ドメイン コントローラー降格手順 (Windows Server 2012)

日本マイクロソフトの谷です。 Active Directory に関してのお問い合わせを対応していますと、ドメイン コントローラーの入れ替えのために降格、昇格作業を実施するケースや、問題の解決のためにやむなくドメイン コントローラーを一旦降格する必要があるような状況に遭遇することがよくあります。Windows Server 2012 からは従来ドメイン コントローラー昇格、降格の際に利用されていた dcpromo によるウィザードでの処理から、GUI または PowerShell による方法に変更となりました。今回は GUI での操作手順をご紹介いたします。 ドメイン コントローラーを降格する際には、降格対象のドメイン コントローラーのみが保持する更新情報を他のドメイン コントローラーに複製してから降格処理が行われます。トラブルが発生している環境で、複製ができていない状態で降格処理を実施しなければならないこともあります。この複製ができない状態で降格をするためには、強制降格と呼ばれる処理が必要となるのですが、その手順もご案内します。   なお、強制降格については注意が必要です。 ドメイン コントローラーの更改などの作業にともない、古いドメイン コントローラーを降格処理をするケースを考えます。この場合に通常降格が失敗する場合には、新しくドメイン コントローラーに昇格したサーバーが正常に機能していない可能性があります。このまま強制降格処理をおこなってしまうと、正常なドメイン コントローラーが存在しなくなり、復旧はバックアップからのリストアが必要になるという現象が発生しますので十分に注意の上、実施ください。 ドメイン コントローラーを降格する際には、そのドメイン コントローラーが FSMO である場合には、事前にその役割を他のドメイン コントローラーに移動させることが必要ですので、 FSMO を担っているかの確認方法と移動方法についてもご案内します。また、実際の操作については、画面キャプチャ付きで以下のファイル (xlsx 形式) にお纏めしましたので、こちらもお役に立てれば幸いです。 B-1. ドメイン コントローラーの通常降格 B-2. ドメイン コントローラーの強制降格 (B-1. に失敗した場合) B-2-1. Metadata Cleanup の実施 C. ドメイン コントローラーの再昇格   手順の概要は以下のとおりです。  …

0

AD FS 2.0 事例紹介 「SSL サーバー証明書 (サービス通信証明書) 更新後のトラブル」

皆様、こんにちは。Windows プラットフォーム サポート担当の田中です。 今回も、「AD FS 2.0 サーバー」につきまして、よくお問い合わせいただきます事例をご紹介いたします。 AD FS 関連のお問い合わせとしては、証明書に関連するトラブルをお問い合わせいただくことが多くあります。 AD FS サーバーでは、SSL サーバー証明書 (サービス通信証明書)、トークン署名証明書、トークン暗号化解除証明書の 3 つの証明書を利用します。 今回は、その内の SSL サーバー証明書更新時に発生し得るトラブルについてご紹介いたします。 1) 問題の概要 AD FS サーバーの SSL サーバー証明書を更新した後から、AD FS Proxy サーバー経由の認証で問題が発生するようになった。 AD FS サーバーに直接アクセスする認証は問題ない。 AD FS Proxy サーバー上での AD FS サービス起動時や、AD FS Proxy サーバー経由の認証を行う際に、AD FS Proxy サーバー上で AD FS 2.0/Admin エラー ID: 275 や 364 が記録される。…

0

AD FS 2.0 事例紹介 「AD FS サーバーと AD FS Proxy サーバー間の時刻ずれ」

皆様、こんにちは。Windows プラットフォーム サポート担当の田中です。 今回も、「AD FS 2.0 サーバー」につきまして、よくお問い合わせいただきます事例をご紹介いたします。特に最近お問い合わせが多い問題ですので、同様の問題が発生し得る構成となっていないかご確認いただけましたら幸いです。 1) 問題の概要突然、AD FS Proxy サーバー経由の認証で問題が発生するようになった。AD FS サーバーに直接アクセスする認証は問題ない。AD FS Proxy サーバー上での AD FS サービス起動時や、AD FS Proxy サーバー経由の認証を行う際に、AD FS Proxy サーバー上で AD FS 2.0/Admin エラー ID: 248 や 364 が記録される。 2) 対処策AD FS Proxy サーバーと AD FS サーバー間に 5 分以上の時刻のずれがある場合、AD FS Proxy サーバー経由の認証が失敗します。時刻ずれがある場合は、まず手動で時刻を合わせます。 3) 時刻同期先の設定AD FS サーバーはドメイン参加が必須です。一方、AD FS Proxy サーバーは…

