参考書
ひと目でわかるMicrosoft Active Directory (マイクロソフト公式解説書) (単行本) これはマイクロソフトから貰った。
Microsoft Windows Server 2003 リソースキット 導入編3 [Active Directory]【CD-ROM付】 (マイクロソフト公式解説書) (単行本) これは買ったw
Active Directory (ペーパーバック)
Active Directory Cookbook (Cookbooks) (ペーパーバック)
Windows Server 2003 Technology Active Directory 障害対策ガイド (単行本)
Active Directory (AD) TechCenter
http://technet.microsoft.com/ja-jp/activedirectory/default.aspx
がオープンしました。
Active Directory 関連ドキュメント
Windows サーバー システムのサービス概要およびネットワーク ポート要件
TOP
メモ全般
DNS と ActiveDirectory 関連(ここ)
Windows Server 2003 SP1 関連
リモートデスクトップ 関連
WSC 関連
SMTP 送信関連
IIS 関連
ASP 関連
NSLOOKUP の主要なオプション
オプション 意味
help ヘルプを表示する。NSLOOKUPユーティリティで使用可能なオプションの一覧が表示される
server NAME 使用するDNSサーバーをNAMEで指定されたDNSサーバーに変更する。
lserver NAME server の場合はその時点で選択されているDNSサーバーを検索し
lserver の場合は TCP/IP のプロパティで指定されている DNS サーバーを検索する。
ls ZONE ZONEで指定されたゾーンの情報を表示する。
lsコマンドでゾーン情報を表示する場合、DNSサーバーからnslookupコマンドを実行したクライアントへとゾーン転送されることになる。
ゾーン転送を許可していないDNSサーバーに対してlsコマンドを実行した場合は拒否される。
具体的には、“ls active.dsl.local”のように用いる。
lsコマンドにはオプションが用意されており、表示するリソースレコードを制御するために利用される。
オプション 意味
-a CNAMEとエイリアスのみを表示する
-d すべてのリソースレコードを表示する
-t TYPE TYPEで指定されたリソースレコードのみを表示する
set debug デバッグ情報を表示する。d2は「デバッグレベル2」を意味しておりより詳細なデバッグ情報を表示できるようになる。
set d2 デバッグ情報には,DNSサーバーとのやり取りが含まれている為、DNSの問題を解決するときによく利用される
set timeout=X タイムアウト時間をX秒に指定する
set type=X 照会するリソースレコードのタイプをXに指定する。Xには,A,PTR,SRV,MX,NSなどを指定できる
set querytype=X
DNS設定の確認
nslookup
> set type=all
> server ns.netdive.jp
Server: ns.netdive.jp
Address: 61.194.16.122
> netdive.jp. 《 最後にドットを忘れずに(無くても動きます)
情報がずらずらと・・・
> ls -t netdive.jp. 《 最後にドットを忘れずに(無くても動きます)
情報がずらずらと・・・
> exit
nslookup コマンドを使ってドメイン コントローラの DNS 登録を確認する
nslookup(2)――メール・サーバーも探せる
BIND のバージョンを調べるには ※動作は未確認
> set type=txt
> set class=chaos
> version.bind
コマンドからだと
nslookup -type=txt -class=chaos version.bind サーバー名
NBLookup.exe コマンド ライン ツール (Microsoft)
Windows 2000 Server、Windows Server 2003 での DNS クライアント設定の最適な構成
●ドメイン コントローラが DNS サーバーとしても機能する場合
・設定したサーバーの IP アドレスを参照するように DNS クライアント設定を構成し、これ以外の DNS サーバーを指定しない。
・ドメイン コントローラの DNS クライアント設定を、プロバイダの DNS サーバーを参照するように構成しない。
※設定してしまうと Netlogon サービスが Active Directory ディレクトリ サービスの正しいレコードを登録しなくなるため
自身のレコードを自身の DNS サーバーに登録する必要がある。
・外部 DNS 要求を転送するには、DNS 管理コンソールで、ISP の DNS サーバーを DNS フォワーダとして追加する。
・フォワーダを構成しない場合は、デフォルトのルート ヒント サーバーが使用される。
・内部 DNS サーバーからインターネット上の DNS サーバーに転送するには、DNS 管理コンソールの [前方参照ゾーン] フォルダで、ルート "." (ドット) ゾーンを削除する
※ルートゾーンが存在しているとフォワーダの設定が出来ません
[HOWTO] ルート ゾーン (ドット ゾーン) を削除する方法
ルート ヒントを削除しても再び表示される
ルート"."ゾーンでのドメインを委任するために、委任ウィザードを使用することができません。
・DNS をホストするドメイン コントローラに、ネットワーク アダプタが複数装着されている場合は、DNS 名前登録のためにアダプタの 1 つを無効にする。
RRASとDNSがインストールされたDCでの名前解決と接続の問題
ネットワークのプロパティから
・[DNS サーバー アドレス (使用順)] ボックスに、推奨される DNS サーバーのアドレスを追加。
・[不適切な名前の解決に使用するオプションを選択してください。以下の設定は TCP/IP が使用可能になっている接続すべてに適用されます]
から[以下の DNS サフィックスを順に追加する] に設定した場合は、Active Directory の DNS ドメイン名をリストの最初 (先頭) に置く。
・[この接続の DNS サフィックス] ボックスの設定が Active Directory のドメイン名と同じことを確認。
・[この接続のアドレスを DNS に登録する] チェック ボックスを「オン」に。
DNS クライアント設定を変更する場合
DNS リゾルバ キャッシュを消去して DNS リソース レコードを登録する
DNS リゾルバ キャッシュを消去 ipconfig /flushdns
DNS リソース レコードを登録 ipconfig /registerdns
・DNS データベース内の DNS レコードが正しいことを確認。
DNS 管理コンソールから、コンピュータ名のホスト レコード調べる。
※"A" レコード、SOA (Start of Authority) レコード、ドメイン コントローラを指すネーム サーバー (NS) レコード
・DNS がインストールされていないドメイン コントローラ
・Windows 2000 Server メンバ サーバーおよび Windows Server 2003 メンバ サーバー
・ドメインに所属していない Windows 2000 Server および Windows Server 2003
は以下を参考
Windows 2000 Server および Windows Server 2003 における最適な DNS クライアント設定
Windows Server 2003 の DNS サーバー ログにイベント ID 4515 が記録される
DNS キャッシュ・ポイズニング攻撃(DNSサーバーの情報を勝手に書き換える攻撃)」の対策
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
値の名前 : SecureResponses
データ型 : REG_DWORD
値 : 1(悪質なデータを削除します)
※デフォルトでは、このキーは存在しないため、応答から悪質なデータが削除されません。
DNS キャッシュ破壊の防止策
DNS サーバーの [Pollution に対してセキュリティでキャッシュを保護する] 設定について
Windows 2000 および Windows Server 2003 の DNS に関してよく寄せられる質問
Windows Server 2003 で Web サイトの DNS レコードを構成する方法
Windows XP および Windows Server 2003 でクライアント側の DNS キャッシュを無効にする方法
Windows でクライアント側の DNS キャッシュを無効にする方法
マイクロソフト セキュリティ アドバイザリ (935964) Windows DNS サーバー の RPC の脆弱性により、リモートでコードが実行される
対策
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
値の名前 : RpcProtocol
データ型 : REG_DWORD
値 : 4
DNS_RPC_USE_TCPIP 0x1
DNS_RPC_USE_NAMED_PIPE 0x2
DNS_RPC_USE_LPC 0x4
値を「0」に設定すると、すべての DNS PRC が無効になる。
副作用
RPC を使用した DNS サーバーの機能のリモート管理は無効になります。
もしくは
ポート情報の送信を要求していないすべての受信トラフィック (1024 から 5000)をフィルタする。
※ TCP/UDP 139 および 445 ポートもブロックする必要がある事が追加されました。
MS07-029 適用後は RPC が割り当てられたバッファにメッセージを渡す前の検証方法が変更されたので
このレジストリキーを削除しても問題ありません。
Web プロキシ自動発見 (WPAD) の脆弱性により情報漏えいが起こる
例えば、netdive.jp だった場合、WPAD サーバを探しているうちに .jp には WPAD.jp(実在)を参照してプロキシ・サーバを見つけてしまい
その結果、中間者攻撃によって通信内容を盗聴されたり、なりすましによる攻撃を受けたりする可能性があるんだそうです。
対策
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
値の名前 : UseDomainNameDevolution
データ型 : REG_DWORD
値 : 0(デフォルト 1)
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93802.mspx
または、IE の LAN の設定の自動構成から「設定を自動的に検出する」を無効にする。
または、DNS の検索サフィックス・リストを定義する http://www.atmarkit.co.jp/fwin2k/win2ktips/398dnssuffix/dnssuffix.html
DNS の更新プログラムのインストール後のクライアント コンピューターにおける動作
プライマリ DNS サフィックスのデボルブ レベル
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
DomainNameDevolutionLevel
データ型 : REG_DWORD
値 : 3(デフォルト 2)
デボルブの際に最低 3 つのラベルのプライマリ DNS サフィックスが追加されることが保証されます。
設定は 2 以上の値。(2 〜 50)
The Cable Guy: Windows 7 と Windows Server 2008 R2 の DNS クライアント サービスで行われた変更
http://technet.microsoft.com/ja-jp/magazine/ff679956.aspx
「知らない間にサイトが“乗っ取られる”」、ドメイン名期限切れに注意 http://www.nikkeibp.co.jp/news/it06q2/501544/
http://www.cyberpolice.go.jp/ のシステム/ネットワーク管理者→セキュリティ講座に 『DNS編』が追加されています。
新手の Dos 攻撃について
細工された DNS に再帰的問い合わせを送信させることで、リモートの攻撃者にDos攻撃を実行される恐れがあるようです。
猛威を振るう新種のDoS攻撃--ダメージは従来よりはるかに深刻
http://japan.cnet.com/news/sec/story/0,2000050480,20098827,00.htm
Windows DNS もこの影響を受けるようです。危険度は低いようですが…
回避するには、再帰的問い合わせを無効にする。
※この設定をすると、DNS に書かれているドメイン以外は引けなくなりますので、参照している DNS をまず確認しましょう。。。
JPCERT/CC が注意喚起出しましたね。
DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起
http://www.jpcert.or.jp/at/2006/at060004.txt
▼攻撃の踏み台とならないために Windows DNS サービス編
Windows の DNS サーバである、Windows DNS サービスは、単体ではアクセス
を制限する機能はありません。またコンテンツサーバとキャッシュサーバの機
能が兼用となっています。このため、キャッシュサーバにアクセス制限を行う
には、2 台のサーバを使い、キャッシュサーバとコンテンツサーバを物理的に
分離し、キャッシュサーバ側にのみルータ等の外部の機器によるアクセス制限
を施す必要があります。
Windows DNS サービスで、コンテンツ専用サーバとするには、DNS コンソール
のプロパティを選びます。詳細タブに「再帰を無効にする」というチェックボッ
クスがあるので、ここを選択すると、コンテンツ専用サーバになります。
ネームサーバの3つの働きとは
http://www.atmarkit.co.jp/fnetwork/dnstips/005.html
DNSの再帰的な問い合わせを悪用したDDoS攻撃手法の検証について(@police)
http://www.cyberpolice.go.jp/detect/pdf/20060711_DNS-DDoS.pdf
DNS介したDDoS攻撃はデータを40倍に増幅――警察庁が検証
http://www.itmedia.co.jp/enterprise/articles/0607/12/news055.html
ネットのドメインの85%は乗っ取り攻撃から逃れられない
http://slashdot.jp/security/article.pl?sid=06/04/29/0835235
DNS製品の一部に脆弱性──研究機関がテスト・ツールを提供
http://www.computerworld.jp/news/sec/38401.html
DNS Ampの脅威
http://itpro.nikkeibp.co.jp/article/COLUMN/20060905/247220/?ST=print
意外と知られていない? DNSが抱えるセキュリティ問題
http://www.itmedia.co.jp/enterprise/articles/0612/11/news035.html
http://jprs.jp/tech/material/IW2006-DNS-DAY-JPDNS.pdf
http://jprs.jp/tech/material/iw2006-DNS-DAY-minda-03.pdf
DNSサーバーは絶対に信頼できるのか
http://itpro.nikkeibp.co.jp/article/COLUMN/20071024/285311/
新たに新手法の毒入れが公開されています。
DNSキャッシュポイズニング、各ネームサーバの対応が話題に
http://www.itmedia.co.jp/enterprise/articles/0807/26/news009.html
DNSの危機に対応を! 〜キャッシュ毒入れ新手法 Kaminsky Poisoning 〜
https://www.tokai-ic.or.jp/kaminsky.html
DNS発明者のモカペトリス氏、DNSセキュリティの強化訴える
http://internet.watch.impress.co.jp/cda/news/2008/08/29/20707.html
DNSキャッシュ・ポイズニングとNAT機能
http://itpro.nikkeibp.co.jp/article/COLUMN/20080826/313472/
新たなるDNSキャッシュポイズニングの脅威〜カミンスキー・アタックの出現〜
http://jpinfo.jp/topics-column/009.pdf
情報処理推進機構:情報セキュリティ:脆弱性対策:DNSキャッシュポイズニングの脆弱性に関する注意喚起
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html
前編 カミンスキー氏が発表したDNSアタック手法と対策例
http://www.atmarkit.co.jp/fsecurity/special/130dnspoisoning1/dnspoisoning01.html
DNSキャッシュ汚染問題にみる脆弱性の公開と対処 (1/2)
http://www.itmedia.co.jp/enterprise/articles/0810/14/news010.html
DNSサーバの25%は「キャッシュ・ポイズニング攻撃」にいまだ未対応
http://www.computerworld.jp/topics/vs/126869.html
DNSサーバの脆弱性に関する再度の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2008/200812_DNS.html
DNS の SocketPool ランダム化機能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
値の名前 : SocketPoolSize
データ型 : REG_DWORD
値 : 10(デフォルト 2500)
TCPView や netstat -a で競合しているポートの確認がしやすいよう一時的に・・・
設定後、DNS サービスを再起動。
DNS の脆弱性により、なりすましが行われる
http://support.microsoft.com/kb/953230/
ephemeral ポートに割り当て可能な最大ポート数
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
値の名前 : MaxUserPort http://technet.microsoft.com/ja-jp/library/cc938196(en-us).aspx
データ型 : REG_DWORD
値 : 60000 (デフォルト 5000)Exchange Server 2003 はこの既定値が 60000 になる
このレジストリ エントリの値が設定されている場合 [1024 - MaxUserPort] の範囲からランダムに割り当てられる。
値が設定されていない場合ポートは [49152 - 65535] の範囲からランダムに割り当てられる。
ephemeral ポートの範囲を予約
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
値の名前 : ReservedPorts
データ型 : REG_MULTI_SZ
値 : ポートの範囲はxxxx-yyyyの形式で入力。
ポート 50000 を指定するのには、50000-50000 と入力。
Windows Server 2003 または Windows 2000 Server を実行しているコンピューター上の ephemeral ポートの範囲を予約する方法
http://support.microsoft.com/kb/812873/
ポートを制限することによるリスク
特に TTL が短い場合にキャッシュ汚染の影響を受けやすくなる。(と思うが、、、対策されたんだっけか?)
