  【Windows Server】DC が死んだらグローバルカタログの移動も忘れずに  http://blogs.technet.com/junichia/archive/2008/08/15/windows-server-dc.aspx  他のオブジェクトを含む Active Directory オブジェクトを削除する方法はありますか  http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/jul05/hey0714.mspx  完全な OS リカバリを実行した後、Windows Server 2008 R2 を再起動すると、エラー メッセージ:「Windows 開始に失敗しました。 状態: 0xc000000e」  http://support.microsoft.com/kb/2261423  ※1台しかない状態でドメインコントローラのコンピュータ名変更しないようにご注意。  AdRestoreを使い倒せ! 〜Active Directoryオブジェクトを復元する〜  http://www.computerworld.jp/topics/mws/191221.html  8456 または 8457 エラーで失敗する Active Directory 操作のトラブルシューティング:"ソース |転送先サーバーは、現在レプリケーション要求を拒否している"  http://support.microsoft.com/kb/2023007
正しく複製されているか確認する サポートツールにある、dsastat を利用する。  ドメインコントローラ DC01 と DC02 がある場合は    dsastat -s:dc01;dc02
ドメインで管理されているユーザやコンピュータを別のドメインに移したい場合  Active Directory 移行ツール (ADMT) ガイド : Active Directory ドメインの移行と再構築  Active Directory 移行ツール Version 3.2 を使うと出来るようです。  アカウント移行プロセスの決定
イベントID:20 ソース:KDC 現在選択されている KDC 証明書は、以前は有効でしたが、今は無効です。適切な 代わりのものは見つかりませんでした。この問題が修正されない場合、スマート カード ログオンは正常に機能しない可能性があります。 ドメインの公開キーのインフラストラクチャ の状態を確認するように、システム管理者に連絡してください。 チェーンの状態はエラーデータにあります。 と、イベントログに出た場合の対策。  コマンドプロンプトから  Certutil -dcinfo deleteBad  を実行する。  "イベント ID : Windows Server 2003 ベースのドメイン コントローラでの20 インチイベント メッセージ キー配布センターを表示します。
イベントID:11 ソース:KDC 名前が MSSQLSvc/myserver.netdive.local:1433 で種類が DS_SERVICE_PRINCIPAL_NAME のアカウントが複数あります。 と、イベントログに出た場合の対策。  KB:Windows 2000 Server Prompts Domain User for Credentials  原因   Kerberos が有効な Active Directory 環境で SQL Server のサービスアカウントを変更するとこのエラーが出ます。  修復方法(上記のKBとは手順が違います)  1.SPN の照会 を参考にスプリクトを作成。  2.querySpn.vbs MSSqlSvc/* を実行し重複しているサービスアカウントを探す。  3.setspn コマンドで SPN を削除    例)setspn -d MSSQLSvc/myserver.netdive.local:1433 sqlsvc    ※ setspn.exe はリソースキットに入っています。     Windows Server 2003 の Setspn.exe サポート ツールの更新プログラム     http://support.microsoft.com/kb/970536 アカウントを変更した場合は、SQL Server のメモリがページングされないように、セキュリティポリシーの 「ユーザー権利の割り当て」から「メモリ内のページロック」を開いて、そのアカウントを追加しておく事。   SQL Server 2005 の 64 ビット版でのバッファプール メモリ ページングを減らす方法。   http://support.microsoft.com/kb/918483/  資料   Microsoft SQL Server 2000 のセキュリティ   SQL Server の管理 セキュリティ アカウントの委任   PRB: Setspn fails if domain name differs from NetBIOS name where SQL Server SPN is registered   Windows Server 2003 と Windows 2000 Server で、Active Directory のインストール ウィザードを使用して強制的に降格を実行しても、ドメイン コントローラが正常に降格されない   Windows Server 2003 でのファイル レプリケーション サービスのトラブルシューティング方法 Local Service とほかの既知のセキュリティ プリンシパルが Windows Server 2003 ドメイン コントローラで表示されません。   Kerberos 認証と委任問題のトラブルシューティング   ドメイン コントローラのシステム ログのイベント ID 11   Microsoft Dynamics AX のサービス プリンシパル名の問題のトラブルシューティングを行う  重複関連として SID も。   C:\>ntdsutil   ntdsutil: security account management   security account management: connect to server netdive.local   security account management: check duplicate sid   .   重複した SID の確認は正常に終了しました。dupsid.log を確認してください。   security account management: cleanup duplicate sid   .   重複した SID のクリーンアップは正常に終了しました。