0

AD FS 2.0 事例紹介 「ADMIN0017: 構成サービスへの接続中に例外が発生しました。」

皆様、こんにちは。Windows プラットフォーム サポート担当の田中です。 クラウド システムの台頭と共に、認証機能の連携のために利用いただくことが多くなりました、「AD FS 2.0 サーバー」につきまして、よくお問い合わせいただきます事例をご紹介いたします。以下ご紹介いたします問題は、AD FS の機能以外にも問題を引き起こすため、ご利用の環境が同様の問題が発生し得る状況でないか、ご確認いただけましたら幸いです。 1) 問題の概要ある日を境に、AD FS サーバーの認証でエラーが発生するようになった。AD FS Proxy サーバー経由でのみ問題が発生する場合や、AD FS サーバーに直接認証する場合にも問題が発生する場合がある。AD FS 2.0 管理コンソール起動時に、「AD FS 構成データベースへのアクセス中にエラーが発生しました。エラー メッセージ: 使用可能な Winsock リソースが不足しているため、ソケット接続を開始できません。」というエラーメッセージが表示されたり、AD FS 2.0/Admin エラーの詳細部分に “ADMIN0017: 構成サービスへの接続中に例外が発生しました。構成サービスの URL ‘net.tcp://localhost:1500/policy’ が間違っているか、または AD FS 2.0 Windows サービスが実行されていません。” と記録される。 2) 一時的な対処策技術情報 2553549 に記載の問題が発生している可能性があります。Windows Server 2008、Windows Server 2008 R2 の OS では、起動後 497…

0

ドメイン コントローラーの IP アドレス変更

本日は、ドメイン コントローラーの IP アドレスを変更する際の注意点と変更方法についてご説明いたします。 ドメイン コントローラーの IP アドレスは他のドメイン メンバーの場合と同様に TCP/IP のプロパティから変更が可能です。ただ、Active Directory の複製に影響を与えず、 DNS にその変更が確実に反映される必要がありますので、注意 / 確認点についてご説明いたします。 IP アドレスの変更方法 この場合の注意点としては、Active Directory の複製の孤立を発生させないことです。Active Directory 統合ゾーンをご利用の場合は Active Directory の複製の孤立を防ぐために、以下の手順を実施する前に各 DC 兼 DNS サーバーの IP 設定の優先 DNS サーバーおよび代替 DNS サーバーを確認し、互いに参照し合うように設定してください。複製の孤立につきましては、以下の文書をご参照ください。 ドメイン コントローラが _Msdcs.ForestDnsName ドメイン用に自身をポイントすると、DNS サーバーが孤立するhttp://support.microsoft.com/kb/275278/ja 変更手順 管理者としてドメイン コントローラーにログオンします。 ncpa.cpl を実行し、ネットワーク接続の一覧を開きます。 IP アドレスを変更するネットワーク接続を右クリックし、 [プロパティ] を開きます。 プロトコルの一覧から [インターネット プロトコル バージョン…

0

CA 証明書の有効期限

Windows Server の証明機関サーバーでは、既定で証明機関の証明書 (CA 証明書) の有効期限は 5 年となります。一方で、サーバー運用の都合上 CA 証明書の有効期限を変更したいといったご要望は少なからずある話であると思います。 そのような場合は、 CAPolicy.inf を編集することにより、任意に更新する証明書の期間を変更することができます。一例として、ルート CA 証明機関にて、 CA 証明書の期間を 10 年と設定して CA 証明書を更新する手順をご紹介いたします。 メモ帳等のテキスト エディターに以下を記載します。テキスト エディターはアイコンを右クリックし、 [管理者として実行] を選択して開きます。新しい CA 証明書の有効期限は RenewalValidityPeriod に記載します。 — ここから 5 行 —[Version]Signature= “$Windows NT$”[certsrv_server]RenewalValidityPeriod=10RenewalValidityPeriodUnits=Years— ここまで 5 行 — 上記で編集した内容を、 %SystemRoot%\CAPolicy.inf として保存します。 [管理ツール] – [証明機関] を開きます。 証明機関管理コンソールの左のコンソール ツリーより CA 名を右クリックし、 [すべてのタスク] – [CA…

0

Windows Server 2012 Essentials で提供される機能は取捨選択できますか?

Windows Server 2012 Essentials は小規模企業様向けの IT インフラストラクチャ サーバーとして開発されました。小規模企業におけるサーバーの導入及び運用を容易にしコストを低減するために以下の機能を予め組み込んでおり、 管理に費やす時間を最小限に抑えるため Windows Server 2012 Essentials ダッシュボードでから管理することができます。そのため、小規模な組織や企業様にとっては必要な IT インフラストラクチャ一式を一度にセットアップできる Windows Server 2012 Essentials のご利用をご検討いただいております。 Active Directory によるユーザーやコンピューターの管理 証明機関サーバーを利用した公開鍵基盤 サーバーやクライアント コンピューターのバックアップ リモートからのインターネットを介した接続 Microsoft Office 365 または Exchange Server との統合 これらの仕組みを実現するために Windows Server 2012 Essentials をインストールすると以下の機能や役割がインストールされます。 役割 Active Directory ドメイン サービス (ドメイン コントローラー) Active Directory 証明書サービス DNS サーバー Web サーバー…