プロバイダが提供している DNS も未対策の場合、ネットに突然繋がらなくなったりしますので
そういう現象が出ている場合は、ルータか DNS 周りを疑うと解決への早道かも。
ついでに ARP 周りも確認した方がいいかもね。(メモ帳にも書いてますけど)
Default Gateway に ping した後に arp -a で type が dynamic になっている場合は arp -s で static に。
詳しくは「ARPスプーフィング」をキーに検索。
特集 インターネット「常時」接続計画第6回 DNSサーバの設定と確認 (@IT)
クラスC未満での逆引き設定は下記参考
逆引きの仕組みと逆引きDNSの運用(@IT)
DNS Tips(@IT)
DNS を構成するうえでの注意点
・ MX レコードの値は CNAME で登録しない。(A 、場合によっては IP 直接で設定)RFC1912,RFC2181
・ NS レコードの値は CNAME で登録しない。(A 、場合によっては IP 直接で設定)
・上位で登録されている NS と自分の NS に差異がないように。(自分のところだけ勝手に NS を変えない)
ちなみにメール関係でトラブルが起きた場合 DNS が絡んでいる事が多いです。
DNS(上位含め) が停止、もしくはファイアウォール、MX 記述ミスなど。
(緊急)Windows DNSサーバーの脆弱性を利用した攻撃について
http://jprs.jp/tech/security/2011-08-11-msdns-vuln-naptr-remote-code.html
その他、関連資料
DNS 設計時の推奨事項
Active Directory 用の DNS サーバーを構成するには
DNS
DNS での NetBIOS 名の解決を無効にする方法
Windows NT、Windows 2000、または Windows Server 2003 でサブネット化された逆引き参照ゾーンを構成する方法
Windows 2000 および Windows Server 2003 で DNS 更新を有効/無効にする方法
Netlogon イベント 5774、5775、5781 のトラブルシューティング
Windows Server 2003、Windows XP、および Windows 2000 に必要な信頼されたルート証明書
単一ラベル DNS 名のドメイン用に Windows を構成する
Windows Server 2003 DNS の条件付き転送
前方参照ゾーンにドメイン サブフォルダが不足している
[HOWTO] Windows Server 2003 でインターネット アクセス用に DNS を構成する方法
現在のプライマリ DNS サーバーを新しいプライマリ Windows Server 2003 DNS サーバーに置き換える方法
Active Directory が有効な Windows Server 2003 で、既存の DNS インフラストラクチャに DNS を統合する
ワイルドカード文字を使用した MX レコードが存在する場合、GUID レコードが登録されない
運用環境で Microsoft DNS server は、利点。
TCP と UDP で DNS または他のサービスが機能します。
Windows Server 2003 で DNS 動的更新を構成する方法
クライアントが DNS レコードを単一ラベルの前方参照ゾーンに動的に登録できない
Windows Server 2003 で外部 DNS クエリの実行時にエラー メッセージが表示されることがある
Windows Server 2003 の DNS サーバー ログにイベント ID 4515 が記録される
Windows Server 2003 および Windows 2000 Server で DNS エイリアス (CNAME) レコードを使用してプリント サーバーを統合する方法
Windows Server 2003 を実行している DNS サーバーで、DNS サービスのゾーンの一部が読み込まれない
Windows Server 2003 を実行しているそして動的な更新をサポートする DNS サーバーを使用する場合、一部のアプリケーションは正しく機能しません。
Windows Server 2003 DNS サーバーに、EnableDirectoryPartitions レジストリ エントリを 0 に設定した後 DNS 清掃失敗のイベント ID 2502 がログに記録される。
Windows Server 2003 ベースのDNS サーバーがホスト名を最初に正常に解決します。ただし、それ以降のクエリで名前の解決に次に失敗します。
A primary DNS zone file may not transfer to the secondary DNS servers in Windows Server 2008
DNS レコードは、BIND DNS サーバーから Windows Server 2003 SP2 ベースの DNS サーバーに転送される DNS データの破損が発生します。
高負荷状況で Windows Server 2008 R2 で、DNS サーバー サービスのパフォーマンスを小さくすると維持
しばらくの間では、Windows Server 2008 R2 の機能と DNS サーバー サービスによって外部の DNS 名が解決しません。
スナップインで、DNS 管理コンソールの Windows Server 2008 R2 の [ネーム サーバー] タブを編集するときに応答が停止します。
RFC4033: DNSセキュリティ拡張の紹介とその要件
RFC4034: DNSセキュリティ拡張で使用するリソースレコード
RFC4035: DNSセキュリティ拡張のためのプロトコル修正
DNS ソフトウェアアップデート情報
JPRSがDNSサーバの不適切な管理による危険性解消のための取り組みを開始
JPRS、DNSの更新間隔を15分に変更?ドメイン登録から約15分で利用が可能に
JP DNSの設定・構成変更について
ドメインサーチオーダーと IPv6
Microsoft Windows - IPv6
Internet Protocol Version 6
Configuring Microsoft Research IPv6
Configuring 6to4 Connectivity with Microsoft Research IPv6
http://download.microsoft.com/download/7/d/f/7df2b3c5-e3da-4172-be2f-9c2e47b9c52a/IPv6RFCs.doc
DNSの仕組みの基本を理解しよう DNSの仕組みと運用(1)
http://www.atmarkit.co.jp/fnetwork/rensai/dns01/dns01.html
telnetでWebサーバに接続してみよう
http://www.atmarkit.co.jp/fnetwork/rensai/tcp01/01.html
TCPの迷宮をさまよってみませんか?
http://www.atmarkit.co.jp/fnetwork/rensai/tcp08/01.html
Webページを見せるまでのパケット君の冒険
http://www.atmarkit.co.jp/fnetwork/rensai/tcp18/01.html
DNSの逆引きゾーンを定義する(イントラネット編)
http://www.atmarkit.co.jp/fwin2k/win2ktips/736dnsptr/dnsptr.html
Microsoft DNSサーバを単独でバックアップするには
http://techtarget.itmedia.co.jp/tt/news/0805/27/news02.html
Windows NT、Windows 2000、または Windows Server 2003 でサブネット化された逆引き参照ゾーンを構成する方法
http://support.microsoft.com/kb/174419/ja
Active Directory用のDNSレコードを強制的に作成する方法
http://www.atmarkit.co.jp/fwin2k/win2ktips/299addns/addns.html
日本DNSオペレーターズグループ
http://dnsops.jp/
JPNIC
http://www.nic.ad.jp/
JP DNS Web Page
http://www.dns.jp/index-j.html
DNS の設定を確認できるサイト。
http://member.dnsstuff.com/pages/dnsreport.php
和訳
http://www.windowslivetranslator.com/BV.aspx?&MKT=ja#http://member.dnsstuff.com/pages/dnsreport.php
L.root-servers.net の IP アドレス変更に伴う設定変更について
http://jprs.jp/tech/notice/2007-11-02-l.root-servers.net.html
第1回 ヘルスチェックしてる? 怠ってはならないDNSのケア
http://www.atmarkit.co.jp/fsecurity/rensai/corenet01/corenet01.html
Microsoft Windows での DNS のなりすましによる情報漏えい
http://www.isskk.co.jp/support/techinfo/general/ms_dns_278.html
BIND採用が進むDNSサーバー,ただし多くが攻撃されやすい誤設定
http://itpro.nikkeibp.co.jp/article/Research/20071121/287728/
第5回 DNS、管理者として見るか? 攻撃者として見るか?
http://www.atmarkit.co.jp/fsecurity/rensai/view05/view01.html
DNSベストプラクティスとは「隠す」そして「重ねる」
http://www.atmarkit.co.jp/fsecurity/rensai/corenet02/corenet01.html
AWS、クラウドベースのDNSサービス「Amazon Route 53」発表
http://www.atmarkit.co.jp/news/201012/06/route53.html
逆引きネームサーバの適切な設定についてのお願い
http://www.nic.ad.jp/ja/topics/2008/20080422-03.html
|2008年7月1日(火)より、lame delegation の状態にある逆引きネームサーバの通知と委任停止を実施いたします。
|今回実施する内容につきましては、以下のURLをご参照ください。
DNSキャッシュポイズニング対策
http://www.ipa.go.jp/security/vuln/DNS_security.html
JPドメイン名サービスへのDNSSECの導入予定について
http://jprs.jp/info/notice/20090709-dnssec.html
DNSSECの導入・普及へ、「DNSSECジャパン」設立
http://internet.watch.impress.co.jp/docs/news/20091125_331241.html
DNS の新機能
http://technet.microsoft.com/ja-jp/library/dd378952(WS.10).aspx
見直しを迫られるDNSの運用
http://itpro.nikkeibp.co.jp/article/Watcher/20100302/345260/
Windows client and server operating system compatibility with DNSSEC enabled root servers
http://support.microsoft.com/kb/2028240
DNSSEC導入の負荷実験データに大きな関心、海底ケーブル埋設&修理ネタも
http://internet.watch.impress.co.jp/docs/event/janog26/20100714_380523.html
DNSSECがルートゾーンで正式稼働、普及に弾み
http://itpro.nikkeibp.co.jp/article/NEWS/20100716/350404/
最近のDNSSECの動向
http://www.netagent-blog.jp/archives/51489071.html
第2回 DNSSECの役割と動作の概要
http://www.atmarkit.co.jp/fnetwork/rensai/dnssec02/02.html
※ iOS4 では .local が付いたドメインは引けないようです。これから AD 構築するような場合はご注意を。
http://support.apple.com/kb/TS3389?viewlocale=ja_JP&locale=ja_JP
JP DNSのDNS応答におけるIPアドレス出力条件変更のお知らせ
http://jprs.jp/info/notice/20100712-arecord-1.html
ICANN、ルートゾーンにおけるDNSSECの正式運用を開始
http://internet.watch.impress.co.jp/docs/news/20100716_381342.html
JPRSがルートゾーンへのDSレコードの登録を申請、JPゾーンをDNSSECで検証可能に
http://itpro.nikkeibp.co.jp/article/NEWS/20101206/354931/
DNSSEC運用ノウハウ (第2版)
http://jprs.jp/tech/material/id/draft-ietf-dnsop-rfc4641bis-04-ja.txt
【レポート】サイトの40%、DNSの設定にエラーあり
http://journal.mycom.co.jp/articles/2010/09/16/dns-health-test/
そのDNSの応答、本当に正しいものですか?
「.jp」でも正式導入、DNSSECの仕組みと意義<前編>
http://internet.watch.impress.co.jp/docs/special/20101006_398080.html
あなたのキャッシュDNSサーバー、DNSSECしてますか?