dupsid.log を確認してください。   security account management: quit   ntdsutil: quit   netdive.local から切断しています...    [HOWTO] Windows Server 2003 の Ntdsutil を使用して重複するセキュリティ識別子の検出およびクリーンアップを行う方法  ちなみに、SID を調べるには GETSID という 2 つのユーザーアカウントの SID を比較するツールを利用して調べる事が出来ます。  getsid . username . username ( . の代わりに環境変数 %logonserver% としても同じ結果が得られます) 管理者のためのActive Directory入門(Windows Server 2003対応改訂版) 第1回 http://www.atmarkit.co.jp/fwin2k/operation/2003adprimer01/2003adprimer01_01.html 第4回 Active Directory関連用語集(後編) http://www.atmarkit.co.jp/fwin2k/operation/adprimer004/adprimer004_01.html Active Directory http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/a9d684f0-90b1-4c67-8dca-7ebf803a003d.mspx?mfr=true
Windows 2003 Server の Actice Directory に 2008 Server を追加  ・「ソースフォレストの Active Directory スキーマのバージョンはこのコンピュータの Active Directory のバージョンと互換性がありません」  ・「この Active Directory フォレストにドメインコントローラをインストールするには、最初に "adprep /forestprep" を使用してフォレストの準備をする必要があります」  ・「この Active Directory フォレストにドメインコントローラをインストールするには、最初に "adprep /domainprep" を使用してドメインの準備をする必要があります」  フォレストまたはドメインが準備されていません、ってなメッセージが出て追加出来ない場合は 現在の AD の スキーマのバージョンを確認する。   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters   値の名前 : Schema Version   値の型 : REG_DWORD   値 : 30    値については     10 - Windows 2000 Server β3     11 - Windows 2000 Server RC1     12 - Windows 2000 Server RC2     13 - Windows 2000 Server     30 - Windows Server 2003     31 - Windows Server 2003 R2     44 - Windows Server 2008     47 - Windows Server 2008 R2       ・Windows Server 2003 の AD に Windows Server 2003 R2 を 追加する場合   R2 の 2枚目 の DISK から 以下のコマンドを実行してスキーマのバージョンを合わせる    \CMPNENTS\R2\ADPREP\Adprep.exe /foestprep    \CMPNENTS\R2\ADPREP\Adprep.exe /domainprep    \CMPNENTS\R2\ADPREP\Adprep.exe /gpprep  ・Windows Server 2003 の AD に Windows Server 2008 を 追加する場合    \sources\adprep\adprep.exe /forestPrep    \sources\adprep\adprep.exe /rodcprep    \sources\adprep\adprep.exe /domainprep    \sources\adprep\adprep.exe /domainprep /gpprep  ※スキーママスタのアップグレードは後戻りできませんので   修復できるようにバックアップと、システム状態のリストア手順を忘れずに。    Active Directory のリストア    http://technet.microsoft.com/ja-jp/ee676512.aspx    アプリケーション ディレクトリ パーティションのレプリケーション スコープは、Windows Server 2003 ベースのドメインまたは Windows Server 2008 ベースのドメインから削除されることはありません。    http://support.microsoft.com/kb/979384    ドメイン コントローラーの速度が低下またはガーベジ コレクション プロセスの実行時の応答を停止します。    http://support.microsoft.com/kb974803       簡単なバックアップ手段としては Windows Server バックアップを使ってフルバックアップ。   復元する場合は DVD から起動して Windows Complete PC 復元を使用(新しい HDD で復元する場合はバックアップ時と同じサイズかそれ以上の容量を用意すること)       完全な OS リカバリを実行した後、Windows Server 2008 R2 を再起動すると、エラー メッセージ:「Windows 開始に失敗しました。 状態: 0xc000000e」    http://support.microsoft.com/kb/2261423   ※Windows 2012 Server を DC として追加するの場合は、既存の DC の機能レベルを Windows Server 2003 まで上げる必要があります。    また、2000 のドメインがサポートされなくなっていますので注意が必要です。  