=====ドメインコントローラ===== ====ドメインコントローラ==== 極力ドメインコントローラはほかのサービスと一緒のサーバにしない。 可能ならVMにする。(サーバーの置き換え、ネットワーク変更がしやすい) ====ドメインに参加するサーバ、しないサーバー==== インターネット関連のサーバーは参加させなくてもよい。 ドメインをどのように考えるか? さまざまなPCで構成された、ネットワークの1群を管理する上で、インフラにかかわるサービスを ドメインの中にいれるか、外に出すか? =====ActiveDirectory 用語と概念===== http://www.tech-faq.com/lang/ja/active-directory-terminology-and-concepts.shtml =====ActiveDirectory===== Pingが通ること。 DNSが設定されている、もしくはLMHOSTSがあること。 ActiveDirectory 上に同一名がないこと。 =====ドメインの信頼関係を使用するためのファイアウォールの構成方法===== http://support.microsoft.com/kb/179442/ja ====Windows NT==== この環境では、信頼関係の一方は Windows NT 4.0 の信頼、または、NetBIOS 名を使用して作成された信頼です。 クライアント ポート サーバー ポート サービス 137/UDP 137/UDP NetBIOS ネーム 138/UDP 138/UDP NetBIOS Netlogon と参照 1024 ~ 65535/TCP 139/TCP NetBIOS セッション 1024 ~ 65535/TCP 42/TCP WINS 複製 ====Windows Server 2003 および Windows 2000 Server==== Windows NT ドメイン コントローラまたはレガシ クライアントを使用する混在モードのドメイン、または、異なるフォレスト内に存在する 2 台の Windows Server 2003 ベースまたは Windows 2000 Server ベースのドメイン コントローラ間の信頼関係では、以下のポートに加えて、上記の表に記載されている Windows NT 用のすべてのポートを開くことが必要な場合があります。 クライアント ポート サーバー ポート サービス 1024 ~ 65535/TCP 135/TCP RPC 1024 ~ 65535/TCP 1024 ~ 65535/TCP LSA RPC サービス (*) 1024 ~ 65535/TCP/UDP 389/TCP/UDP LDAP 1024 ~ 65535/TCP 636/TCP SSL 上の LDAP 1024 ~ 65535/TCP 3268/TCP LDAP GC 1024 ~ 65535/TCP 3269/TCP SSL 上の LDAP GC 53、1024 ~ 65535/TCP/UDP 53/TCP/UDP DNS 1024 ~ 65535/TCP/UDP 88/TCP/UDP Kerberos 認証 1024 ~ 65535/TCP 445/TCP SMB ====2000ADから2003ADへ==== Windows 2000 Server based な [Active Directory] で Windows Server 2003 を Domain Controller に昇格させる場合は, まず adprerp で Active Directory を upgrade させる必要があります. 記述が無かったので念のため. 手順は Microsoft の site で公開されています.