「.jp」でも正式導入、DNSSECの仕組みと意義<後編>
http://internet.watch.impress.co.jp/docs/special/20101007_398082.html
.jpゾーンへの署名鍵(DSレコード)登録受け付け、公開開始
http://dnssec.jp/?p=423
ドメイン名やDNSの解説コラム No.18 運用者から見たDNSSECと従来のDNSの違い〜運用上特に注意が必要なポイント〜
http://jpinfo.jp/topics-column/018.pdf
第1回 脅かされるDNSの安全性
http://www.atmarkit.co.jp/fnetwork/rensai/dnssec01/01.html
Windows 7 または Windows Server 2008 R2 を実行しているコンピューターで複数の IPv4 アドレスを使用すると、予期しない現象が発生する可能性があります。
http://support.microsoft.com/kb/2175609
Windows 7 または Windows Server 2008 R2 を実行しているコンピューター上の発信トラフィック用の IP アドレスが使用されていない場合でも、IP アドレスは、DNS サーバーに登録されています。
http://support.microsoft.com/kb/2386184
GoogleパブリックDNS
Using Google Public DNS
http://code.google.com/intl/ja/speed/public-dns/docs/using.html
Googleの無料パブリックDNSサービス「Google Public DNS」を使ってネットのアクセス速度を上昇させる方法
http://gigazine.net/index.php?/news/comments/20091204_google_public_dns/
DNS参照を高速に - GoogleがパブリックDNSサービスを無料提供
http://journal.mycom.co.jp/news/2009/12/04/011/
Geekなぺーじ : 「魔法の数字8.8.8.8」を検証する
http://www.geekpage.jp/blog/?id=2011/9/22/1
SRV(Server Selection) レコード
特定のサービスを提供しているサーバのホスト名を取得するためのリソース。
ドメインコントローラ、Kerberos の KDC(Key Distribution Center)、LADP サーバ等を探索する場合に使用される。 RFC2782
書式
[owner] [ttl] [class] SRV [priority] [weight] [port] [target]
owner: _サービス名._トランスポート層プロトコル名.ドメイン名
例えば、Kerberos サービスの場合は、_kerberos._tcp.netdive.local. となる。
priority: target で記述したホストの優先順位。この数値が小さいほど優先順位が高い。
ロードハランシングを利用しない場合は、0 とする。
port: そのホスト上でサービスを提供している TCP/UDP のポート番号。
提供するサーバが存在しない場合は「.」を記述する。
例)_ldap._tcp IN SRV 0 8 389 ldap1
IN SRV 0 2 389 ldap2
この場合、ldap1.netdive.local と ldap2.netdive.local のアクセス負荷は、8:2 の割合となる。(マシンで処理能力が異なる場合に有効)
SRVレコードによるメールサーバの指定
_smtp._tcp IN SRV 10 0 25 mx.netdive.local.
IN SRV 20 1 25 mx1.netdive.local.
IN SRV 30 4 25 mx2.netdive.local.
Active Directory で DNS が使われているのは、この位置情報をどこからでも引けるようにする為。
DNS ドメイン ゾーンのドメイン コントローラの SRV レコード
http://support.microsoft.com/kb/556006
Active Directory サポートのための BIND (Berkeley Internet Name Domain) の構成
http://technet.microsoft.com/ja-jp/library/cc985025.aspx
WindowsのActive DirectoryとbindによるDNSの連携
http://piro791.blog.so-net.ne.jp/2010-03-11
Dnscmd を使ったサーバー管理
Dnscmd.exe を使用して Active Directory 統合 DNS ゾーンから情報を抽出する方法
DNSサーバをコマンド・プロンプトから制御する
http://www.atmarkit.co.jp/fwin2k/win2ktips/530dnscmd/dnscmd.html
dnscmd.exe は Support tool のに入っています。
DNS サーバーの使用統計を表示
> dnscmd サーバー名 /statistics
部分的な取得をするには /statistics の後ろに番号を追加。
> dnscmd /statistics 8
結果
-----------------------------------------------------------
DNS Server . statistics:
Recursion:
----------
Query:
Queries Recursed = 0
Original Questions = 0
Additional Question = 0
Total Questions = 0
Retries = 0
Total Passes = 0
ToForwarders = 0
Sends = 0
Response:
TotalResponses = 0
Unmatched = 0
Mismatched = 0
FromForwarder = 0
Authoritative = 0
NotAuthoritative = 0
Answer = 0
Empty = 0
NameError = 0
Rcode = 0
Delegation = 0
NonZoneData = 0
Unsecure = 0
BadPacket = 0
Process Response:
Forward Response = 0
Continue Recursion = 0
Continue Lookup = 0
Next Lookup = 0
Timeouts:
Send Timeouts = 0
Final Queued = 0
Final Expired = 0
Failures:
Recurse Failures = 0
Into Authority = 0
Previous Zone = 0
Retry Limit = 0
Partial (HaveAnswer) = 0
Cache Update = 0
Server Failure Resp = 0
Total Failures = 0
TCP Recursion:
Try = 0
Query = 0
Response = 0
Disconnects = 0
Cache Update Queries:
Query = 0
Response = 0
Retry = 0
Free = 0
Root NS Query = 0
Root NS Response = 0
Suspended Query = 0
Resume Suspended = 0
Other:
Discarded duplicates = 0
Command completed successfully.
-----------------------------------------------------------
dnslist.exe
/d ドメイン名 テストするドメイン名を指定
/s DNS のサーバIP 指定しないと、www.internic.netを調査
/test_tcp TCP/53 に対して応答があるかテスト
/ql ファイル名 診断する DNS レコードを含んだファイル名を指定して結果をレポート。autocreate でサンプル in-dnslist.txt を作成する
/ad LDAP サーバIP Active Directory のレプリケーションで使用されている DNS リソースレコードに関する結果をレポート表示
/v 結果レポートを画面表示
/r ファイル名 結果レポートを保存するファイル名を指定(デフォルトは dnslist.htm)
/y レポートファイルが存在する場合は、上書きする
/no_open dnslist 診断終了時にレポートファイルを開かない
-----------------------------------------------------------
IPv6 の設定
> dnscmd /Config /EnableIPv6
Registry property EnableIPv6 successfully reset.
Command completed successfully.
で、出来たのかな・・・
ここらへんも。
IP Version 6
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/b4afbbb9-986e-4791-8f1e-8c9ddd2c723e.mspx?mfr=true
DNSサーバでのIPv6の設定
http://jprs.jp/tech/material/tip0002.html
DHCPv6 プロトコル
http://www.microsoft.com/technet/technetmag/issues/2007/03/CableGuy/default.aspx?loc=jp/
Microsoft IPv6 - Teredo の概要
http://technet.microsoft.com/ja-jp/library/bb457011.aspx
IPv6 のインターフェイス識別子
http://technet.microsoft.com/ja-jp/library/cc736439(WS.10).aspx
IPv6アドレスについて知っておくべき10のこと
http://japan.zdnet.com/sp/feature/07tenthings/story/0,3800082984,20423460,00.htm
JPNIC のレポートによると、未配分 IPv4 アドレスの在庫は 2010年に無くなる。
http://www.nic.ad.jp/ja/topics/2007/20070619-01.html
IPv4最初の枯渇、2011年3月を予測
http://journal.mycom.co.jp/news/2010/11/16/074/
Windows Vista 標準サポートでデフォルト有効
Winsows Server 2008 標準サポートでデフォルト有効
Windows XP オプション
Windows Vista 以降の IPv6 は IPv4 よりも優先される。
localhost 127.0.0.1 (IPv4)
localhost ::1 (IPv6)
DNS の名前解決も
A レコード と AAAA(クアッドA) レコードの両方を問合せ
応答と得た場合は、 AAAA が優先されて利用される。
Windows Vista 、Winsows Server 2008 でサポートされている移行テクノロジ
6to4
6over4
ISATAP
Teredo
Windwos Vista では Teredo クライアントがデフォルトで有効
インターネットにアクセス出来る環境の場合
Teredo サーバ(デフォルト:teredo.ipv6.microsoft.com)から
有効な IPv6 アドレスが取得される
Teredo は IPv6 トラフィックを IPv4 の UDP(3544)メッセージ
としてカプセル化するトンネリング技術で、Teredo サーバや
Teredo リレーを介して他の IPv6 ホストと
エンド・ツー・エンドの通信を可能とする。
実験する場合は
http://[2a01:48:1:0:2e0:81ff:fe05:4658]/
ping.exe -6 www.ipv6day.org
XP の場合は ping6.exe www.ipv6day.org
※ IPv6 には プライベートアドレスは存在しない。
また、Teredo クライアントは IPv6 ホストへ接続が試行されると
初めて有効になる。
ファイアウォールで動的なフィルタを使用しており内部からの発信を許可している場合
Teredo クライアントは NAT だけでは無く、ファイアウォールをすり抜けて
双方向の IPv6 トラフィックを通してしまう場合がある。
IPv6 には NAT が不要という考え方が主流で IPv6 版の NAT ソリューションは存在しない。
セキュリティについては、ファイアウォールで制御し IPsec と組み合わせれば
VPN 無しで安全に外部から接続出来る、、、らしい。
Teredo による IPv6 接続を禁止するには
ファイアウォールで、UDP/3544 の発着信を禁止する事が必要。
マイクロソフト セキュリティ情報 MS07-038 - 警告
Windows Vista ファイアウォールの脆弱性により、情報漏えいが起こる (935807)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-038.mspx
攻撃者がメール等で、IPv6 ホストへのリンクを配布された場合に
外部から IPv6 インターフェイスにアクセス出来た問題。
Windows Server 2003 R2 x64 + SP2 + フルパッチ & IE7 な環境に IPv6 を有効にすると
IE7 が起動しなくなる(タスクには存在する)現象が発生。 2007年11月現在(うちだけ?)
IPv6を無効にすれば IE7 は正常に表示される。
また、ネットワーク周りもなんだか怪しい…
itojun氏インタビュー YouTubeで伝えたい、IPv6のあんなことこんなこと
http://internet.watch.impress.co.jp/cda/special/2007/11/05/17407.html
IPv6で始めるネットワーク
http://journal.mycom.co.jp/series/ipv6/menu.html
IPv6導入記
http://www.vwnet.jp/IPv6/IPv6Start.asp
ASCII .technologies 2010年1月号(2009年11月24日発売)に IPv6 の記事がありました。
http://tech.ascii.jp/elem/000/000/476/476589/
ASCII.technologies (アスキードットテクノロジーズ) 2010年 01月号 [雑誌] (雑誌) (アマゾン)持っておくと、いいかも。
Part1 128ビットのアドレス,表記と構造を押さえる
http://itpro.nikkeibp.co.jp/article/lecture/20070613/274633/
Part2 IPv4環境にそのまま足すだけ,体験して理解を深める
http://itpro.nikkeibp.co.jp/article/lecture/20070613/274634/
IPv6家庭用ルーターのガイドライン、新版が公開へ
http://itpro.nikkeibp.co.jp/article/NEWS/20100527/348576/
ソース: DNS Client Events
イベント ID: 1014
名前 xxx.xxx.xxx.xxx.in-addr.arpa の名前解決は、構成されたどの DNS サーバーからも応答がなく、タイムアウトしました。
てなエラーが出る場合・・・
どうも、IPv6 周りっぽい。
IPv6 を無効にすると解決できるとか。
I.root-servers.net への IPv6 アドレス追加に伴う設定変更について
http://jprs.jp/tech/notice/2010-06-18-i.root-servers.net-aaaa-add.html
静的 IPv6 アドレスを設定していない Windows Server 2008 または Windows Server 2008 R2 で、DHCP-Server 10020 警告イベントが記録される
http://support.microsoft.com/kb/2293684
IPv6技術の安全性、相互運用性を検証する「IPv6技術検証協議会」を設立
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3880
第32回 IPv4の枯渇に備えよ――IPv6の特徴と必要性
http://jibun.atmarkit.co.jp/lskill01/rensai/ccnatai32/01.html
情報セキュリティ技術動向調査(2010 年上期)
6 IPv6ネットワークにおけるローカルネットワークの保護
http://www.ipa.go.jp/security/fy22/reports/tech1-tg/a_06.html
IPv6導入前に知っておくべき3つのポイントと注意点
http://enterprisezine.jp/article/detail/3156
トンネル方式入門(前編)
http://itpro.nikkeibp.co.jp/article/COLUMN/20110517/360402/
第1回 IPv6の概要 − @IT
http://www.atmarkit.co.jp/fwin2k/network/ipv601/ipv601_01.html
DNS Server service randomly cannot resolve external names and returns a "Server Failure" error if IPv6 is disabled in Windows Server 2008 R2
http://support.microsoft.com/kb/2549656
診断ツール Fix it: Windows Vista、Windows 7、および Windows Server 2008 で特定の IPv6 (Internet Protocol version 6) を無効にする方法に関する問題
http://support.microsoft.com/kb/929852/ja
LLMNR
Link-Local Multicast Name Resolution (LLMNR)
http://technet.microsoft.com/ja-jp/library/bb878128.aspx
IPv4 マルチキャストとは
http://technet.microsoft.com/ja-jp/library/cc772041(WS.10).aspx
IPv6マルチキャストアドレスの割り当て
http://www.nic.ad.jp/ja/translation/rfc/2375.html
TTL の強制?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
値の名前 : LameDelegationTtl
データ型 : REG_DWORD
値 : 1800(秒)
設定されている TTL より小さい値にする。
http://support.microsoft.com/kb/938863
キャッシュの TTL を調整
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSCache\\Parameters
値の名前 : MaxCacheTtl
データ型 : REG_DWORD
値 : 86400(秒)
値の変更後はサービスの再起動をする
net stop dnscache & net start dnscache
キャッシュの問い合わせ結果は
ipconfig /displaydns
キャッシュを利用しない場合は、サービスから DNS Client を停止させて手動に変更する。
Windows XP および Windows Server 2003 でクライアント側の DNS キャッシュを無効にする方法
http://support.microsoft.com/kb/318803/ja
CNAME レコードによる共有接続を有効にする
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
値の名前 : DisableStricNameChecking
データ型 : REG_DWORD
値 : 0(False)
1で有効。
非修飾名をドメイン ネーム リゾルバからドメイン ネーム サーバーに照会するかどうかを制御
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
値の名前 : AllowUnqualifiedQuery
データ型 : REG_DWORD
値 : 0(False)
1で有効。
非修飾名の解決に失敗した場合に名前に付加するドメイン名サフィックスのリストを指定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
値の名前 : SearchList
データ型 : REG_SZ
値 : なし(1 〜 50 で設定)
詳しくは
Microsoft Windows Server 2003 TCP/IP 実装詳細
AOL.com、Qwest.net、EarthLink.net などのドメインへメールが送れない場合
※フォワーダの設定している場合は必須。nslookup でタイムアウトが出る場合も。
ベクターで「このアドレスにメールを送信できません」って言われるのもこれが原因かも?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dns\Parameters
値の名前 : EnableEDnsProbes
データ型 : REG_DWORD
値 : 0
または、コマンドから
dnscmd /config /EnableEDnsProbes 0
※ dnscmd は サポートツールの中に入っています。
値の名前 : EDNSCacheTimeout
データ型 : REG_DWORD
値 : 3600
※入力可能範囲は、3600 (1 時間) 〜 15724800 (182 日)
値の名前 : MaximumUdpPacketSize
データ型 : REG_DWORD
値 : 1280(デフォルト)
※MTU に対応するよう 10 進表記で 512 〜 16384 の範囲で
入力(16 進表記で 200 〜 4000 に相当)して調整する。
参考
DNS クエリの応答が Windows Server 2003 のファイアウォールを通過しない
2003、2008 Server で DNS の名前解決に失敗する場合の対策
原因
512 バイトを超える UDP パケットが許可されていない場合に発生する。
DNS にフォワード設定をしていない時に発生する。
コマンドを管理者で実行し、dnscmd で EDNS0 を無効にします。
dnscmd /config /EnableEDnsProbes 0
DNS サーバーを Windows Server 2003 にアップグレードすると一部の DNS 名クエリが失敗する
http://support.microsoft.com/kb/832223
WS08R2で名前解決ができないホストがある場合の対処
http://www.vwnet.jp/Windows/WS08R2/EDNS0/EDNS0.htm
選択されたアドレスだけをリッスンするように DNS サーバーを制限
dnscmd ServerName /ResetListenAddresses [ListenAddress ...]