関連  【連載】にわか管理者のためのActive Directory入門   (11) ドメインコントローラの追加   http://journal.mycom.co.jp/series/AD/011/   (20) Windows Server 2003/2008への上書きアップグレード   http://journal.mycom.co.jp/series/AD/020/index.html   Windows 2000 ドメイン コントローラを Windows Server 2003 にアップグレードする方法   http://support.microsoft.com/kb/325379/   Windows Vista、Windows Server 2008、Windows 7、または Windows Server 2008 R2 ベースのコンピューターが Windows NT 4. 0 ドメインに参加しようとすると、   エラー メッセージ:"ログオン失敗: 不明なユーザー名またはパスワードが間違っています"   http://support.microsoft.com/kb/940268   Windows 7 および Windows Server 2008 R2 の使用が推奨されなくなった機能   http://technet.microsoft.com/ja-jp/library/ee681713(WS.10).aspx      第6回 進化したActive Directory   1.Windows Server 2008 R2のActive Directoryの強化点   http://www.atmarkit.co.jp/fwin2k/winsv2008r2/06adr2/adr2_01.html   マイクロソフト純正フリーサーバツール 15選 [前編   http://www.computerworld.jp/topics/mws/191419.html
ケルベロスのログを有効にする    KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters    値の名前 : LogLevel    データ型 : REG_DWORD    値 : 1(0 で無効)    How to enable Kerberos event logging サポートツール Kerberos List (klist.exe)  現在のログオンセッションに与えられた Kerberos チケットを表示や削除 Kerberos Tray (kerbtray.exe)  Kerberos V5 プロトコルのコンピュータのチケット情報を表示 イベントの種類: エラー イベント ソース: Kerberos イベント カテゴリ: なし イベント ID: 3 ↑ログを有効にすると、このエラーが15分刻みで出てません? Kerberos authentication is unsuccessful in the Local System security context when the computer account password has recently changed on a computer that is running Windows Server 2003 http://support.microsoft.com/kb/918442 parent-and-child ドメイン環境の Windows Server 2003 ベースのドメイン コントローラは、変更を複製することができません。 http://support.microsoft.com/kb/938702 ドメイン コントローラが Windows Server 2003 Service Pack 1 を実行すると、ドメイン コントローラに接続するために、 SSL 接続で LDAP が使用できないことがあります。 http://support.microsoft.com/kb/917268/ja トラブルシューティング - Kerberos http://support.microsoft.com/ph/3198/ja/?sid=1640&aid=3&GSA_AC_More3
後で読む ndows Server 2008 での署名 LDAP を有効にする方法 http://support.microsoft.com/kb/935834/ グループ ポリシーを使用して複数のコンピューターに、MaxTokenSize レジストリ エントリを追加する方法 http://support.microsoft.com/kb/938118/
ソース : Userenv イベント ID : 1030 グループ ポリシー オブジェクトの一覧を照会できません。このエラーの理由を説明するようなメッセージをポリシー エンジンが記録していないかどうか、イベント ログを確認してください。 ソース : Userenv イベント ID : 1058 GPO CN={00000000-0000-0000-0000-000000000000},CN=Policies,CN=System,DC=netdive,DC=local 用のファイル gpt.ini にアクセスできません。 ファイルは、場所 <\\netdive.local\sysvol\netdive.local\Policies\{00000000-0000-0000-0000-000000000000}\gpt.ini> (ネットワーク パスが見つかりません。または アクセスが拒否されました。) に存在する必要があります。グループ ポリシーの処理は中止されました。 と、出る場合の対処。  ・Microsoft ネットワーク用ファイルとプリンタ共有 が有効になっているか確認  ・TCP/IP NetBIOS Helper が有効になっているか確認  ・Microsoft 分散ファイル システム (DFS) が有効になっているか確認    KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup    値の名前 : DisableDFS    データ型 : REG_DWORD    値 : 0(有効)  ・ルート ドライブの NTFS ファイル システムのアクセス許可から "Everyone" が削除されている場合    "Everyone" にルート フォルダに対する読み取りと実行の特殊なアクセス許可のみを付与し    ルート フォルダに対する "Everyone" グループの NTFS アクセス許可を復元。  ・dfsutil /PurgeMupCache を実行してみる(このコマンドは DFS、MUP のローカルキャッシュ情報をリフレッシュする)    Dfsutil.exe ファイルは、Windows Server 2003 の CD-ROM の \\SUPPORT\TOOLS フォルダにある    SUPTOOLS.MSI を実行するとインストールされます。   