memo.

タグ: Active Directory

  • DFSRまわりの障害はそれなり発生するようだ

    今回、ADでDFSR(分散ファイルシステムレプリケーション)まわりのレプリケーションの問題が発生した。削除可能なものだったので、削除で対応したわけだが・・・。

    DFSRまわりの障害を調べてみると、いろいろと出てくる。仮想マシンで、スナップショットから戻したらダメとか。このパターンだと、バックアップから仮想マシンをリストアしてもDFSRの問題はでるということか。DFSRは、なかなか大変。

    以下、リンク。

    DFSR は、仮想化されたサーバーのスナップショットを復元した後にファイルをレプリケートしなくなりました
    https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/networking/distributed-file-system-replication-not-replicate-files

    指定されたプライマリ メンバーで DFSR データベースがクラッシュした場合の復旧
    https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/networking/recover-from-dfsr-database-crash

    Windows Server 2022 DFSR レプリケーションエラー(ID:4012と4614の対処法)
    https://qiita.com/iyokan5/items/4fdd086c79015e7d2991

    PowerShellでWindows DFSレプリケーション状態を確認し障害を検知する方法
    https://ittrip.xyz/powershell/powershell-dfs-replication-status

    あと、DFSRのタイプミスをしてしまう、DFRSとか、FDSRとか。

  • ADの降格作業で「DFS Replication アクセスが拒否されました」が発生した。

    ADの一部で DFS Replicationのエラーが発生して、正常な認証ができなくなった。そのため、不具合の発生したADを降格する作業を実施した。

    そのADの降格作業で「DFS Replication アクセスが拒否されました」が発生した。

    下記のMicrosoftの手順を使って、ADから対象のサーバを外す処理を行った。サーバ自体は利用予定もないため、「回避策2」の「[C] メタデータ クリーンアップ」を行った。

    https://jpwinsup.github.io/blog/2021/03/03/ActiveDirectory/PromotionAndDemotion/dfsr-access-is-denied-when-demotion

  • Windows 2000 Server のADの降格手順

    Windows 2000 ServerのADの降格の難点は情報が少なくなってしまっているところ。そして、一番大変なのは、AD設定用のウィザードを表示させるところ。

    Active Directory のインストールウィザードの表示ができれば、後はGUIでウィザードに沿って作業するだけだ。

    降格手順

    1. ファイル名を指定して実行を選択する

    2. 「dcpromo」と入力して、Enter。

    3. 「Active Directory のインストール ウィザードの開始」が起動する

    4. あとは、ウィザードに従って、ADの削除を行う。

  • Windows Server 2022のADにWindows 2000を参加させる

    通常のままでは、Windows Server 2022のActive Directory(機能レベル Windows Server 2016)にWindows 2000やWindows 2000 Serverを参加させることはできない。AD参加時のセキュリティの不一致によるため。

    無理やりWindows Server 2022のADにWindows 2000を参加させるためには、以下のことを行い、セキュリティレベルを下げる必要がある。

    1つめ。LAN Manager認証レベルを変更する

    1. 「secpol.msc」と入力して、ローカルセキュリティ設定を起動する。

    2. 「ローカルポリシー」>「セキュリティオプション」>「ネットワーク セキュリティ」>「LAN Manager 認証レベル」の順に選択開く。

    3. 「LMとNTML応答を送信する」を選択して、適用する。

    2つめ。SMBv1を許可する

    1. Powershellを管理者として実行する。

    2. `Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol` を入力して、実行する。

    3. OSを再起動する。

    セキュリティは、かなり下がるので、Windows 2000はAD参加させないほうがいい。Windows Server 2003も同じ方法で参加できるはず。

  • MMCの「スナップインの追加と削除」で「Active Directory スキーマ」が表示されないときの対処

    FSMOの確認や移動で、「Active Directory スキーマ」を確認するために、MMCに追加しようしたときに「スナップインの追加と削除」に表示されなかった。(OSは、Windows Server 2022)

    「Active Directory スキーマ」は、コマンドで「schmmgmt.dll」を追加しないと表示されない。環境は、Windows Server 2022のActive Directory。

    ADサーバにログオンして、Powershellを起動して、以下のコマンドを実行する。

    regsvr32.exe schmmgmt.dll

    追加に成功すると、ポップアップでメッセージが表示される。OSの再起動は不要。

    MMCで「スナップインの追加と削除」を表示すると、下図のように追加されている。

    参考:https://technet.chokin-chokin.com/?p=248

  • FSMO の役割保持者を確認するコマンド

    ADサーバにログインして、管理者モードのPowershellで以下のコマンドを実行する。

    netdom /query fsmo

    実行例

    PS C:\Users\administrator.TD> netdom /query fsmo
スキーマ マスター                ACTIVE2.td.xenos.jp
ドメイン名前付けマスター        ACTIVE2.td.xenos.jp
PDC                         ACTIVE2.td.xenos.co.jp
RID プール マネージャー        ACTIVE2.td.xenos.jp
インフラストラクチャ マスター    ACTIVE2.td.xenos.jp
コマンドは正しく完了しました。
PS C:\Users\administrator.TD>

    Windows Server 2022のADでも変わらず、このコマンドでOKだった。

  • ADのグループポリシーエディタを開く

    ADのグループポリシーエディタを開くには、以下を行う。

    1. Windowsキー+Rで、「ファイルを指定して実行」を開く。

    2. 「gpmc.msc」を入力して、OKをクリックする。

    3. ADのグループポリシーエディタが開く。

    探すよりも、指定して開く方が早い。

  • Windows Server 2022で作成したADの機能レベルは2016

    Windows Server 2022で新しく作成したActive Directory(AD)のドメイン機能レベルはWindows Server 2016。

    Windows Server 2019やWindows Server 2022では新しく、ドメイン機能レベルは追加されていないため、機能レベルはWindows Server 2016で作成される。

  • 「Azure Active Directory は Microsoft Entra ID になります」って・・・

    Azure Active Directory(Azure AD)が名称変更を行うとのこと。新しい名前は、Microsoft Entra ID。わかりにくい。

    製品群は変えてもよいと思うけれど、Azure ADのところまで変える必要はなかったような気がする。この先の読み替えとか、会話が混乱する気しかしない。それに、どこかに落とし穴とかありそうで怖い。結果的に、セキュリティ事故につながらなければいいのだけど。注意しないといけない。

    https://forest.watch.impress.co.jp/docs/news/1515912.html

  • Windows Server 2019をADにする場合はSMB1.0を有効にしないと古いOSからSysvolにアクセスできない

    Windows Server 2019やWindows Server 2022をActive Directory(AD)にする場合、SMB1.0を有効化する設定を行わないと、Windows Server 2003などの古いOSからSysvolに対してアクセスできない。

    Sysvolにアクセスできない場合、ログオンスクリプトの実行や配布などの不具合が発生する。ただ、SMB1.0のプロトコルには脆弱性もある。セキュリティとのトレードオフが発生するので、注意が必要。

    今更、需要はないだろうけど、メモとして。