構文のヘルプを表示
dnscmd ServerName /ResetListenAddresses /help
DNS の動的更新を無効化
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
特定のインターフェイスの動的更新を無効にする場合
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
値の名前 : DisableDynamicUpdate
データ型 : REG_DWORD
値 : 1
参考
Windows Server 2003 で DNS 動的更新を構成する方法
ゾーン転送を不許可にする(サービスの再起動で許可に戻される為)
dnscmd を使い以下を実行。
dnscmd server_name /ZoneResetSecondaries domain_name /NoXfr
参考
Windows Server 2008 では、DNS ゾーンの転送設定は保持されません。
複数の名前(NetBIOS ホスト名)を付ける
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
値の名前 : OptionalNames
値の型 : 別名を1つだけ定義する場合 REG_SZ
: 複数定義する場合 REG_MULTI_SZ
値 : REG_MULTI_SZ 型の場合は各行に1つずつコンピュータ名を記述
※設定後は再起動が必要。 確認は、net view コマンドで行える。
コンピューター、ドメイン、サイト、および組織単位の Active Directory 名前付け規則
Windows Server 2008 または Windows Server 2008 R2 の NetBIOS 名を使用して、サーバーの ping を実行すると誤った IP アドレスが返されます
キャッシュされたログオンを無効にする
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon
値の名前 : CachedLogonsCount
データ型 : REG_SZ
値 : 0 (0にするとキャッシュされたログインが無効になる) デフォルトは 10
ネットワーク ブラウズ リストでコンピュータを非表示にする
KEY: HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\parameters
値の名前 : hidden
データ型 : REG_DWORD
値 : 1
SMB プロトコルがインストールされているコンピュータは、提供する
リソースがあるかどうかに関係なく、既定で、マスタブラウザが保持する
このリソース一覧に自らを通知します。
これにより、多くの場合において不必要なネットワークオーバーヘッドが
生じると同時に、ファイアウォール内部の潜在的な攻撃者が利用可能な
ネットワークリソースの一覧を簡単に生成できるようになります。
このため、提供するリソースを持たないコンピュータからの
ブラウザ アナウンスメントをオフにすることが望まれます。
# XP SP2 もこのキーを作成する事で非表示に出来ます。(確認済み)
参考
第 5 章 - セキュリティの構成
ワークグループのコンピュータ一覧から身を隠す
マイコンピュータの指定ドライブを非表示にしたい場合は、下記を参考に。
Windows2000/XPのGPOでマイコンピュータ内の指定ドライブを非表示にする
起動、シャットダウン、ログオン、およびログオフの詳細な状態メッセージを有効にする方法
Windows Server 2003 ファミリで、起動、シャットダウン、ログオン、およびログオフの詳細な状態メッセージを有効にする方法
http://support.microsoft.com/kb/325376/ja
Kerberos 認証を UDP から TCP を使用するように変更
KEY: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
値の名前 : MaxPacketSize
データ型 : REG_DWORD
値 : 1 既定値は「0」で UDP を利用する。
UDP では、Windows ではなく TCP を使用する Kerberos を強制する方法
http://support.microsoft.com/kb/244474/ja
ドメインのログインが遅い場合に。
ネットワークの共有を開くのが遅い場合で、ドメインコントローラーを入れ替えたなら
DNS が 古いマシンを参照していないか確認。
ルーターの DHCP を使っている場合なども、DNS を変更しているか確認。
ドメインコントローラーの時刻同期
UDP/123 を空けておく。
コマンドから
w32tm /stripchart /computer:ntp.nict.jp /samples:3 /dataonly
NTPサーバーの確認が取れたら
w32tm /config /manualpeerlist:ntp.nict.jp /syncfromflags:manual /relible:yes /update
参考
Windows タイムサービスを構成する
http://technet.microsoft.com/ja-jp/library/cc731191(WS.10).aspx
Windows Server で権限のあるタイム サーバーを構成する方法
http://support.microsoft.com/kb/816042/ja
クリーンアップ
Windows Server 2008 R2 でドメインコントローラーに昇格すると、DISK のプロパティに「ディスクのクリーンアップ」が消滅
してしまい、Service Pack のインストール中に作成されたバックアップ ファイルを削除出来ない・・・
以下のコマンドでクリーンアップ
C:\>dism /online /cleanup-image /spsuperseded
展開イメージのサービスと管理ツール
バージョン: 6.1.7600.16385
イメージのバージョン: 6.1.7600.16385
Service Pack のインストール中に作成されたバックアップ ファイルを削除しています。
パッケージ Microsoft-Windows-ServerDatacenterEdition~31bf3856ad364e35~amd64~~6.1
.7600.16385 を削除しています
[==========================100.0%==========================]
Service Pack のクリーンアップ操作が完了しました。
操作は正常に完了しました。
※Windows Server 2008 SP2 の場合は compcln.exe, Windows Server 2008 SP1 の場合は vsp1cln.exe
ドメインコントローラーは仮想化しないほうが良い。
マイクロソフト以外のハードウェア仮想化ソフトウェアでマイクロソフトのソフトウェアを実行する場合のサポート ポリシー
http://support.microsoft.com/kb/897615/ja
仮想ホスト環境で Active Directory ドメイン コントローラをホストする場合の考慮事項
http://support.microsoft.com/kb/888794/ja
Active Directory ドメインコントローラ (AD) の仮想化は NG? - 仮想化でプリセールスしてるSEの一日
http://d.hatena.ne.jp/ogawad/20101129/1290991581
VMware の仮想マシンで実行される Microsoft ソフトウェアのサポート
http://www.vmware.com/jp/support/policies/ms_support_statement.html
[2]進化する仮想アプライアンス、OpenFlowと組み合わせ仮想プライベートクラウド構築:ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20110920/368983/?ST=network&P=1
ゲストにドメインコントローラを立てて、ホストマシンを参加させるとトラブル発生時に厄介な事になります。
起動やシャットダウンも遅くなりますので、やらない方が良いでしょう。
ホストの共有を使いたい場合は、iSCSI にするか、ゲストマシンに物理マウントしたドライブを共有するのが無難。
DISK を沢山積んだホストマシンも I/O の帯域不足で DISK が不安定になるようです・・・
チューニングの為のレジストリ操作
まとめちゅう。
このへん。
定期的な WAN トラフィックを最小限をする設定
イベント ID 2021 および 2022 のトラブルシューティング
NAT 経由で Active Directory のサポート範囲について
ブラウザ サービスがドメイン マスタ ブラウザに問い合わせる既定の間隔を調整
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
値の名前 : MasterPeriodicity
データ型 : REG_DWORD
値 : 既定で、 MasterPeriodicity エントリは、存在しません。
※ ダイヤル オンデマンド展開の推奨既定は、(1日)86,400秒です。
マスタ ブラウザ の設定
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
値の名前 : MaintainServerList
データ型 : REG_SZ
値 : YES 又は NO
※ 問い合わせを減らすために、MasterPeriodicity 間隔を大きめに設定すること。
セキュリティアカウント マネージャ(SAM) の同期問い合わせ
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
値の名前 : Pulse
データ型 : REG_DWORD
値 : 60(60 〜 172800)
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
値の名前 : PulseMaximum
データ型 : REG_DWORD
値 : 172800(60 〜 172800)
ダイヤルアップ待ち時間のレジストリ設定
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
値の名前 : ExpectedDialupDelay
データ型 : REG_DWORD
値 : 90
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
値の名前 : AvoidPdcOnWan
データ型 : REG_DWORD
値 : 1(有効)
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
値の名前 : NegativeCachePeriod
データ型 : REG_DWORD
値 : 84600(既定 45)
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
値の名前 : BackgroundRetryInitialPeriod
データ型 : REG_DWORD
値 : 84600
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
値の名前 : BackgroundRetryMaximumPeriod
データ型 : REG_DWORD
値 : 84600
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
値の名前 : BackgroundRetryQuitTime
データ型 : REG_DWORD
値 : 600
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
値の名前 : DfsDcNameDelay
データ型 : REG_DWORD
値 : 15(分)
Windows XP クライアントの DFS クエリの頻度を制御するポリシー
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFS
値の名前 : SyncIntervalInSeconds
データ型 : REG_DWORD
値 : 3600(秒)
ドメインでのコンピュータ アカウントのレプリケーションによる影響
最大コンピュータ アカウントのパスワードの有効期間
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
値の名前 : MaximumPasswordAge
データ型 : REG_DWORD
値 : 7 (推奨値 42 〜 70)
定期的な変更を無効にする
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
値の名前 : DisablePasswordChange
データ型 : REG_DWORD
値 : 0
コンピュータ アカウントのパスワードの変更を拒否する
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
値の名前 : RefusePasswordChange
データ型 : REG_DWORD
値 : 0
KEY:
値の名前 :
データ型 : REG_DWORD
値 :
レプリケーション間隔の変更
レプリケーション パートナーの最初の通知間隔を変更
KEY: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
値の名前 : Replicator notify pause after modify (secs)
データ型 : REG_DWORD
値 : 15 秒(Windows Server 2003 およびそれ以降の既定値)
ドメイン コント ローラー間の通知待ち時間を変更
KEY: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
値の名前 : Replicator notify pause between DSAs (secs)
データ型 : REG_DWORD
値 : 3 秒(Windows Server 2003 およびそれ以降の既定値)
既定サイト内のドメイン コント ローラーのレプリケーション間隔を変更する方法
http://support.microsoft.com/kb/214678
NtFrs(ファイル レプリケーション サービス)がエラーを起こしている場合の修復方法
イベントID:13555
イベントID:13552
コマンドプロンプトから以下実行。
net stop ntfrs
rd /s /q c:\windows\ntfrs\jet
net start ntfrs
ドメイン コントローラでイベント ID 13552 と 13555 を表示
SYSVOL レプリカ セットをホストしている DFS レプリカ メンバまたはドメイン コントローラでイベント ID 13552 および 13559 が出力される
In a domain environment, Windows Explorer may stop responding on a client computer
that is running Windows XP or Windows Server 2003, and CPU usage is very high on the primary domain controller
http://support.microsoft.com/default.aspx?scid=kb;ja;925066
SYSVOL, NETLOGON のフェールバックを有効にする
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs\Parameters
値の名前 : SysvolNetlogonTargetFailback
データ型 : REG_DWORD
値 : 1
設定後、DFS Replication サービスを再起動
ライセンス マネージャの情報をリセットする
1. ライセンス ログ サービスを停止
2. プライマリ ドメイン コントローラ (PDC) またはエンタープライズ サーバー上の次のファイルを削除するかファイル名を変更。
・Cpl.cfg 購入の履歴がすべて保存されている。 %Systemroot%\System32 にあります。
・Llsuser.lls 接続数に関するユーザー情報が保存されている。 %Systemroot%\System32\Lls にあります。
・Llsmap.lls ライセンス グループ情報が保存されている。 %Systemroot%\System32\Lls にあります。
3. ライセンス ログ サービスを再開
4. 該当するライセンス情報を追加し直し。
資料
ライセンス マネージャ情報のリセット方法
Windows Server 2003 でライセンス ログ サービスをリセットする方法
Windows Server 2003 ターミナル サービスで検出されるライセンス サーバーを変更する方法
イベント ソース: NETLOGON
イベント ID: 5789
説明:
Active Directory のコンピュータ オブジェクトの DNS ホスト名を
更新しようとしましたができませんでした。
更新された値は 'computer' です。
次のエラーが発生しました:パラメータが間違っています。
の対策。
「マイコンピュータ」を右クリックして、プロパティを開いて