ジャンボフレームを設定している場合は、オフにしてみる。(これでエラーが出ている可能性あり)   ドメインコントローラを複数立てている場合で、DNS の設定に誤りがあり、各 DC で DNS サービスを動かしており   かつ、その DNS を参照している場合にもエラーが出るようです。(別の DNS を指定すると出なくなるかも)   解決するまで、ネットワークの設定で DNS を自分自身の アドレスから、別の DC の DNS に設定。   これで、エラーは出なくなります。   DNS の設定を見直しましょう。   このエラーが出ている場合、セキュリティポリシーが開けないはず。   同様に gpt.ini が存在しない場合も、グループポリシーの管理から新規作成や編集時に   ネットワークパスが見つかりませんと言われて何も出来ません。  参考   Dfs クライアントを無効にした際 SceCli イベント ID1001,UserEnv イベント ID1000   セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる Microsoft 管理コンソールを開く際のエラー メッセージ "スナップインを初期化できませんでした。"   ドメイン コントローラ上の Workstation サービスまたは Server サービスで SMB 署名を無効にすると、ファイル共有またはグループ ポリシー スナップインを開けない   Microsoft Windows Server 2003 を実行しているドメイン コントローラは、複数回曜日の 2 〜 15分の応答を停止することがあります。   ギガビット イーサネット デバイスで、ドメイン コントローラに接続できず、グループ ポリシーを適用できない   一部読み取り/書き込みのドメイン コントローラーと一部の読み取り専用ドメイン コントローラーが Windows Server 2008 ベースのドメインでグループ ポリシー オブジェクト (GPO) への変更は適用されません。   Windows Server 2008 を実行しているドメイン コントローラー上のエラー メッセージ:"、エラーで失敗したため '0x8007000d データが無効です ' 'ドメイン名 {GUID}' のコードは、クライアント側拡張子ユーザー ポリシー設定削除できませんでした"。   レジストリの更新、Windows Server 2008 R2 を実行しているコンピューターでグループ ポリシー設定にした場合は、グループ ポリシー モデル作成ウィザードが失敗しました。
アクセス制御リストは、間違った Windows Server 2003 での情報をレポートできます。 http://support.microsoft.com/kb/884049  administrator は、無効化して使わないって事で。
------------------------------------------------------------------------------- イベント ソース: MSDTC イベント ID: 53258 説明: MS DTC は、DC 昇格/降格イベントを正しく処理できませんでした。 MS DTC の動作はこれまでと変わりません。MS DTC は既存のセキュリティ設定を使用します。 エラー固有情報: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9280, Pid: 1704 No Callstack, CmdLine: C:\WINDOWS\system32\msdtc.exe ------------------------------------------------------------------------------- コンポーネントサービスから MSDTC のセキュリティ構成の確認をして サービスを再起動すると直るらしい。 コントロールパネル>管理ツール>コンポーネントサービス からコンポーネントサービスを展開し マイ コンピュータを右クリックでプロパティを開く。 MSDCT タブをクリックして トランザクション構成の「セキュリティの構成」ボタンをクリック セキュリティの構成画面が出たら、そのまま OK を押す。 MSDCT のサービス コントロールの状態から 「停止」>「開始」 http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?forum=6&topic=27270 XA トランザクション が ON になった時に処理する権限が無いのが原因か? ------------------------------------------------------------------------------- イベントの種類: 情報 イベント ソース: MSDTC イベント カテゴリ: TM イベント ID: 4193 ユーザー: N/A 説明: MS DTC を次の設定で開始しました (OFF = 0 および ON = 1): セキュリティ構成: トランザクションのネットワーク管理 = 0、 ネットワーク クライアント = 0、 ネイティブ MSDTC プロトコルを使った着信分散トランザクション = 0、 ネイティブ MSDTC プロトコルを使った送信分散トランザクション = 0、 Transaction Internet Protocol (TIP) = 0、 XA トランザクション = 1 重複したイベントのフィルタ = 1 ------------------------------------------------------------------------------- イベントの種類: 情報 イベント ソース: MSDTC イベント カテゴリ: TM イベント ID: 4193 ユーザー: N/A 説明: MS DTC を次の設定で開始しました (OFF = 0 および ON = 1): セキュリティ構成: トランザクションのネットワーク管理 = 0、 ネットワーク クライアント = 0、 ネイティブ MSDTC プロトコルを使った着信分散トランザクション = 0、 ネイティブ MSDTC プロトコルを使った送信分散トランザクション = 0、 Transaction Internet Protocol (TIP) = 0、 XA トランザクション = 0 重複したイベントのフィルタ = 1 ------------------------------------------------------------------------------- ※ DC の入れ替えに記している「MS DTC を完全に有効にするには」を実行すれば、エラーは出なくなります。 