0

リモートアクセス利用時におけるメトリックの変動について

こんちには。今回はWindows 7 でのリモートアクセス時におけるメトリックの変動についてご紹介します。   “メトリック”は、ネットワークのパケットを送るルートが複数ある場合に、どのルートに送るかを決める際に利用される値です。この値が最も小さいルートが選択されることになります。 メトリックの値は、インターフェイス(インタフェースメトリック)とルート(ルートメトリック)にそれぞれ割り当てられており、この2つの値の和が利用されます。 Windows 7 の既定の設定においては、リモートアクセス ( ダイヤルアップ, VPN 接続 ) による接続が行われた場合、ここで接続されたリモートネットワークを優先的に利用するように、接続するより前に存在するインターフェースのインターフェースメトリックの値を 約 4000 増加させています。 この結果接続前から存在するインターフェース上のルートの合計のメトリックが増加します。その上で、この接続によるリモートネットワークを経由するようにリモートネットワークの接続に対し、低い値でインターフェースメトリックが設定され、そのインターフェース上に既定のルート (0.0.0.0/0) を追加しています。   インターフェイスメトリックの値は netsh コマンドで取得することができます。  netsh   interface ipv4 show interface  Metの項目がメトリックス値です。以下の図ではローカルエリア接続(LAN)のみの状態で値を参照し (a)、その後ダイヤルアップを行い再度値を参照したもの(b)です。ローカルエリア接続のインタフェースメトリックスの値が 20 から4245 に増加していることがわかります。   ダイヤルアップ接続前(a)     ダイヤルアップ接続後 (b)    ダイヤルアップ接続後(b) GUIで参照した場合    [インターネット プロトコル バージョン 4 (TCP/IPv4)]の[詳細設定]を表示します。接続前は、自動メトリックとして設定してある場合でも、システムによる値の変更により明示的に 4245が設定されています。       スプリットトンネル設定 上記で記載しました Windows 7 の既定の動作を変更しリモートアクセス接続後も、既存の既定のルートを利用するようメトリックの変更を行わないように設定(スプリットトンネル設定)を行うことができます。 具体的な手順は以下の通りとなります。 該当の…

0

Windows Server 2003 の ドメイン コントローラー から Windows Server 2008 R2 、Windows Server 2012 への移行作業 (グループ ポリシー編)

こんにちは。Windows プラットフォーム サポート担当の名和です。   Windows XP の延長サポートが 2014 年 4 月 8 日に終了するのに続いて Windows Server 2003 もサポートが、 2015 年 7 月をもって終了となります。   サポート ライフサイクル http://support.microsoft.com/lifecycle/search/default.aspx?sort=PN&alpha=windows+server&Filter=FilterNO   Windows Server 2003 から Windows Server 2008 R2 や Windows Server2012への移行作業を検討されている方も多いのではないかと思います。 今回は、ドメイン コントローラー(DC) の移行作業を行う上で、考慮が必要な点をいくつかご案内をいたします。   1.  ドメイン コントローラー移行の方法 Windows Server 2003ベースのドメイン コントローラーをWindows Server 2008 R2 もしくは、Windows Server 2012 へのリプレースする方法についてご案内します。…

0

マイ ネットワークにドメインのメンバー サーバーが表示されない

こんにちは。Windows プラットフォーム サポートの伊藤です。 今回は、ドメイン コントローラーを Windows Server 2003 から Windows Server 2008 以降の OS バージョンにアップグレードした後、マイ ネットワークにドメインのメンバー サーバーが一部表示されなくなる問題の原因と対処方法について、ご説明します。技術的には、Windows 端末がネットワーク上にどのような機器が参照可能状態にあるかどうか、を調べる “ネットワーク探索” の機能にについての記事となります。 1. OS バージョンによる機能の違い ネットワーク探索の方法は、Windows XP や Windows Server 2003 までの実装と、Windows Vista や Windows Server 2008 以降の実装とでは異なります。 XP / 2003 以前の場合++++++++++++++++++++コンピューター ブラウジングと呼ばれるレガシーな仕組みが使用されます。この仕組みでは、OS のサービス “Computer Browser” が起動しているコンピューターが、ネットワーク上のコンピューターのリストを収集する役割を担います。そのため、XP / 2003 以前のコンピューターでは、”Computer Browser” サービスが既定で稼働する設定となっています。 Vista / 2008 以降の場合++++++++++++++++++++ブラウジングの機能を使用するレガシーな方法にも対応できますが、下記の複数サービスが連携する新たなネットワーク探索機能 (SSDP/WSD) が追加されました。 DNS ClientFunction…

0