フルコンピュータ名 が正しく設定しているか確認。
資料
Windows 2000 のワークステーション/サーバーでエラー メッセージ 5788 および 5789 が発生する
Windows Server 2003 SP1 で動作している DC を入れ替えたい(PDC の変更手引き)
作業手順
1.PC を用意し Windows Server 2003 SP1 に DC を入れ Secondary を立てる。
(64bit のバージョンでも完全に相互運用可能)Professor Windows - May 2003
64 ビット版の Windows Server 2003 と Windows XP での 32 ビット プログラムの互換性について
Windows Server 2003 R2 x64 の場合は、スキーマを拡張しないとエラーが出るようです。
Windows Server 2003 フォレスト内の Windows Server 2003 R2 x 64 Edition-based ドメイン コントローラは配置できません。
※DNS の構成をしてから DC を入れると余分なトラブルが減るかも。
・Windows Server 2003 では、すべての DNS サーバーで自分自身を自分のプライマリ DNS サーバーとして使用するよう構成。
代替 DNS サーバーには、同一ドメイン内の別のドメイン コントローラを使用。
http://support.microsoft.com/kb/291382/ja?spid=3198&sid=769
・前方参照ゾーンの "." ゾーンは削除
http://support.microsoft.com/kb/229840/
単純に2台目を追加する場合は、現在あるドメインの DNS を指定してからセットアップし
その後 DNS を自分に戻してセカンダリに記述すれば問題ないでしょう。
※2台目をセットアップして何回も降格を繰り返している場合は、存在しないコンピュータが残っていて同期に失敗する事があるようです。。。
イベントログに
MS DTC は、DC 昇格/降格イベントを正しく処理できませんでした。
MS DTC の動作はこれまでと変わりません。
と出ている場合
Microsoft 分散トランザクション コーディネータ (MS DTC) は、Windows で構成されていない部分があり
分散トランザクションを使用するリンク サーバー、分散クエリ、およびリモート ストアド プロシージャが影響を受ける為、 MS DTC を完全に有効にする必要がる。
MS DTC を完全に有効にするには
[管理ツール]>[コンポーネント サービス]>[コンソール ルート]>[コンポーネント サービス]>[コンピュータ]>[マイ コンピュータ] で右クリックし「プロパティ」を開く。
[MSDTC] タブをから [セキュリティの構成] を選択。
[セキュリティの設定] 下のすべてのチェックボックスをオン。
[DTC ログオン アカウント] が NT AUTHORITY\NetworkService に設定されていることを確認。
"XACT_E_NOENLIST" error message in DTC and SQL Server
ここら辺にも
2.5.3 Windows で MS DTC は有効ではありません。http://support.microsoft.com/kb/910228/
Windows Server 2008 以降は、さらに下の [Distributed Transaction Coordinator]>[ローカル DTC] のプロパティからセキュリティタブを開く。
●新規に追加した DC の DNS に、ゾーンが正しく複製されているか確認。
%SystemRoot%\System32\Config\Netlogon.dns をテキストエディタで開く。
表示される最初のレコードは、_ldap._tcp.domainname でドメイン コントローラの LDAP (Lightweight Directory Access Protocol) SRV レコード
NSLOOKUP を使う場合は
SET TYPE=ALL
_ldap._tcp.dc._msdcs.domainname
hostname.domainnameinternet address =ipaddress
と、一つ以上のSRV サービス ロケータ レコードを返す
参考
ドメイン コントローラの SRV レコードの作成を確認する
●FSMO 役割が正しく登録されているか確認。
・FSMO を確認
「ファイル名を指定して実行」から「dsa.msc」を起動
左側に表示されているドメイン オブジェクトを右クリック>[操作マスタ] を選択
・フォレスト内のスキーマ FSMO のホルダの確認
「ファイル名を指定して実行」から「mmc」を起動
「ファイル」>「スナップインの追加と削除」をクリックし、「追加」から「Active Directory スキーマ」を選択
(※「Active Directory スキーマ」が無い場合は、regsvr32 schmmgmt.dll を実行)
左側に表示されている「Active Directory スキーマ」を右クリック>[操作マスタ] を選択
・フォレスト内のドメイン名前付け FSMO のホルダの確認
FSMOフォルダと同じ手順で 「Active Directory ドメインと信頼関係」を選択し、同じく「操作マスタ」を選択
※ここではまだ役割を変更しない。
参考
FSMO 役割のホルダの確認方法 (サーバー)
2.グローバル カタログ (GC) サーバを新規に追加した DC に移行
「ファイル名を指定して実行」から「mmc」を起動
「ファイル」>「スナップインの追加と削除」をクリックし、「追加」から「Active Directory サイトとサービス」を選択
「Sites」>「サイト名」>「Servers」>「ドメイン コントローラ」>「NTDS Settings」で右クリックしてプロパティを表示
[全般]タブで [グローバル カタログ] チェック ボックスをオンにし、グローバル カタログの役割をこのサーバに割り当てる
ドメイン コントローラを再起動 ※ GC の削除および移行情報が、すべての DC に複製されるのを待つ。(十分な時間を取る)
元の DC から同様に操作し、グローバル カタログの役割を削除。
ドメイン コントローラを再起動
参考
[HOWTO] Windows Server 2003 でグローバル カタログの作成または移動を行う方法
3.FSMO の役割を 旧DC から 新DC に転送
●ドメイン固有の役割 (RID、PDC、インフラストラクチャ マスタ) の転送
「ファイル名を指定して実行」から「dsa.msc」を起動
左側に表示されているドメイン オブジェクトを右クリック>[操作マスタ] を選択
RID, PDC, インフラストラクチャ の操作マスタの役割を変更
●スキーマ マスタの役割の転送
「ファイル名を指定して実行」から「mmc」を起動
「ファイル」>「スナップインの追加と削除」をクリックし、「追加」から「Active Directory スキーマ」を選択
(※「Active Directory スキーマ」が無い場合は、regsvr32 schmmgmt.dll を実行)
左側に表示されている「Active Directory スキーマ」を右クリック>[操作マスタ] を選択し、スキーマ マスタの変更
●ドメイン名前付けマスタの役割の転送
FSMOフォルダと同じ手順で 「Active Directory ドメインと信頼関係」を選択
同じく「操作マスタ」を選択し、操作マスタを変更する
※ FSMO の役割の移行情報が、すべての DC に複製されるまで待つ事。
参考
[HOW TO] グラフィカル ユーザー インターフェイスで FSMO 役割を表示し転送する方法
転送できない場合は以下を参照
Ntdsutil.exe を使用してドメイン コントローラに FSMO の役割を強制または転送する
4.旧DC をメンバー サーバへ降格
●Active Directory を削除
「ファイル名を指定して実行」から「dcpromo」を起動
Active Directory のインストール ウィザードから削除
参考
[HOWTO] Windows Server 2003 で Dcpromo.exe ツールを使用して ActiveDirectory を削除する方法
降格できない場合の強制降格
ディレクトリ サービス復元モードでコンピュータを起動できることを確認
※起動できない状態で強制的に降格するとログオンできなくなります。
ディレクトリ サービス復元モードのパスワードを覚えていない場合
Winnt\System32 フォルダにある Setpwd.exe ユーティリティを使用してパスワードをリセット
参考
[サーバーの構成] ウィザードが、回復モードのパスワードを空白にする
dcpromo /forceremoval と入力。
Active Directory のインストール ウィザードから削除
コマンドプロンプトを起動
「ntdsutil」を実行し、以下コマンドを順次入力
metadata cleanup
connections
set creds domainname username password ※空のパスワードの場合は、パスワードのパラメータに null と入力
quit
select operation target
list domains
select site number ※number は削除しようとしているサーバーが所属しているドメインに対応する番号
list sites
select site number ※number は、削除しようとしているサーバーが所属しているサイトに対応する番号
list servers in site
select server number ※number は、削除するサーバーに対応する番号
quit
remove selected server
quit
DNS の _msdcs.root domain of forest ゾーンにある cname レコードを削除
これで NTDS 設定オブジェクトが削除される。
詳しくは
Windows Server 2003 と Windows 2000 Server で、Active Directory のインストール ウィザードを使用して強制的に降格を実行しても、ドメイン コントローラが正常に降格されない
ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法
※メンバー サーバへ降格した 旧DC をネットワークから取り外す場合は DC に接続可能な状態で一旦 Workgroup 設定に戻す。
強制降格を行なった場合には、自動的に Workgroup 設定に戻る。
正常に降格させた場合、オブジェクトは残りますので(ドメインコントローラーホスト名)手動で削除する(そのままにしておいても問題ない)
DHCP 等の手順は下記参考
単一ドメイン コントローラとドメインの単一ドメイン コントローラを置き換える方法?
ヒント: IP アドレスの競合を検出および回避する
ヒント: DHCP の統計情報を自動的に更新する
ヒント: DHCP データベースをバックアップおよび復元する
その他のトラブル資料
DNS ルックアップ エラーまたはイベント ID 2087 のためまたはイベント ID 2088 のため発生する Active Directory レプリケーション障害のトラブルシューティング
Dcpromo.exe 実行後 Windows Server 2003 を再起動すると、システム イベント ログにイベント ID 40960 および 40961 が記録される
サーバーをドメイン コントローラの役割に昇格させた場合の LSASRV イベント ID 40960 および 40961
Windows Server 2003 でグループ ポリシー処理がイベント 1058 および 1030 で失敗する
Windows 2000 Server または Windows Server 2003 を実行しているドメイン コントローラで SYSVOL ツリーを再配置する方法
フォレストのルート ドメイン コントローラにシステム イベント 54 および 64 が表示されることがある
Active Directory の変更を Windows Server 2003 にレプリケートできない
ADSI と WSH を使用して FSMO の役割の所有者を検索する方法
Active Directory のリストア
Active Directory™ 障害復旧ガイド
Active Directoryをインストールする
更新プログラム AD RMS クライアントからアプリケーション マニフェストの有効期限機能を削除するのには
IIS を復元し、Active Directory フェデレーション サービス 2. 0 をアンインストールするときに Active Directory を削除する方法
可用性と Active Directory フェデレーション サービス 2. 0 の説明
Windows Server 2008 R2 で AD DS のベスト プラクティス アナライザー ルール用の更新
更新プログラム用のベスト プラクティス アナライザーによって x 64 エディションの Windows Server 2008 R2 Active Directory の権限管理のサービス ロールには
更新プログラム用のベスト プラクティス アナライザーによって x 64 エディションの Windows Server 2008 R2 ファイル サービスのロールには
更新プログラム用のベスト プラクティス アナライザーによって x 64 エディションの Windows Server 2008 R2 アプリケーション サーバーの役割には
AD DS のベスト プラクティス アナライザーのルールを Windows Server 2008 R2 用の更新
現在どのドメインコントローラが操作マスタの役割を持っているか確認する
操作マスタの種類
・PDCエミュレータ
デフォルト:ドメインで最初にインストールされたドメインコントローラで、ドメインに1台
役割:BDC の復元、パスワード更新
動作タイミング:BDC への複製時、パスワード変更要求時
障害時の影響:BDC への複製、Windows 95/98/NT からのパスワード変更要求に失敗する
※Windows 95/98 の場合は、DSCLIENT.EXE をインストールしないとドメインに参加出来ません。(メモにインストール方法を書いてます。またグループポリシーやケルベロスはサポートされません)
・RIDマスタ
デフォルト:ドメインで最初にインストールされたドメインコントローラで、ドメインに1台
役割:RIDプールの配布
動作タイミング:ドメインコントローラが RID プールを使いきり、追加のプールが必要になった時
障害時の影響:RID プールが空で RID マスタが利用不可能の場合、新規ユーザ、グループ、コンピュータオブジェクトの作成が出来ない
・インフラストラクチャマスタ
デフォルト:ドメインで最初にインストールされたドメインコントローラで、ドメインに1台
役割:メインをまたがるグループとユーザーの参照と更新
動作タイミング:グループメンバー情報を更新した時(ユーザーの追加、変更等)
障害時の影響:正しいグループメンバー情報が表示されない
・ドメイン名前付けマスタ
デフォルト:フォレストで最初にインストールされたドメインコントローラで、フォレストに1台
役割:フォレスト内でのドメインの追加・削除
動作タイミング:フォレストにドメインを追加・削除した時
障害時の影響:フォレストに新しいドメインの追加・削除が出来ない
・スキーママスタ
デフォルト:フォレストで最初にインストールされたドメインコントローラ、フォレストに1台
役割:スキーマの更新
動作タイミング:スキーマを更新する時
障害時の影響:管理者によるスキーマ更新が出来ない、スキーマを更新するアプリがインストール出来ない可能性
コマンドプロンプトから、ntdsutil を実行
例)
C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server netdive.local(ドメインコントローラのFQDN)
netdive.local に結合しています...
ローカルでログオンしているユーザーの資格情報を使って netdive.local に接続しました。
server connections: quit
fsmo maintenance: select operation target
select operation target: list roles for connected server
サーバー "netdive.local" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local
ドメイン - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local
PDC - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local
RID - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local
インフラストラクチャ - CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local
select operation target: quit
fsmo maintenance: quit
ntdsutil: quit
netdive.local から切断しています...