DTC と SQL Server で「 XACT_E_NOENLIST」エラー メッセージ http://support.microsoft.com/kb/831425/ja [PRB] DTC のセッション タイムアウトとトランザクション要求が競合する http://support.microsoft.com/kb/827773/ja コンピュータが同じドメインで実行されていない場合に MSDTC による相互認証が失敗する http://support.microsoft.com/kb/827805/ja HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC 値の名前 TurnOffRpcSecurity データ型 REG_DWORD 値 1 Windows Server 2003 Service Pack 1 のインストール後 レジストリ エントリ TurnOffRpcSecurity は 0 に設定されます。 Windows Server 2008 R2 MS DTC 修正プログラム ロールアップ パッケージ 1 に固定されている MS DTC 問題 http://support.microsoft.com/default.aspx/kb/978476
レプリケーションエラー イベント ソース: NTDS Replication イベント カテゴリ: レプリケーション イベント ID: 1864 説明: これは、ローカル ドメイン コントローラ上の次のディレクトリ パーティションのレプリケーション状態です。 最近、ローカル ドメイン コントローラは、いくつかのドメイン コントローラからレプリケーション情報を受信していません。 複数のDCが在る場合に、同期が取れず放置してると出るエラー Adsiedit ツールを使用して、TSL を 長く設定し直せば再同期される?(検証中)  ADSI Edit  + Domain [dc01.netdive.local]  - Configuration [dc01.netdive.local]   - CN=Configuration,DC=netdive,DC=local   - CN=Services   - CN=Windows NT   + CN=Directory Service ←ここで右クリックからプロパティを選択  + Schema [dc01.netdive.local]  プロパティを開いたら、 Attribute Editer タブから tombstoneLifetime を選択し 180 と 入力  ※数字を入れる前に dcdiag を実行して最後にレプリケーションを行った日付を確認しておく。  最後に REPADMIN /syncall を実行して、強制的にレプリケーションを実行  REPADMIN /options dc02 -DISABLE_INBOUND_REPL  REPADMIN /options dc02 -DISABLE_OUTBOUND_REPL  とかも必要かも。 参考  Windows 2000 ベースのフォレストまたは Windows Server 2003 ベースのフォレスト内の残留オブジェクトに関する情報  http://support.microsoft.com/kb/910205/ja  障害回復: Active Directory ユーザーとグループ  http://technet.microsoft.com/ja-jp/magazine/2007.04.adrecovery.aspx  Windows Server 2008 の日本語版 ADSIEdit で msDS-LockoutDuration 属性の設定値に「(なし)」と入力して PSO を作成し、  英語版 ADSIEdit で msDS-LockoutDuration 属性値を確認すると「(never)」と表示される  http://support.microsoft.com/kb/980612/ja  Windows Server 2008 および Windows Server 2008 R2 のドメイン コントローラー上で Repadmin コマンドまたは DCDiag コマンドを実行すると、エラーが出力される  http://support.microsoft.com/kb/2581638/ja  8606 エラーで失敗する Active Directory 操作のトラブルシューティング:「が不足している属性が与えオブジェクトを作成する」  http://support.microsoft.com/kb/2028495/ja イベント ソース: NTDS Replication イベント カテゴリ: レプリケーション イベント ID: 2042 ユーザー: NT AUTHORITY\ANONYMOUS LOGON 説明: このコンピュータと名前が付けられたソース コンピュータが最後にレプリケートされてから時間が 経ちすぎました。このソースとのレプリケーションの間の時間が廃棄 (Tombstone) の有効期間を越 えています。レプリケーションはこのソースで停止しています。レプリケーションが続行できない 理由は、2 台のコンピュータの削除されたオブジェクトの表示が現在同じではないためです。 ソース コンピュータに、このコンピュータで削除 (およびガーベジ コレクト) されたオブジェクト のコピーがまだある可能性があります。レプリケートすることができた場合、ソース コンピュータに より既に削除されたオブジェクトが返される可能性があります。 で同期が取れない場合は    KEY: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters    値の名前 : Allow Replication With Divergent and Corrupt Partner    データ型 : REG_DWORD    値 : 1(有効) を追加して強制的に復元させる。(復元後、このキーは削除する事) ※サポートされていない復元方法なので問題が発生する可能性高し。素直に降格して再構築が良いかも。。。  仮想ホスト環境で Active Directory ドメイン コントローラをホストする場合の考慮事項  http://support.microsoft.com/kb/888794  Windows Server 2008 における Active Directory のバックアップと復元  http://technet.microsoft.com/ja-jp/magazine/2008.05.adbackup.aspx    定期的にバックアップしましょう、って事ですね。  