Directory Services

Active Directory

おもいっきし前略

とりあえず、初めてActive Directoryを設定する時に、Windows側でやることは、全部GUIでできるので、書きません。設計もくそもなければ、何も考えることはないでしょう。いわれたとーりに、はいはい、返事してりゃいいので。但し、そうすることを勧めているわけではありません。きちんと考えて、お行儀よく、動いてくれるように、設計しましょう。

DNSに設定しなきゃいけないことについては、こっちを、み・て・ね。

おいおい、GUIぢゃできねぇーのかよ...

ここでは、幸か不幸か、レプリケーションの設定ができあがってて、そのうち最初に立ち上げたますぃーんが、お亡くなりになったと仮定します。

とりあえず、問題なしなはず

たぶん、クライアントは、問題なく認証を行えるはずです。でも、マシンとかユーザーの追加/変更とかできないはず... まあ、そんなもんす。

どないせいっちゅうねん

ヘルプを見てみましょう。最近のヘルプは、よーできとる。

で、調べてみると、ふむふむ、スキーママスタ、ドメイン名前付マスタ、ＲＩＤマスタ、ＰＤＣエミューレータ、インフラストラクチャマスタというもんがあって、どーも、これ、動かさへんとダメっぽい。

詳しくは、ヘルプ見てね:-)

でもって、肝心なところは、GUIぢゃ、できないらしい... さすが、Windows! にくいね、やることが。

必要なモンは奪うベシ

とりあえず、↑のマスタにするマシンで、コマンドプロンプトを表示させます。

次に、ntdsutilと打ち込んで、あげましょう。すると、「ntdsutl:」なるプロンプトが出てくるはず。

そしたら、rolesと打ち込みましょう。今度は、「fsmo maintenance:」なんてプロンプトが出てくるはず。

さらに、connectionsと打ち込みます。さらに「server connections:」なるプロンプトが出てきます。

ここで

connect to server そのマシンのFQDN

なんて打ち込みます。エラーが出なければ、接続した旨の、メッセージが出るので、quitします。そうすると「fsmo maintenance:」なプロンプトまで戻ります。

そしたら、あとは、スキーママスタ、ドメイン名前付マスタ、ＲＩＤマスタ、ＰＤＣエミューレータ、インフラストラクチャマスタを順番に奪っていきます。

seize schema master

seize domain naming master

seize RID master

seize PDC

seize infrastructure master

まあ、警告とか出るかもしれませんが、たぶん無視して大丈夫。心配だったら、2回ぐらいやってみましょう。どーせ当初のマスタはお亡くなりになっているわけですから、これ以上亡くすものはありません。

で、最後に、quitを2回入力すれば、コマンドプロンプトに戻ります。

忘れちゃいけねぇ、DNSの更新

_ldap._tcp.pdc._msdcsなマシンの設定先、きちんと変更しておきましょう。まあ、2000未満がいなければ、問題ないはずですが、間違ったものをそのまま残しておくのも、問題だしぃ。

まじめにセットアップ

とりあえず、サーバーリプレイスとか、まじめに置き換える時のことも書いておきましょう。

Windows Small Business Server 2003

Windows Server 2003の一種ですが、SOHO（既に死語のような...）向けの製品で、既にAD Domainが存在しているところに組み込んだりすることは、ほとんど考えられていないような製品です。

とりあえず、おれっち一人な環境は、すぐに作れます。（やったことないけど）

こんな製品でも、性格が異なるだけで、コマンドラインを駆使すれば、きちんと普通のWindows Serverと同じことができます。そこさえ我慢すれば、ほかの製品の中途半端なライセンスもくっついてきたりするので、お得でしょう。私は、安かったのと、前記の理由で、この製品を購入しています。

Domain Controlerへの昇格

Small Business Serverの場合、Active Directoryに関するメニューがないのですが、ヘルプを漁ると、色々出てきます。困ったときは、まずは、ヘルプを使ってみましょう。

ということで、まずは、Domain Controlerへ昇格させないことには、始まらないのですが、これを実現するのが、dcpromo.exeです。

コマンドプロンプトでたたいてみましょう。

で、このとき、以下の状態になっていないと、転けます。

1. Domain Controlerに自分自身が登録されていないこと。

2. DNSに自分自身のCNAMEとして<DsaGuid>._msdcsが登録されていないこと。

3. net use \\<Domain ControlerのFQDN>でエラーにならないこと。

「3.」の予防策としては、\WINDOWS\system32\driver\etc\hostsにFQDNとaliasを登録してしまいましょう。

正当な権力継承

まずは、DNSの<DsaGuid>._msdcsの値を修正して、更新をかけた後、新規にDomain Controlerになったマシンで、コマンドプロンプトを表示させます。

※この項目は書きかけです。

おまけ

↑な状態になっちゃうと、お亡くなりになったDomain ControlerをActive Directoryの中から消せないんだけど、すごいツールがあった!

Windows 2000ならWindows 2000 SP4 support toolをGet!

Windows Server 2003ならCD-ROM/DVD-ROMのSUPPORTディレクトリの中にあるセットアップからインストール!

でだ、インストールするとメニューに登録されるADSI Editってツールを使うと、消せるのだ、これが... ページがたどれなくなると困るから、とりあえず、書きとめてはおくけど、詳しくはマイクロソフトサポート技術情報：417872を見てね。

ADSI Editを起動
Domain NC - [ 操作対象のドメイン名 ] を展開
DC=ドメイン名...を右クリックして、 [新規作成] - [Object] をクリック
ダイアログボックスが表示されたらcontainerを選択して、「次へ」を押す
value に適宜重複しないコンテナ名を入力（たとえばummy）して、「次へ」を押す
削除できないオブジェクトを作成したコンテナに移動
作成したコンテナを削除

ちなみに、これできれいさっぱり消えるかというと、消えません（嘘書くなよ、Microsoftめ）。末端のエントリは消えるようですが、途中のものは残ったままになるので、展開して、消しましょう。

あと、検索が無いので、不便ですが、まあ、しょうがないでしょう、無いよりはまし、何も手が打てないよりはまし。

ちなみに、Domain Controlersは比較的簡単に見つかりますが、サイトとサービスに出てくるServersを探し出すのは、結構大変です。Configuration Containar [ドメイン名]の下の、CN=Sites, CN=Configuration, DC=ドメイン名...以下のもうチョイ下あたりに見つけられるはずです。