So-net無料ブログ作成
検索選択
Windows Server ブログトップ

ADドメイン参加でハマる [Windows Server]

年賀状の回収もほぼ終わり、住所録の更新をして、Windows Server 2012R2に変えて以来のWindows AD Domainへの参加を、何気なく試してみたら... 参加できなかった(;_;)

まあ、そんな事態は想定していたので、被害が少なくてすむDesktop machineな環境で試したので、どおってことはないのですが、どうもDNSのlookupでAD Serverを見つけられないみたい。
が、DNSの設定は、どうみてもおかしくない。

ということで、何気なくnslookupしてみると、IPv6でつなぎに行ってる...
うーん、さぼってIPv6のDNS設定してないんだよね(^^;

しょうがないので、IPv6をkillして、めでたく復帰。
やりたいことは、別な手段で解決しなきゃいけないことも、このトラブルの最中に発見(^^;

さて、IPv6のDNS設定、まじめにやりますか...

漸くWindows Server 2012 R2 Essentialsへ完全移行 [Windows Server]

ライセンス自身は6月には購入してあったのですが、ちょっとほったらかしていました。

で、漸く、重い腰を上げて、Vrrtual Box上でもまともに動かなくなったWindows Server 2003 SBSからWindows Server 2012 R2 Essentialsへ移行しました。

ま、記憶の片隅に、昔、サーバークラッシュした時にやった手順とかは残っていたのですが、blogには書き留めていなかった様で、ググって、出直しです。

まずは、すべての管理権限を掌握する新しいサーバーのコマンドコンソールで

# netdom query fsmo

と叩くと、完全掌握に必要な管理権限が、以前のサーバーにあるのか、新しいサーバーにあるのかが判別できます。

分かったら、ntdsutilコマンドを使って、強制移行させます。

# ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server 新しいサーバーのFQDN
なんかメッセージ...
server connections: quit
後は、強制移行させる権利に応じて、以下のいずれか必要な物を実行します。
fsmo maintenance: seize naming master
fsmo maintenance: seize infrastructure master
fsmo maintenance: seize pdc
fsmo maintenance: seize rid master
fsmo maintenance: seize schema master
あとは、何回かquitして、おしまい。

これで、古いサーバーには消え去ってもらっても大丈夫(なはずです(^^;)
今回は、120日評価版に購入したライセンスのプロダクトキーを入力して、移行したので、実質、調べて、内容を思い出して、実行するだけだったので、チョチョイのチョイレベルで、完了です:-)

さて、次の更新は10年後?ですかね... と思ったら、2018/1/9がメインストリームサポート終了日でやんの。
3年か... 短いのぉ。


■参照
http://www.atmarkit.co.jp/fwin2k/win2ktips/439fsmorole/fsmorole.html
http://www.atmarkit.co.jp/fwin2k/win2ktips/1174fsmoseize/fsmoseize.html


2003 SBS/2012 R2 Essentials DNS登録情報差分 [Windows Server]

さて、自宅の環境は昔はSolaris、今はLinuxがベースで構築されているのでname serverもLinuxでうごかしています。
でもって、Windowsの世界は、ずいぶん昔からDDNSでの運用が前提になっているのですが、あえて、そうしていません。

そうなると、Domain Controlerを追加するは、結構面倒です。
ま、ドメインに追加したDomain Controlerの
\SWindows\System32\config\netlogon.dns
の内容を追加してあげればいいのですが...

で、この内容、Windows Server 2003の時以来のものなので、差分があるのかないのか確認するために、Windows Server 2012 R2で俺様ドメインを立ち上げて比べてみました。

すると...
gc._msdcs.DOMAINNAME.
があるじゃないですか...
調べてみると、Windows Server 2000の時代からあるみたいね。
Global Catlogue Serverの場合は、登録して置かないといけないみたい... (^^;
昔の設定で落としたまんま... ってやつです。

あとは
DomainDnsZones.DOMAINNAME.
_ldap._tcp.DomainDnsZones.DOMAINNAME.
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.DOMAINNAME.
ForestDnsZones.DOMAINNAME.
_ldap._tcp.ForestDnsZones.DOMAINNAME.
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.DOMAINNAME.
このへんはWindows DNSを使うときの設定かな。
ま、なくても手動設定している限りは、問題なさそう。
所詮、最大2台しかWindows Serverは存在しないし、clientも、片手で数えられるし、固定でIPアドレス割り振ってるし、無視かな。

ってことで、大して変わってないってことですな。
いいこった:-)

ちなみにgc._msdcのエントリーは、どうもBINDだとエラーになるようで、named.confのoptionsの中に、primary name serverなら
check-names master ignore;
を入れないと、だめなようです。2ndryならmasterのところをslaveに:-)