Active Directory のシステム状態のバックアップの有効期間について  http://support.microsoft.com/kb/216993/ja  Windows Server 2003 でバックアップ機能を使用してデータのバックアップおよび復元を行う方法  http://support.microsoft.com/kb/326216/ja イベントの種類: エラー イベント ソース: NTDS Replication イベント カテゴリ: DS RPC クライアント イベント ID: 1411 説明: Active Directory は、次のドメイン コントローラの相互認証のサービス プリンシパル名 (SPN) を構築できませんでした。    KEY: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters    値の名前 : RepsTo Failure Time (sec)    データ型 : REG_DWORD    値 : 60  このキーを追加後、コマンド プロンプトで  repadmin /kcc  repadmin /showreps を実行、暫く様子を見る。  イベント ID: 1411 が Microsoft Windows Server 2003 または Microsoft Windows 2000 を実行しているドメイン コントローラで出力します。  http://support.microsoft.com/default.aspx/kb/938704
うは、エクスプローラが落ちるなんて初めてですけど。。。 ------------------------------------------------------------------------------- イベントの種類: エラー イベント ソース: Application Error イベント カテゴリ: (100) イベント ID: 1000 説明: エラー発生アプリケーション explorer.exe、 バージョン 6.0.3790.1830、 エラー発生モジュール unknown、 バージョン 0.0.0.0、 エラー発生アドレス 0x000902e8 ------------------------------------------------------------------------------- イベントの種類: 情報 イベント ソース: DrWatson イベント カテゴリ: なし イベント ID: 4097 説明: アプリケーション C:\WINDOWS\Explorer.EXE がアプリケーション エラーを起こしました。 03/06/2006 10:17:03.037 にエラーが発生しました。 発生した例外: c0000005 アドレス 000902E8 () ------------------------------------------------------------------------------- イベントの種類: 情報 イベント ソース: Winlogon イベント カテゴリ: なし イベント ID: 1002 説明: シェルが停止し、Explorer.exe が再起動されました。 ------------------------------------------------------------------------------- 何だろう、、、 メモリか、ハードディスクが死にかけてるのかなぁ… ノートンアンチウイルスが悪さしている?(リアルタイムな設定じゃないけど、、、) Windows Server 2003、Windows 2000、または Windows XP を実行しているコンピュータでウイルス スキャンを行う場合の推奨事項 http://support.microsoft.com/kb/822158/ja とりあえず、チェックディスクと、ウイルススキャンさせない定義の見直しで。。。
TeraStation をドメインに参加 http://qa.buffalo.jp/eservice/esupport/consumer/esupport.asp?id=413b2381-7291-499a-92d2-581e1fc8ddd1&resource=&number=0&isExternal=0 セキュリティポリシー下げすぎ… FTP も アクセスログ無いし… NTLMv2 認証にしてると、XPからもフォルダにアクセス出来ないし こりゃ、つかえん。もう10万だしてちゃんとしたストレージ買いましょう。。。 ※新しいものは VISTA 対応(NTLMv2 認証がデフォルト)となってますので、こっちなら使えそう。(が、もう買うつもりはないけど...)  ドメイン コントローラ上の Workstation サービスまたは Server サービスで SMB 署名を無効にすると、ファイル共有またはグループ ポリシースナップインを開けない  http://support.microsoft.com/kb/839499 ちなみに旧型の TeraStation も VISTA からアクセスする場合は ローカルセキュリティポリシーの LAN Manager 認証 レベルを 「NTLM 応答のみ送信する」にするとアクセス出来るようになります。
多重ログインの抑制 LimitLogin を使う。 詳しくは  Utility Spotlight Limit Login Attempts With LimitLogin  http://technet.microsoft.com/ja-jp/magazine/cc160794(en-us).aspx  Windowsの同時ログオン・セッションを制限する  http://itpro.nikkeibp.co.jp/article/COLUMN/20061011/250363/?ST=sysmanage&P=1 自分のPCには自分しかログオン出来ない様にするだけならば、  ADユーザとコンピュータ  >管理ツール   >ユーザのプロパティ    >アカウントタブから    [ログオン先]ボタンをクリック ここでログインできるコンピュータを制限できます。