C:\>
操作マスタの転送
例)
C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server netdive.local(転送先ドメインコントローラのFQDN)
netdive.local に結合しています...
ローカルでログオンしているユーザーの資格情報を使って netdive.local に接続しました。
server connections: quit
fsmo maintenance: transfer PDC
fsmo maintenance: transfer RID master
fsmo maintenance: transfer infrastructure master
fsmo maintenance: transfer domain naming master
fsmo maintenance: transfer schema master
fsmo maintenance: quit
ntdsutil: quit
netdive.local から切断しています...
C:\>
強制移動(占有)
例)
C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server netdive.local(ドメインコントローラのFQDN)
netdive.local に結合しています...
ローカルでログオンしているユーザーの資格情報を使って netdive.local に接続しました。
server connections: quit
fsmo maintenance: seize PDC
fsmo maintenance: seize RID master
fsmo maintenance: seize infrastructure master
fsmo maintenance: seize domain naming master
fsmo maintenance: seize schema master
fsmo maintenance: quit
ntdsutil: quit
netdive.local から切断しています...
C:\>
※移動元と移動先のドメインコントローラが正しく通信できている場合は通常の転送が実行されます。
この作業を行って強制移動させた場合、移動元のドメインコントローラは必ず再インストールする事。
降格に失敗したドメインコントローラの削除
例)
C:\>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server netdive.local
netdive.local に結合しています...
ローカルでログオンしているユーザーの資格情報を使って netdive.local に接続しました。
server connections: quit
metadata cleanup: select operation target
select operation target: list domains
1 個のドメインを検出しました (ドメインの一覧が番号付で表示される)
0 - DC=netdive,DC=local
select operation target: select domain 0
現在のサイトがありません
ドメイン - DC=netdive,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: list sites
1 個のサイトを検出しました (サイトの一覧が番号付で表示される)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local
select operation target: select site 0
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local
ドメイン - DC=netdive,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: list servers in site
2 個のサーバーを検出しました (ドメインコントローラの一覧が番号付で表示される)
0 - CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local
1 - CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=netdive,DC=local
select operation target: select server 0
select operation target: quit
metadata cleanup: remove selected server
metadata cleanup: quit
ntdsutil: quit
netdive.local から切断しています...
C:\>
※DNS のゾーンに削除したドメインコントローラのレコードが残ってる場合があるので確認して削除する。
ディレクトリデータベースとログファイルを移動
例)
C:\>set SAFEBOOT_OPTION=DSREPAIR
C:\>ntdsutil
ntdsutil: files
file maintenance: info
ドライブの情報:
C:\ NTFS (固定ドライブ ) 空き(27.1 Gb) 合計(39.6 Gb)
DS パスの情報:
データベース : C:\WINDOWS\NTDS\ntds.dit - 20.1 Mb
バックアップ ディレクトリ : C:\WINDOWS\NTDS\dsadata.bak
作業ディレクトリ : C:\WINDOWS\NTDS
ログ ディレクトリ : C:\WINDOWS\NTDS - 合計 48.1 Mb
temp.edb - 2.1 Mb
res2.log - 10.0 Mb
res1.log - 10.0 Mb
edbtmp.log - 6.0 Mb
edb00017.log - 10.0 Mb
edb.log - 10.0 Mb
file maintenance: move db to c:\NTDS
file maintenance: move log to c:\NTDS
file maintenance: quit
ntdsutil: quit
netdive.local から切断しています...
C:\>set SAFEBOOT_OPTION=
C:\>
うまくいかない場合は、ディレクトリサービス復元モードで起動する。
ユーザアカウントを復活させる
例)
C:\>ntdsutil
ntdsutil: authoritative restore
authoritative restore: restore subtree "ou=OU1,dc=netdive,dc=local" (OU復活)
authoritative restore: restore subtree "cn=USER1,dc=netdive,dc=local" (ユーザ復活)
authoritative restore: quit
ntdsutil: quit
netdive.local から切断しています...
C:\>
リストアから削除したユーザアカウントや組織単位(OU)を復活させる(SYSVOLフォルダのリストア)
1.ディレクトリサービス復元モードで起動
2.NTBACKUP を起動
3.[復元の確認]>[詳細設定]>[複製されたデータを復元するとき、復元されたデータの複製物をプライマリーデータとしてマークする]にチェック
4.コマンドプロンプトを起動し ntdsutil を起動
ntdsutil: authoritative restore
authoritative restore: restore database
authoritative restore: quit
ntdsutil: quit
5.再起動
※バックアップ時に巻き戻るので、パスワードが古くなっていたり、ドメインにログオン出来なくなる副作用に注意
完全に壊れたドメインコントローラを復元(システム状態とSYSVOLフォルダのリストア)
1.バックアップした構成と同じにしたドメインコントローラを用意(ほかのドメインコントローラからSYSVOLフォルダが複製されてる事)
2.ディレクトリサービス復元モードで起動
3.NTBACKUP を起動
4.システム状態、SYSVOLフォルダにチェックしてリストア
5.再起動
[HOWTO] Windows Server 2003 で FSMO の役割を確認して転送する方法
http://support.microsoft.com/kb/324801/ja
Active Directory の障害回復
http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/support/adrecov.mspx
Authoritative Restore、プライマリ Restore、通常の Restore
http://technet2.microsoft.com/WindowsServer/ja/library/18f89932-80ee-4b50-9a1f-698cada42ccc1041.mspx?mfr=true
【Windows Server】DC が死んだらグローバルカタログの移動も忘れずに
http://blogs.technet.com/junichia/archive/2008/08/15/windows-server-dc.aspx
他のオブジェクトを含む Active Directory オブジェクトを削除する方法はありますか
http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/jul05/hey0714.mspx
完全な OS リカバリを実行した後、Windows Server 2008 R2 を再起動すると、エラー メッセージ:「Windows 開始に失敗しました。 状態: 0xc000000e」
http://support.microsoft.com/kb/2261423
※1台しかない状態でドメインコントローラのコンピュータ名変更しないようにご注意。
AdRestoreを使い倒せ! 〜Active Directoryオブジェクトを復元する〜
http://www.computerworld.jp/topics/mws/191221.html
正しく複製されているか確認する
サポートツールにある、dsastat を利用する。
ドメインコントローラ DC01 と DC02 がある場合は
dsastat -s:dc01;dc02
ドメインで管理されているユーザやコンピュータを別のドメインに移したい場合
Active Directory 移行ツール (ADMT) ガイド : Active Directory ドメインの移行と再構築
Active Directory 移行ツール Version 3.2 を使うと出来るようです。
アカウント移行プロセスの決定
イベントID:20
ソース:KDC
現在選択されている KDC 証明書は、以前は有効でしたが、今は無効です。適切な 代わりのものは見つかりませんでした。この問題が修正されない場合、スマート カード ログオンは正常に機能しない可能性があります。
ドメインの公開キーのインフラストラクチャ の状態を確認するように、システム管理者に連絡してください。
チェーンの状態はエラーデータにあります。
と、イベントログに出た場合の対策。
コマンドプロンプトから
Certutil -dcinfo deleteBad
を実行する。
"イベント ID : Windows Server 2003 ベースのドメイン コントローラでの20 インチイベント メッセージ キー配布センターを表示します。
イベントID:11
ソース:KDC
名前が MSSQLSvc/myserver.netdive.local:1433 で種類が DS_SERVICE_PRINCIPAL_NAME のアカウントが複数あります。
と、イベントログに出た場合の対策。
KB:Windows 2000 Server Prompts Domain User for Credentials
原因
Kerberos が有効な Active Directory 環境で SQL Server のサービスアカウントを変更するとこのエラーが出ます。
修復方法(上記のKBとは手順が違います)
1.SPN の照会 を参考にスプリクトを作成。
2.querySpn.vbs MSSqlSvc/* を実行し重複しているサービスアカウントを探す。
3.setspn コマンドで SPN を削除
例)setspn -d MSSQLSvc/myserver.netdive.local:1433 sqlsvc
※ setspn.exe はリソースキットに入っています。
Windows Server 2003 の Setspn.exe サポート ツールの更新プログラム
http://support.microsoft.com/kb/970536
アカウントを変更した場合は、SQL Server のメモリがページングされないように、セキュリティポリシーの
「ユーザー権利の割り当て」から「メモリ内のページロック」を開いて、そのアカウントを追加しておく事。
SQL Server 2005 の 64 ビット版でのバッファプール メモリ ページングを減らす方法。
http://support.microsoft.com/kb/918483/
資料
Microsoft SQL Server 2000 のセキュリティ
SQL Server の管理 セキュリティ アカウントの委任
PRB: Setspn fails if domain name differs from NetBIOS name where SQL Server SPN is registered
Windows Server 2003 と Windows 2000 Server で、Active Directory のインストール ウィザードを使用して強制的に降格を実行しても、ドメイン コントローラが正常に降格されない
Windows Server 2003 でのファイル レプリケーション サービスのトラブルシューティング方法
Local Service とほかの既知のセキュリティ プリンシパルが Windows Server 2003 ドメイン コントローラで表示されません。
Kerberos 認証と委任問題のトラブルシューティング
ドメイン コントローラのシステム ログのイベント ID 11
重複関連として SID も。
C:\>ntdsutil
ntdsutil: security account management
security account management: connect to server netdive.local
security account management: check duplicate sid
.
重複した SID の確認は正常に終了しました。dupsid.log を確認してください。
security account management: cleanup duplicate sid
.
重複した SID のクリーンアップは正常に終了しました。dupsid.log を確認してください。
security account management: quit
ntdsutil: quit
netdive.local から切断しています...
[HOWTO] Windows Server 2003 の Ntdsutil を使用して重複するセキュリティ識別子の検出およびクリーンアップを行う方法
ちなみに、SID を調べるには GETSID という 2 つのユーザーアカウントの SID を比較するツールを利用して調べる事が出来ます。
getsid . username . username ( . の代わりに環境変数 %logonserver% としても同じ結果が得られます)
管理者のためのActive Directory入門(Windows Server 2003対応改訂版) 第1回
http://www.atmarkit.co.jp/fwin2k/operation/2003adprimer01/2003adprimer01_01.html
第4回 Active Directory関連用語集(後編)
http://www.atmarkit.co.jp/fwin2k/operation/adprimer004/adprimer004_01.html
Active Directory
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/a9d684f0-90b1-4c67-8dca-7ebf803a003d.mspx?mfr=true
Windows 2003 Server の Actice Directory に 2008 Server を追加
・「ソースフォレストの Active Directory スキーマのバージョンはこのコンピュータの Active Directory のバージョンと互換性がありません」
・「この Active Directory フォレストにドメインコントローラをインストールするには、最初に "adprep /forestprep" を使用してフォレストの準備をする必要があります」
・「この Active Directory フォレストにドメインコントローラをインストールするには、最初に "adprep /domainprep" を使用してドメインの準備をする必要があります」
フォレストまたはドメインが準備されていません、ってなメッセージが出て追加出来ない場合は 現在の AD の スキーマのバージョンを確認する。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
値の名前 : Schema Version
値の型 : REG_DWORD
値 : 30
値については
10 - Windows 2000 Server β3
11 - Windows 2000 Server RC1
12 - Windows 2000 Server RC2
13 - Windows 2000 Server
30 - Windows Server 2003
31 - Windows Server 2003 R2
44 - Windows Server 2008
47 - Windows Server 2008 R2
・Windows Server 2003 の AD に Windows Server 2003 R2 を 追加する場合
R2 の 2枚目 の DISK から 以下のコマンドを実行してスキーマのバージョンを合わせる
\CMPNENTS\R2\ADPREP\Adprep.exe /foestprep
\CMPNENTS\R2\ADPREP\Adprep.exe /domainprep
\CMPNENTS\R2\ADPREP\Adprep.exe /gpprep
・Windows Server 2003 の AD に Windows Server 2008 を 追加する場合
\sources\adprep\adprep.exe /forestPrep
\sources\adprep\adprep.exe /rodcprep
\sources\adprep\adprep.exe /domainprep
\sources\adprep\adprep.exe /domainprep /gpprep
※スキーママスタのアップグレードは後戻りできませんので
修復できるようにバックアップと、システム状態のリストア手順を忘れずに。
Active Directory のリストア
http://technet.microsoft.com/ja-jp/ee676512.aspx
アプリケーション ディレクトリ パーティションのレプリケーション スコープは、Windows Server 2003 ベースのドメインまたは Windows Server 2008 ベースのドメインから削除されることはありません。
http://support.microsoft.com/kb/979384
ドメイン コントローラーの速度が低下またはガーベジ コレクション プロセスの実行時の応答を停止します。
http://support.microsoft.com/kb974803
簡単なバックアップ手段としては Windows Server バックアップを使ってフルバックアップ。
復元する場合は DVD から起動して Windows Complete PC 復元を使用(新しい HDD で復元する場合はバックアップ時と同じサイズかそれ以上の容量を用意すること)
完全な OS リカバリを実行した後、Windows Server 2008 R2 を再起動すると、エラー メッセージ:「Windows 開始に失敗しました。 状態: 0xc000000e」
http://support.microsoft.com/kb/2261423
関連
【連載】にわか管理者のためのActive Directory入門
(11) ドメインコントローラの追加
http://journal.mycom.co.jp/series/AD/011/
(20) Windows Server 2003/2008への上書きアップグレード
http://journal.mycom.co.jp/series/AD/020/index.html
Windows 2000 ドメイン コントローラを Windows Server 2003 にアップグレードする方法
http://support.microsoft.com/kb/325379/
Windows Vista、Windows Server 2008、Windows 7、または Windows Server 2008 R2 ベースのコンピューターが Windows NT 4. 0 ドメインに参加しようとすると、
エラー メッセージ:"ログオン失敗: 不明なユーザー名またはパスワードが間違っています"
http://support.microsoft.com/kb/940268
Windows 7 および Windows Server 2008 R2 の使用が推奨されなくなった機能
http://technet.microsoft.com/ja-jp/library/ee681713(WS.10).aspx
第6回 進化したActive Directory
1.Windows Server 2008 R2のActive Directoryの強化点
http://www.atmarkit.co.jp/fwin2k/winsv2008r2/06adr2/adr2_01.html
マイクロソフト純正フリーサーバツール 15選 [前編
http://www.computerworld.jp/topics/mws/191419.html
ケルベロスのログを有効にする
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
値の名前 : LogLevel
データ型 : REG_DWORD
値 : 1(0 で無効)
How to enable Kerberos event logging
サポートツール
Kerberos List (klist.exe)
現在のログオンセッションに与えられた Kerberos チケットを表示や削除
Kerberos Tray (kerbtray.exe)
Kerberos V5 プロトコルのコンピュータのチケット情報を表示
イベントの種類: エラー
イベント ソース: Kerberos
イベント カテゴリ: なし
イベント ID: 3
↑ログを有効にすると、このエラーが15分刻みで出てません?