■参考
http://docstore.mik.ua/orelly/networking_2ndEd/dns/ch04_05.htm

Windows Server Essentialsの構成でエラー [Windows Server]

さて、公式にAD domainサポートと言っても、既存の環境からのUpdate Installの時だけみたい。
普通にインストールすると、Administratorでlogon時にWindows Server Essentialsの構成なるウィザードが立ち上がり、これを進めていくとSBS同様、俺様ドメインしか構築できません。

とはいえ、管理ツールからサーバーマネージャーを立ち上げちゃえば、こっちのもの:-)
ホスト名変えて、ドメイン参加させて、ドメインコントローラーに昇格させちゃえばいいのです。
らくちんらくちん。

で、こまったのが、この状態だと、毎回logonの度にWindows Server Essentialsの構成が立ち上がって、ドメインコントローラーとして、構成してくれようとするんだけど、エラーになること。
このウィザードに関しては、あまり情報が無いので、困りました。
コマンド自体は、
\Windows\System32\EssentialsRoleConfigWizard.exe
です。

んでもって、みっけましたよ。
http://blogs.technet.com/b/sbs/archive/2013/12/04/you-may-be-unable-to-run-post-deployment-configuration-wizard-after-you-install-the-windows-server-essentials-experience-role.aspx
これ。

ただ、ちょっと不親切。
グループポリシーエディター入れないと、これ、いじれないのです。
その入れ方は、コマンドラインでmmcとおまじないを唱えて、グループポリシーエディターのスナップインを追加して、あげればいいのです。

その辺はWindows Server 2003の場合は、まず
http://technet.microsoft.com/ja-jp/library/cc731892%28v=ws.10%29.aspx
でグループポリシーエディタの追加から。
その次に
http://www.atmarkit.co.jp/fwin2k/win2ktips/233usepoledit/usepoledit.html
でmmc叩いてスナップインの追加。

この後、最初のweb siteにある通り、デフォルトドメインコントローラーポリシーの方から辿ったローカルポリシーの「サービスとしてログオン」に「ServerAdmin$」を追加して、再起動してあげれば、自身のローカルセキュリティポリシーに反映されて、次回起動時のWindows Server Essentialsの構成がエラーなく終了して、無事に毎回、立ち上がられることがなくなります:-)

ちなみに、今回は、Master domain controler側のWindows Server 2003でこの設定を実施しました。
#この概念、AD2003以降はないのかな?

さて、もうちょっとお勉強:-)

Active Directory Domain/Forestの機能レベルの昇格 [Windows Server]

前の記事でちょっと躓いたところが、ここ。

どうやら2003 SBSは、何かの関係でWindows Server 2000レベルで運用してたみたい。
たぶん、SunのNTコンパチ環境とレプリケーションするのにそのレベルにしておいた微かな記憶が...

ということで、ドメインの昇格まではすぐに分かったのだけど、フォレストの昇格がイマイチわからず、ぐぐらせていただきました(^^;


http://www.atmarkit.co.jp/fwin2k/win2ktips/1169adfunclevup/adfunclevup.html
こちらさんに書いてあることをやるだけですな。

2012 R2 Essentialsというか、たぶん20012以降は既存ADの追加Domain Controlerになるときには、レプリケーション元にこのレベルを要求してくるのでしょう。
エラーになって、久々に過去の経緯を思い出しました:-)

このあと、正規ライセンスを購入するときには、エラーにならないので、覚え書き。

Windows Server 2003 SBSから2012 R2 Essentialsへの序章 [Windows Server]

久々に、本来のネタを(^^;

Windows XPのサポートが切れた直後にIEの騒ぎ、ま、そんなのおいといて、XPと同世代のテクノロジーベースなWindows Server 2003のサポートはいつまでやらと、確認したところ、2015年7月まででした。
あと、1年ちょっと。

我が家ではWindows Server 2003 Small Business Serverが稼働しているので、どうにかしなければなりません。
2008が出たとき、2012が出たときと、乗り換えを検討したにはしたのですが、どうも踏ん切りつかずに、いままで来てます。
その最大の理由は価格!
Standard Ed.にしても高過ぎ!!
おまけにアップグレードパスも用意されてない。
ってことで、サーバーOS如きに10万円以上は払えないのです。

とはいえ、毎回、価格動向は調べていたのですが...
どうやら、2003 SBSを買ったとき同様、リーズナブルな価格のEditionがでてるのを確認しました。
それが、2012 R2 Essentials。
Small Business Serverの正常進化形っぽい。

http://www.microsoft.com/ja-jp/server-cloud/products/windows-server-2012-r2-essentials/default.aspx#fbid=HU3fL_zzKLV