UAC 関連  VISTA で  ドキュメントフォルダのリダイレクトがうまく動かない  ログオンスクリプトでネットワークドライブが割り当てられない場合の対策      KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System    値の名前 : EnableLinkedConnections    データ型 : REG_DWORD    値 : 1    Windows Vista でのユーザー アカウント制御を有効にするプログラムができなくによってネットワークの場所にアクセス    http://support.microsoft.com/default.aspx/kb/937624/  Windows Server 2008 で負荷分散を構築する場合等でも有効かも?(試してません)
その他 Active Directory Active Directory がよくわかるオンライン デモ 第1回 Active Directoryとは何か? お手軽 Active Directory 構築 Windows Server 2003 の Active Directory サービス 動作メカニズム : ドメイン ネーム システム スクリプトを使用した Active Directory セキュリティの管理 マイクロソフトの Securing Windows 2000 Server ソリューション 第 5 章 ‐ ドメイン インフラストラクチャをセキュリティで保護する ディレクトリ サービス 使っていますか: .NET Framework 2.0 を用いた新しい Active Directory の管理方法 特定のサービスの読み込みを遅らせる方法 Windows Server 2003、Windows XP、および Windows 2000 で Kerberos に UDP ではなく TCP を使用するように強制する方法 ホーム ネットワークに Active Directory を構成する方法 Windows 2000 と MIT Kerberos の間で信頼が機能しない Windows 2000 および Windows Server 2003 クラスタ ノードをドメイン コントローラとして構成する W32Time をソースとするイベント ID 56 によって、無効な署名のタイム スタンプが DC によって返されたと報告される Windows Server 2003 の Active Directory 用新規コマンド ライン ツール Windows でパスワードの LAN Manger ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法 Windows Server 2003 または Windows 2000 Server ベースのドメイン コントローラ上の Lsass.exe プロセスによるメモリの使用量 Windows 2000 または Windows Server 2003 が実行されているドメイン コントローラにファイルをコピーすると、ネットワークのパフォーマンスが低下する Windows Server 2003 でディレクトリ サービスのコマンド ライン ツールを使用して Active Directory のオブジェクトを管理する方法 Windows Server 2003 のドメインでネットワークを経由して共有フォルダに接続する方法 Windows Server 2003 で TCP/IP または NetBIOS のネットワーク接続の診断とテストを行う方法 Windows Server 2003 ドメイン環境のネットワークでファイルとフォルダを共有する方法 Windows Server 2003 ファミリで、起動、シャットダウン、ログオン、およびログオフの詳細な状態メッセージを有効にする方法 Netdom.exe を使用して Windows Server 2003 ドメイン コントローラのコンピュータ アカウントのパスワードをリセットする Windows Server 2003 で Windows NT ベースのドメインとの信頼を確立する方法 DCPROMO 実行時に一部の IIS フォルダのアクセス許可が保持されない Windows XP を実行するコンピュータでドメインにログオンするとき、またはネットワーク リソースに接続するときに、時間がかかる Windows Server 2003 でデフォルトでは無効になっているサービス Windows Server 2003 でネットワーク DTC アクセスを有効にする方法 Lsass.exe でアクセス違反が発生し、イベント ID 1015 およびイベント ID 1000 が Windows Server 2003 ドメイン コントローラのアプリケーション ログに出力される Windows XP を実行するコンピュータでドメインにログオンするとき、またはネットワーク リソースに接続するときに、時間がかかる Windows Server 2003 ベースのドメイン コントローラを再起動すると、イベント ID 1097 およびイベント ID 1030 のエラー イベントが記録される ドメイン コントローラが正常に動作しない Windows Server 2003 で RPC エンドポイント マッパーのエラーのトラブルシューティングを行う方法 ADMT ツールで SID マッピング ファイルを使用して Windows Server 2003 にリソース ドメインを移行する方法 Windows Server 2003 ベースのメンバ サーバーではなく、ワークステーションがマスター ブラウザになることがある %windir%\registration ディレクトリのアクセス制御リストのデフォルトのアクセス許可を変更したシステムに COM+ および MS DTC 用のマイクロソフト セキュリティ情報 MS05-051 の重要な更新プログラムをインストールした後、さまざまな問題が発生することがある Kerberos チケットは、クライアントのクロックと、ドメイン コントローラのクロックの時間差が"最大のコンピュータの時計の同期のトレランス"値を超えてでも発行されます。 