Kerberos authentication is unsuccessful in the Local System security context when the computer account password has recently changed on a computer that is running Windows Server 2003
http://support.microsoft.com/kb/918442
parent-and-child ドメイン環境の Windows Server 2003 ベースのドメイン コントローラは、変更を複製することができません。
http://support.microsoft.com/kb/938702
ドメイン コントローラが Windows Server 2003 Service Pack 1 を実行すると、ドメイン コントローラに接続するために、 SSL 接続で LDAP が使用できないことがあります。
http://support.microsoft.com/kb/917268/ja
トラブルシューティング - Kerberos
http://support.microsoft.com/ph/3198/ja/?sid=1640&aid=3&GSA_AC_More3
後で読む
ndows Server 2008 での署名 LDAP を有効にする方法
http://support.microsoft.com/kb/935834/
グループ ポリシーを使用して複数のコンピューターに、MaxTokenSize レジストリ エントリを追加する方法
http://support.microsoft.com/kb/938118/
ソース : Userenv
イベント ID : 1030
グループ ポリシー オブジェクトの一覧を照会できません。このエラーの理由を説明するようなメッセージをポリシー エンジンが記録していないかどうか、イベント ログを確認してください。
ソース : Userenv
イベント ID : 1058
GPO CN={00000000-0000-0000-0000-000000000000},CN=Policies,CN=System,DC=netdive,DC=local 用のファイル gpt.ini にアクセスできません。
ファイルは、場所 <\\netdive.local\sysvol\netdive.local\Policies\{00000000-0000-0000-0000-000000000000}\gpt.ini>
(ネットワーク パスが見つかりません。または アクセスが拒否されました。) に存在する必要があります。グループ ポリシーの処理は中止されました。
と、出る場合の対処。
・Microsoft ネットワーク用ファイルとプリンタ共有 が有効になっているか確認
・TCP/IP NetBIOS Helper が有効になっているか確認
・Microsoft 分散ファイル システム (DFS) が有効になっているか確認
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
値の名前 : DisableDFS
データ型 : REG_DWORD
値 : 0(有効)
・ルート ドライブの NTFS ファイル システムのアクセス許可から "Everyone" が削除されている場合
"Everyone" にルート フォルダに対する読み取りと実行の特殊なアクセス許可のみを付与し
ルート フォルダに対する "Everyone" グループの NTFS アクセス許可を復元。
・dfsutil /PurgeMupCache を実行してみる(このコマンドは DFS、MUP のローカルキャッシュ情報をリフレッシュする)
Dfsutil.exe ファイルは、Windows Server 2003 の CD-ROM の \\SUPPORT\TOOLS フォルダにある
SUPTOOLS.MSI を実行するとインストールされます。
ジャンボフレームを設定している場合は、オフにしてみる。(これでエラーが出ている可能性あり)
ドメインコントローラを複数立てている場合で、DNS の設定に誤りがあり、各 DC で DNS サービスを動かしており
かつ、その DNS を参照している場合にもエラーが出るようです。(別の DNS を指定すると出なくなるかも)
解決するまで、ネットワークの設定で DNS を自分自身の アドレスから、別の DC の DNS に設定。
これで、エラーは出なくなります。
DNS の設定を見直しましょう。
このエラーが出ている場合、セキュリティポリシーが開けないはず。
同様に gpt.ini が存在しない場合も、グループポリシーの管理から新規作成や編集時に
ネットワークパスが見つかりませんと言われて何も出来ません。
参考
Dfs クライアントを無効にした際 SceCli イベント ID1001,UserEnv イベント ID1000
セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる
Microsoft 管理コンソールを開く際のエラー メッセージ "スナップインを初期化できませんでした。"
ドメイン コントローラ上の Workstation サービスまたは Server サービスで SMB 署名を無効にすると、ファイル共有またはグループ ポリシー スナップインを開けない
Microsoft Windows Server 2003 を実行しているドメイン コントローラは、複数回曜日の 2 〜 15分の応答を停止することがあります。
ギガビット イーサネット デバイスで、ドメイン コントローラに接続できず、グループ ポリシーを適用できない
一部読み取り/書き込みのドメイン コントローラーと一部の読み取り専用ドメイン コントローラーが Windows Server 2008 ベースのドメインでグループ ポリシー オブジェクト (GPO) への変更は適用されません。
Windows Server 2008 を実行しているドメイン コントローラー上のエラー メッセージ:"、エラーで失敗したため '0x8007000d データが無効です ' 'ドメイン名 {GUID}' のコードは、クライアント側拡張子ユーザー ポリシー設定削除できませんでした"。
レジストリの更新、Windows Server 2008 R2 を実行しているコンピューターでグループ ポリシー設定にした場合は、グループ ポリシー モデル作成ウィザードが失敗しました。
アクセス制御リストは、間違った Windows Server 2003 での情報をレポートできます。
http://support.microsoft.com/kb/884049
administrator は、無効化して使わないって事で。
-------------------------------------------------------------------------------
イベント ソース: MSDTC
イベント ID: 53258
説明:
MS DTC は、DC 昇格/降格イベントを正しく処理できませんでした。
MS DTC の動作はこれまでと変わりません。MS DTC は既存のセキュリティ設定を使用します。
エラー固有情報: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9280, Pid: 1704
No Callstack,
CmdLine: C:\WINDOWS\system32\msdtc.exe
-------------------------------------------------------------------------------
コンポーネントサービスから MSDTC のセキュリティ構成の確認をして
サービスを再起動すると直るらしい。
コントロールパネル>管理ツール>コンポーネントサービス からコンポーネントサービスを展開し
マイ コンピュータを右クリックでプロパティを開く。
MSDCT タブをクリックして トランザクション構成の「セキュリティの構成」ボタンをクリック
セキュリティの構成画面が出たら、そのまま OK を押す。
MSDCT のサービス コントロールの状態から
「停止」>「開始」
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?forum=6&topic=27270
XA トランザクション が ON になった時に処理する権限が無いのが原因か?
-------------------------------------------------------------------------------
イベントの種類: 情報
イベント ソース: MSDTC
イベント カテゴリ: TM
イベント ID: 4193
ユーザー: N/A
説明:
MS DTC を次の設定で開始しました (OFF = 0 および ON = 1):
セキュリティ構成:
トランザクションのネットワーク管理 = 0、
ネットワーク クライアント = 0、
ネイティブ MSDTC プロトコルを使った着信分散トランザクション = 0、
ネイティブ MSDTC プロトコルを使った送信分散トランザクション = 0、
Transaction Internet Protocol (TIP) = 0、
XA トランザクション = 1
重複したイベントのフィルタ = 1
-------------------------------------------------------------------------------
イベントの種類: 情報
イベント ソース: MSDTC
イベント カテゴリ: TM
イベント ID: 4193
ユーザー: N/A
説明:
MS DTC を次の設定で開始しました (OFF = 0 および ON = 1):
セキュリティ構成:
トランザクションのネットワーク管理 = 0、
ネットワーク クライアント = 0、
ネイティブ MSDTC プロトコルを使った着信分散トランザクション = 0、
ネイティブ MSDTC プロトコルを使った送信分散トランザクション = 0、
Transaction Internet Protocol (TIP) = 0、
XA トランザクション = 0
重複したイベントのフィルタ = 1
-------------------------------------------------------------------------------
※ DC の入れ替えに記している「MS DTC を完全に有効にするには」を実行すれば、エラーは出なくなります。
DTC と SQL Server で「 XACT_E_NOENLIST」エラー メッセージ
http://support.microsoft.com/kb/831425/ja
[PRB] DTC のセッション タイムアウトとトランザクション要求が競合する
http://support.microsoft.com/kb/827773/ja
コンピュータが同じドメインで実行されていない場合に MSDTC による相互認証が失敗する
http://support.microsoft.com/kb/827805/ja
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC
値の名前 TurnOffRpcSecurity
データ型 REG_DWORD
値 1
Windows Server 2003 Service Pack 1 のインストール後
レジストリ エントリ TurnOffRpcSecurity は 0 に設定されます。
Windows Server 2008 R2 MS DTC 修正プログラム ロールアップ パッケージ 1 に固定されている MS DTC 問題
http://support.microsoft.com/default.aspx/kb/978476
レプリケーションエラー
イベント ソース: NTDS Replication
イベント カテゴリ: レプリケーション
イベント ID: 1864
説明:
これは、ローカル ドメイン コントローラ上の次のディレクトリ パーティションのレプリケーション状態です。
最近、ローカル ドメイン コントローラは、いくつかのドメイン コントローラからレプリケーション情報を受信していません。
複数のDCが在る場合に、同期が取れず放置してると出るエラー
Adsiedit ツールを使用して、TSL を 長く設定し直せば再同期される?(検証中)
ADSI Edit
+ Domain [dc01.netdive.local]
- Configuration [dc01.netdive.local]
- CN=Configuration,DC=netdive,DC=local
- CN=Services
- CN=Windows NT
+ CN=Directory Service ←ここで右クリックからプロパティを選択
+ Schema [dc01.netdive.local]
プロパティを開いたら、 Attribute Editer タブから tombstoneLifetime を選択し 180 と 入力
※数字を入れる前に dcdiag を実行して最後にレプリケーションを行った日付を確認しておく。
最後に REPADMIN /syncall を実行して、強制的にレプリケーションを実行
REPADMIN /options dc02 -DISABLE_INBOUND_REPL
REPADMIN /options dc02 -DISABLE_OUTBOUND_REPL
とかも必要かも。
参考
Windows 2000 ベースのフォレストまたは Windows Server 2003 ベースのフォレスト内の残留オブジェクトに関する情報
http://support.microsoft.com/kb/910205/ja
障害回復: Active Directory ユーザーとグループ
http://technet.microsoft.com/ja-jp/magazine/2007.04.adrecovery.aspx
Windows Server 2008 の日本語版 ADSIEdit で msDS-LockoutDuration 属性の設定値に「(なし)」と入力して PSO を作成し、
英語版 ADSIEdit で msDS-LockoutDuration 属性値を確認すると「(never)」と表示される
http://support.microsoft.com/kb/980612/ja
Windows Server 2008 および Windows Server 2008 R2 のドメイン コントローラー上で Repadmin コマンドまたは DCDiag コマンドを実行すると、エラーが出力される
http://support.microsoft.com/kb/2581638/ja
8606 エラーで失敗する Active Directory 操作のトラブルシューティング:「が不足している属性が与えオブジェクトを作成する」
http://support.microsoft.com/kb/2028495/ja
イベント ソース: NTDS Replication
イベント カテゴリ: レプリケーション
イベント ID: 2042
ユーザー: NT AUTHORITY\ANONYMOUS LOGON
説明:
このコンピュータと名前が付けられたソース コンピュータが最後にレプリケートされてから時間が 経ちすぎました。このソースとのレプリケーションの間の時間が廃棄 (Tombstone) の有効期間を越 えています。レプリケーションはこのソースで停止しています。レプリケーションが続行できない
理由は、2 台のコンピュータの削除されたオブジェクトの表示が現在同じではないためです。 ソース コンピュータに、このコンピュータで削除 (およびガーベジ コレクト) されたオブジェクト のコピーがまだある可能性があります。レプリケートすることができた場合、ソース コンピュータに
より既に削除されたオブジェクトが返される可能性があります。
で同期が取れない場合は
KEY: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
値の名前 : Allow Replication With Divergent and Corrupt Partner
データ型 : REG_DWORD
値 : 1(有効)
を追加して強制的に復元させる。(復元後、このキーは削除する事)
※サポートされていない復元方法なので問題が発生する可能性高し。素直に降格して再構築が良いかも。。。
仮想ホスト環境で Active Directory ドメイン コントローラをホストする場合の考慮事項
http://support.microsoft.com/kb/888794
Windows Server 2008 における Active Directory のバックアップと復元
http://technet.microsoft.com/ja-jp/magazine/2008.05.adbackup.aspx
定期的にバックアップしましょう、って事ですね。
Active Directory のシステム状態のバックアップの有効期間について
http://support.microsoft.com/kb/216993/ja
Windows Server 2003 でバックアップ機能を使用してデータのバックアップおよび復元を行う方法
http://support.microsoft.com/kb/326216/ja
イベントの種類: エラー
イベント ソース: NTDS Replication
イベント カテゴリ: DS RPC クライアント
イベント ID: 1411
説明:
Active Directory は、次のドメイン コントローラの相互認証のサービス プリンシパル名 (SPN) を構築できませんでした。
KEY: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
値の名前 : RepsTo Failure Time (sec)
データ型 : REG_DWORD
値 : 60
このキーを追加後、コマンド プロンプトで
repadmin /kcc
repadmin /showreps
を実行、暫く様子を見る。
イベント ID: 1411 が Microsoft Windows Server 2003 または Microsoft Windows 2000 を実行しているドメイン コントローラで出力します。
http://support.microsoft.com/default.aspx/kb/938704
うは、エクスプローラが落ちるなんて初めてですけど。。。
-------------------------------------------------------------------------------
イベントの種類: エラー
イベント ソース: Application Error
イベント カテゴリ: (100)
イベント ID: 1000
説明:
エラー発生アプリケーション explorer.exe、
バージョン 6.0.3790.1830、
エラー発生モジュール unknown、
バージョン 0.0.0.0、
エラー発生アドレス 0x000902e8
-------------------------------------------------------------------------------
イベントの種類: 情報
イベント ソース: DrWatson
イベント カテゴリ: なし
イベント ID: 4097
説明:
アプリケーション C:\WINDOWS\Explorer.EXE がアプリケーション エラーを起こしました。
03/06/2006 10:17:03.037 にエラーが発生しました。
発生した例外: c0000005 アドレス 000902E8 ()
-------------------------------------------------------------------------------
イベントの種類: 情報
イベント ソース: Winlogon
イベント カテゴリ: なし
イベント ID: 1002
説明:
シェルが停止し、Explorer.exe が再起動されました。
-------------------------------------------------------------------------------
何だろう、、、
メモリか、ハードディスクが死にかけてるのかなぁ…
ノートンアンチウイルスが悪さしている?(リアルタイムな設定じゃないけど、、、)
Windows Server 2003、Windows 2000、または Windows XP を実行しているコンピュータでウイルス スキャンを行う場合の推奨事項
http://support.microsoft.com/kb/822158/ja
とりあえず、チェックディスクと、ウイルススキャンさせない定義の見直しで。。。
TeraStation をドメインに参加
http://qa.buffalo.jp/eservice/esupport/consumer/esupport.asp?id=413b2381-7291-499a-92d2-581e1fc8ddd1&resource=&number=0&isExternal=0
セキュリティポリシー下げすぎ…
FTP も アクセスログ無いし…
NTLMv2 認証にしてると、XPからもフォルダにアクセス出来ないし
こりゃ、つかえん。もう10万だしてちゃんとしたストレージ買いましょう。。。
※新しいものは VISTA 対応(NTLMv2 認証がデフォルト)となってますので、こっちなら使えそう。(が、もう買うつもりはないけど...)