どうやら、Active Directory Domainも公式にサポートしてるみたい。
#SBSは裏テクニックでAD Domainを構築できるのでした:-)

ということで、早速180日の評価版を入手して、お試し中。
ちょっと躓いたけど、いい感じで、既存AD Domainの追加Domain Controlerになれました:-)

SambaのADS参加 [Windows Server]

さて、Sambaをどーすっか、考えている間に正月休みは終わり、はや成人の日。
仕事が忙しくなるのが分かっているので、今回は、敢えて4.xは入れずに、CentOS 5.xのパッケージに含まれているものを利用する事にしました。

でもって、大抵、構成を思い切り変えないとADS参加なんて、初回以外やらないので、
http://www.straycats.org/Solaris/samba.html
に書いたドメイン参加の方法は、既に過去のもの。

最近は、
net join -U Administrator
で良いそうな。(設定でドメイン名とかケルベロス領域とか先に指定してある場合)
コンピューター名の登録もやる場合は
net join -U Administrator createcomputer=<Samba動かしているホストのNETBIOS名>
みたい。

そろそろ、Web側は全面書き直しかな...
しかし、これでやっと、全てが1ヶ月半前のレベルまで復旧しました。



Windows Server 2003 SBSでのADS管理 [Windows Server]

たぶん、二度とやることはないだろうけど、忘れないように...
adminpak.msi
と叩く!
これで、管理ツールメニューに一通り必要なものが登録されます。
ということで、メディアがあればXPとかにもインストール可能だったのね。

サヨナラVMware Server! [Windows Server]

正月休みの課題の一つに、崩壊した?自宅サーバー環境の復旧がありました。
まあ、崩壊と言っても、ファイルサーバーアクセスが潰れているだけなのですが、AD Domainに紐付いているので、戻すのは結構面倒です。(と思っていました)

で、復旧させるには、VMware Serverから、それ以外のVM環境に移動しなければいけない訳で、時間が無いまま、放置していました。
ま、必要なファイルはftpで引っ張ってくればいいので(^^;

話はいきなり脱線しますが、年を越して、Virtualboxも4.0になっていたので、再インストール。
Updateしようとしたら、色々文句言われたので、迷わずアンインストールして、4.0を新規インストールしました。

さて話を元に戻します。
CPUパフォーマンスが格段にアップしているおかげで、前哨戦のSolarisの再インストールもサクッと終わり、いざWindows Server 2003 SBSの再インストールです。
の前に、AD環境を移動するにあたり、元環境のSystem Stateをバックアップする必要があります。
なので、VMware環境を潰す前に、
http://technet.microsoft.com/ja-jp/library/cc787254%28WS.10%29.aspx
をみて、バックアップしました。

なーに、ntbackup立ち上げて、System Stateにチェックつけて、最後に詳細設定でベリファイすればいいだけです。
あ、テープドライブが付いていないと、ファイルにしか落とせないですが、vmdkはsplitでない限り読み込めるので、適当なところに書き出せばOKです。
今回は、新規にドライブイメージを作ってFATでフォーマットした領域に書き出しました。

お次は、ふつーにインストールしてパッチ当てです。
これが、えらく早く終わって、感動です。
多分、パッチ当て終わるまで2時間掛かってないと思います。
ココまで、認証無しで作業しています。
さて、この状態で一旦電源を落とし、VMware側で書き出したSystem Stateが存在するドライブを接続した上で、再起動しますが、その際F8を連打して、起動モード選択画面を出して、アクティブディレクトリのレストアモードを選択します。
立ち上がってログオンしたら、これまた
http://technet.microsoft.com/ja-jp/library/cc758435%28WS.10%29.aspx
に従って作業するだけなのですが...
バックアップツールを立ち上げて、System Stateのバックアップファイルを指定し、詳細設定で全てのレプリカにプライマリの印を付けるってのにもチェックを入れて、レストア実行です。
ものの数秒... (まあ、自宅なのでそんなもんです)

これで再起動すれば復活... なのですが、なんと、ここで認証を求められました。
それも、Ether deviceを認識しないらしく、ネット経由で認証できませんでした。
おかげで電話で認証を取る羽目に。
ちなみに、レストア作業の前に認証を済ませておいても一緒です。
多分、System Stateをレストアしているので、再認証は必須なのでしょう...
なお、認証が終わると、ディバイスを見つけ直してくれるので、ネットワークにもキチント繋がります。
<DomainGuid>も<DasGuid>も元のままなので、nameserver側もメンテナンスは不要です。
これで、vmdkを切り離してあげれば、新環境の完成です。

あっという間の、VMware ServerからVirtualboxへの移行でした。
気合い入れてやるまでもなかった...

あとは、Sambaの再設定かな:-)

サヨナラVMware Server!


Windows Server ブログトップ