Microsoft Windows Server 2003 サポート ページ Active Directory フェデレーション サービス (ADFS) Active Directory Application Mode (ADAM) Active Directoryによるディレクトリ管理 Active Directoryを理解するための基本用語(前編) 改訂 管理者のためのActive Directory入門(Windows Server 2003対応改訂版)第7回 Active Directoryの導入(1) グループ・アカウントの種類を知る [運用] Active Directory管理者のためのDNS入門 第1回 DNSの基礎知識 Active Directory ユーザー アカウントがいつ失効するかを判断する方法はありますか http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/jul05/hey0718.mspx 他のオブジェクトを含む Active Directory オブジェクトを削除する方法はありますか http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/jul05/hey0714.mspx  Windows Server 2003 の Boot.ini ファイルの編集方法  http://support.microsoft.com/kb/317526  Windows XP および Windows Server 2003 の Boot.ini ファイルで使用可能なスイッチ オプション  http://support.microsoft.com/kb/833721 ユーザーがコンピュータにログオンすると、すべてのプログラムが何を実行するか確認する方法。 http://support.microsoft.com/kb/556012 ユーザー ログオフを追跡する方法。 http://support.microsoft.com/kb/556015 Windows Server 2003 ファミリで、起動、シャットダウン、ログオン、およびログオフの詳細な状態メッセージを有効にする方法 http://support.microsoft.com/kb/325376 他のユーザにログオンさせたくないだけの場合  「ADユーザとコンピュータ」からユーザのプロパティを開き  アカウントタブの[ログオン先]ボタンをクリック  ここでアカウントがログインできるコンピュータを制限できます。 Active Directory導入企業における「統合認証基盤確率のシナリオ」 https://www.netsecurity.ne.jp/special/ad/web01.html Active Directoryを効率よく管理するツール「Active Directory Network Manager」 http://itpro.nikkeibp.co.jp/article/COLUMN/20081014/316839/ Active Directory統合管理ツールの定番「Hyena」 http://itpro.nikkeibp.co.jp/article/COLUMN/20081031/318259/ Active DirectoryとLinuxの認証を統合しよう http://gihyo.jp/admin/serial/01/ad-linux/0001 OpenLDAPからActive Directoryへ移行せよ(1) http://www.computerworld.jp/topics/mws/172309.html あとは、OpenSSO もかな。
ポートスキャナ(メモページに書こうかと思ったけどこっち)  PortQueryUI http://download.microsoft.com/download/3/f/4/3f4c6a54-65f0-4164-bdec-a3411ba24d3a/PortQryUI.exe  ※PortQry UI には PortQry 2.0 が組み込まれています。 参考  PortQry 2.0 の新機能  [HOWTO] Portqry を使用して Active Directory の接続の問題をトラブルシューティングする方法 サービスとして組み込みログとして記録するものに「Port Repoer」があります。 組み込んでおくと良いかもね。(大量のログが書き込まれるので注意!) Port Reporter ツールの概要と入手方法 ついでに、ボトルネックを調べるツールとして IIS サーバーのパフォーマンスの分析ツール http://www.microsoft.com/japan/technet/community/columns/insider/iisi0105.mspx#EPC にも書かれている Server Performance Advisor (今は 2.0 が出てます) NetBIOS Browsing Console (Browcon.exe) の説明 http://support.microsoft.com/kb/818092/ja Net Logon サービスのデバッグ ログを有効化 http://support.microsoft.com/kb/109626/ja 製品版 Windows でユーザー環境デバッグ ログを有効にする方法 http://support.microsoft.com/kb/221833/ja ネットワーク モニター 3 について http://support.microsoft.com/kb/933741/ja Active Directory Performance for 64-bit Versions of Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?familyid=52e7c3bd-570a-475c-96e0-316dc821e3e7&displaylang=en その他  NetEnum  http://www.forest.impress.co.jp/lib/inet/servernt/netanlz/netenum.html  MS製ネットワーク解析ツール「Microsoft Network Monitor」v3.2が公開  http://www.forest.impress.co.jp/article/2008/09/19/msnetworkmonitor32.html
OpenLDAPで始めるディレクトリサーバ構築 第1回 OpenLDAPの設計 http://www.atmarkit.co.jp/flinux/rensai/openldap01/openldap01a.html 第2回 OpenLDAPのインストールと動作確認 http://www.atmarkit.co.jp/flinux/rensai/openldap02/openldap02a.html 第3回 OpenLDAPサーバを利用したユーザー認証 http://www.atmarkit.co.jp/flinux/rensai/openldap03/openldap03a.html 第4回 考えておこう! OpenLDAPのセキュリティ設定 http://www.atmarkit.co.jp/flinux/rensai/openldap04/openldap04a.html 最終回 レプリケーションで冗長構成 http://www.atmarkit.co.jp/flinux/rensai/openldap05/openldap05a.html