ドメイン コントローラ上の Workstation サービスまたは Server サービスで SMB 署名を無効にすると、ファイル共有またはグループ ポリシースナップインを開けない
http://support.microsoft.com/kb/839499
ちなみに旧型の TeraStation も VISTA からアクセスする場合は ローカルセキュリティポリシーの LAN Manager 認証 レベルを 「NTLM 応答のみ送信する」にするとアクセス出来るようになります。
多重ログインの抑制
LimitLogin を使う。
詳しくは
Utility Spotlight Limit Login Attempts With LimitLogin
http://technet.microsoft.com/ja-jp/magazine/cc160794(en-us).aspx
Windowsの同時ログオン・セッションを制限する
http://itpro.nikkeibp.co.jp/article/COLUMN/20061011/250363/?ST=sysmanage&P=1
自分のPCには自分しかログオン出来ない様にするだけならば、
ADユーザとコンピュータ
>管理ツール
>ユーザのプロパティ
>アカウントタブから
[ログオン先]ボタンをクリック
ここでログインできるコンピュータを制限できます。
UAC 関連
VISTA で
ドキュメントフォルダのリダイレクトがうまく動かない
ログオンスクリプトでネットワークドライブが割り当てられない場合の対策
KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
値の名前 : EnableLinkedConnections
データ型 : REG_DWORD
値 : 1
Windows Vista でのユーザー アカウント制御を有効にするプログラムができなくによってネットワークの場所にアクセス
http://support.microsoft.com/default.aspx/kb/937624/
Windows Server 2008 で負荷分散を構築する場合等でも有効かも?(試してません)
その他
Active Directory
Active Directory がよくわかるオンライン デモ
第1回 Active Directoryとは何か?
お手軽 Active Directory 構築
Windows Server 2003 の Active Directory サービス
動作メカニズム : ドメイン ネーム システム
スクリプトを使用した Active Directory セキュリティの管理
マイクロソフトの Securing Windows 2000 Server ソリューション 第 5 章 ‐ ドメイン インフラストラクチャをセキュリティで保護する
ディレクトリ サービス 使っていますか: .NET Framework 2.0 を用いた新しい Active Directory の管理方法
特定のサービスの読み込みを遅らせる方法
Windows Server 2003、Windows XP、および Windows 2000 で Kerberos に UDP ではなく TCP を使用するように強制する方法
ホーム ネットワークに Active Directory を構成する方法
Windows 2000 と MIT Kerberos の間で信頼が機能しない
Windows 2000 および Windows Server 2003 クラスタ ノードをドメイン コントローラとして構成する
W32Time をソースとするイベント ID 56 によって、無効な署名のタイム スタンプが DC によって返されたと報告される
Windows Server 2003 の Active Directory 用新規コマンド ライン ツール
Windows でパスワードの LAN Manger ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法
Windows Server 2003 または Windows 2000 Server ベースのドメイン コントローラ上の Lsass.exe プロセスによるメモリの使用量
Windows 2000 または Windows Server 2003 が実行されているドメイン コントローラにファイルをコピーすると、ネットワークのパフォーマンスが低下する
Windows Server 2003 でディレクトリ サービスのコマンド ライン ツールを使用して Active Directory のオブジェクトを管理する方法
Windows Server 2003 のドメインでネットワークを経由して共有フォルダに接続する方法
Windows Server 2003 で TCP/IP または NetBIOS のネットワーク接続の診断とテストを行う方法
Windows Server 2003 ドメイン環境のネットワークでファイルとフォルダを共有する方法
Windows Server 2003 ファミリで、起動、シャットダウン、ログオン、およびログオフの詳細な状態メッセージを有効にする方法
Netdom.exe を使用して Windows Server 2003 ドメイン コントローラのコンピュータ アカウントのパスワードをリセットする
Windows Server 2003 で Windows NT ベースのドメインとの信頼を確立する方法
DCPROMO 実行時に一部の IIS フォルダのアクセス許可が保持されない
Windows XP を実行するコンピュータでドメインにログオンするとき、またはネットワーク リソースに接続するときに、時間がかかる
Windows Server 2003 でデフォルトでは無効になっているサービス
Windows Server 2003 でネットワーク DTC アクセスを有効にする方法
Lsass.exe でアクセス違反が発生し、イベント ID 1015 およびイベント ID 1000 が Windows Server 2003 ドメイン コントローラのアプリケーション ログに出力される
Windows XP を実行するコンピュータでドメインにログオンするとき、またはネットワーク リソースに接続するときに、時間がかかる
Windows Server 2003 ベースのドメイン コントローラを再起動すると、イベント ID 1097 およびイベント ID 1030 のエラー イベントが記録される
ドメイン コントローラが正常に動作しない
Windows Server 2003 で RPC エンドポイント マッパーのエラーのトラブルシューティングを行う方法
ADMT ツールで SID マッピング ファイルを使用して Windows Server 2003 にリソース ドメインを移行する方法
Windows Server 2003 ベースのメンバ サーバーではなく、ワークステーションがマスター ブラウザになることがある
%windir%\registration ディレクトリのアクセス制御リストのデフォルトのアクセス許可を変更したシステムに COM+ および MS DTC 用のマイクロソフト セキュリティ情報 MS05-051 の重要な更新プログラムをインストールした後、さまざまな問題が発生することがある
Kerberos チケットは、クライアントのクロックと、ドメイン コントローラのクロックの時間差が"最大のコンピュータの時計の同期のトレランス"値を超えてでも発行されます。
Microsoft Windows Server 2003 サポート ページ
Active Directory フェデレーション サービス (ADFS)
Active Directory Application Mode (ADAM)
Active Directoryによるディレクトリ管理
Active Directoryを理解するための基本用語(前編)
改訂 管理者のためのActive Directory入門(Windows Server 2003対応改訂版)第7回 Active Directoryの導入(1)
グループ・アカウントの種類を知る
[運用] Active Directory管理者のためのDNS入門 第1回 DNSの基礎知識
Active Directory ユーザー アカウントがいつ失効するかを判断する方法はありますか
http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/jul05/hey0718.mspx
他のオブジェクトを含む Active Directory オブジェクトを削除する方法はありますか
http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/jul05/hey0714.mspx
Windows Server 2003 の Boot.ini ファイルの編集方法
http://support.microsoft.com/kb/317526
Windows XP および Windows Server 2003 の Boot.ini ファイルで使用可能なスイッチ オプション
http://support.microsoft.com/kb/833721
ユーザーがコンピュータにログオンすると、すべてのプログラムが何を実行するか確認する方法。
http://support.microsoft.com/kb/556012
ユーザー ログオフを追跡する方法。
http://support.microsoft.com/kb/556015
Windows Server 2003 ファミリで、起動、シャットダウン、ログオン、およびログオフの詳細な状態メッセージを有効にする方法
http://support.microsoft.com/kb/325376
他のユーザにログオンさせたくないだけの場合
「ADユーザとコンピュータ」からユーザのプロパティを開き
アカウントタブの[ログオン先]ボタンをクリック
ここでアカウントがログインできるコンピュータを制限できます。
Active Directory導入企業における「統合認証基盤確率のシナリオ」
https://www.netsecurity.ne.jp/special/ad/web01.html
Active Directoryを効率よく管理するツール「Active Directory Network Manager」
http://itpro.nikkeibp.co.jp/article/COLUMN/20081014/316839/
Active Directory統合管理ツールの定番「Hyena」
http://itpro.nikkeibp.co.jp/article/COLUMN/20081031/318259/
Active DirectoryとLinuxの認証を統合しよう
http://gihyo.jp/admin/serial/01/ad-linux/0001
OpenLDAPからActive Directoryへ移行せよ(1)
http://www.computerworld.jp/topics/mws/172309.html
あとは、OpenSSO もかな。
ポートスキャナ(メモページに書こうかと思ったけどこっち)
PortQueryUI http://download.microsoft.com/download/3/f/4/3f4c6a54-65f0-4164-bdec-a3411ba24d3a/PortQryUI.exe
※PortQry UI には PortQry 2.0 が組み込まれています。
参考
PortQry 2.0 の新機能
[HOWTO] Portqry を使用して Active Directory の接続の問題をトラブルシューティングする方法
サービスとして組み込みログとして記録するものに「Port Repoer」があります。
組み込んでおくと良いかもね。(大量のログが書き込まれるので注意!)
Port Reporter ツールの概要と入手方法
ついでに、ボトルネックを調べるツールとして
IIS サーバーのパフォーマンスの分析ツール
http://www.microsoft.com/japan/technet/community/columns/insider/iisi0105.mspx#EPC
にも書かれている Server Performance Advisor (今は 2.0 が出てます)
NetBIOS Browsing Console (Browcon.exe) の説明
http://support.microsoft.com/kb/818092/ja
Net Logon サービスのデバッグ ログを有効化
http://support.microsoft.com/kb/109626/ja
製品版 Windows でユーザー環境デバッグ ログを有効にする方法
http://support.microsoft.com/kb/221833/ja
ネットワーク モニター 3 について
http://support.microsoft.com/kb/933741/ja
Active Directory Performance for 64-bit Versions of Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?familyid=52e7c3bd-570a-475c-96e0-316dc821e3e7&displaylang=en
その他
NetEnum
http://www.forest.impress.co.jp/lib/inet/servernt/netanlz/netenum.html
MS製ネットワーク解析ツール「Microsoft Network Monitor」v3.2が公開
http://www.forest.impress.co.jp/article/2008/09/19/msnetworkmonitor32.html
OpenLDAPで始めるディレクトリサーバ構築
第1回 OpenLDAPの設計
http://www.atmarkit.co.jp/flinux/rensai/openldap01/openldap01a.html
第2回 OpenLDAPのインストールと動作確認
http://www.atmarkit.co.jp/flinux/rensai/openldap02/openldap02a.html
第3回 OpenLDAPサーバを利用したユーザー認証
http://www.atmarkit.co.jp/flinux/rensai/openldap03/openldap03a.html
第4回 考えておこう! OpenLDAPのセキュリティ設定
http://www.atmarkit.co.jp/flinux/rensai/openldap04/openldap04a.html
最終回 レプリケーションで冗長構成
http://www.atmarkit.co.jp/flinux/rensai/openldap05/openldap05a.html