nabezo wiki

ユーザ用ツール

サイト用ツール

トレース: activedirectory
activedirectory

リンク集 †

http://homepage2.nifty.com/winfaq/w2k/ad.html#1072

バックアップ http://technet.microsoft.com/ja-jp/library/aa997537(EXCHG.65).aspx

AD復旧 http://technet.microsoft.com/ja-jp/library/cc985001.aspx

ADの認証に関連していると思われるプロトコルとポートナンバー

ADの認証に関連していると思われるプロトコルとポートナンバーです。 

NetBIOS 名前サービス 137/tcp、137/udp 
NetBIOS データグラム サービス 138/udp 
NetBIOS セッション サービス 139/tcp 
Microsoft-DSへのSMB 445/tcp、445/udp 
LDAP (Lightweight Directory Access Protocol) 389/tcp 
LDAP グローバル カタログ 3268/tcp 
LDAP/SSL (636/tcp) 対応のグローバルカタログの待ち受けで使用するそうです。3269/tcp 
Kerberos 88/tcp、88/udp 
ドメイン ネーム サービス (DNS) 53/tcp1、53/udp

一口にユーザー認証といっても、 実際にはADにログオンするときにはこれらのプロトコルが関連してログオン処理を行っています。 サーバ名の名前解決や(NetBIOS 名前サービス,DNS)、GPOやログオンスクリプトのダウンロード(NetBIOS セッション サービス,Microsoft-DSへのSMB)等。 ↑ dcdiagを実行すると失敗する場合 †

dcdiag /s:servername

とした場合に以下のエラーが出た。 

Testing server: Default-First-Site-Name\XXXXX
   Starting test: Connectivity
      XXX's server GUID DNS name could not be resolved to an
      IP address.  Check the DNS server, DHCP, server name, etc
      Although the Guid DNS name
      (Xa3d4370-X17b-41da-Xe1c-X05208dadbXX._msdcs.testad.local) couldn't be
      resolved, the server name (xxxxx.testad.local) resolved to the IP
      address (192.168.0.XXX) and was pingable.  Check that the IP address
      is registered correctly with the DNS server.
      ......................... XXXXX failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\XXXXX
   Skipping all tests, because server XXXXX is
   not responding to directory service requests

Running enterprise tests on : testad.local
   Starting test: Intersite
      ......................... testad.local passed test Intersite
   Starting test: FsmoCheck
      [XXXXX] DsBind() failed with error 1722,
      RPC サーバーを利用できません。.
      ......................... testad.local passed test FsmoCheck

対処方法として、

net stop NetLogon net start NetLogin

を実行し、DNSにAD関連の情報を再作成することで正常になる。 原因は、DNSを後からインストールしたため。 ↑ フォレストの分割 †

複数ドメインをまとめてフォレストとする。 フォレスト内のドメインは、自動的に信頼関係が結ばれる。 そのため、信頼関係を明示的に指定したい場合や、EXCHANGEなど、ADの変更を限定的にしたい場合は、フォレスト自体を分けて設定する。 ↑ FSMO †

降格する DC が FSMO 操作マスタになっている場合は、降格前に他の DC へ転送してください。また、降格する DC がフォレストで唯一の GC の場合、あらかじめ他の DC を GC に設定してください。 ↑ スキーママスタ †

スキーママスタの変更には、schema adminの権限が必要だと言う事。これがないと変更ボタンが押せない。備忘録として書き記しておこう。 ↑ マルチホーム †

ドメインコントローラのマルチホームは推奨されていない。 ↑ 時刻同期 † ↑ ■方法1:w32tmコマンドで設定する †

w32tm /config /manualpeerlist:<NTPサーバのIPアドレス>,0x1 /syncfromflags:manual w32tm /config /update

↑ ■方法2:net timeコマンドでSNTPサーバを指定する †

net time /setsntp:<NTPサーバのIPアドレス>,0x1 net stop w32time & net start w32time

初期状態のtimeサーバーは

time.windows.com 0x01

activedirectory.txt · 最終更新: 2019/06/30 12:22 by 127.0.0.1