不安:「読み取り専用ドメインコントローラ」と「書き込み可能なドメインコントローラ」

いま、明日 8月23日 TechEd で受け持つセッションのリハーサル待ちです。22:45~ とのことなので、おそらく 23:00 すぎになるでしょう…。 今は、一人、明日のセッションスライドを見ながら、見えないオーディエンスに向かって一人テックエドを開催しているのですが、不安が… どうも、かみかみになりそうな予感が…。 今回のセッションは 「読み取り専用ドメインコントローラ」が中心になるわけですが、その対極にある通常のドメインコントローラを「書き込み可能なドメインコントローラ」と表現しています。 その2つの単語が、何度も出現するのですが、繰り返して発音していると次第にロレツがまわらなくなります。 特に、「コントローラ」。 うーん…

2

Windows Server 2008 :beta3 と CTP 混在時、ドメインコントローラ昇格時には adprep /forestprep が必要

どうでもよいお話ですが、ちょっと気づいたことを書き留めておきます。 adprep コマンドをご存じですか? Windows 2000 Server ドメインから 2003 ドメインに移行する際にスキーマ情報を書き換えるために使用するコマンドです。 Windows Server 2008 でも同様に、2003 ドメインから 2008 ドメインに移行する際に使用します。 つい先日気づいたのですが、Beta3 で構築したドメインに、より新しい 6月版の CTP で構築したサーバーをドメインコントローラに昇格しようとすると、「adprep /forestprep を実行せよ」というエラーが出力されます。指示とおり、当該コマンドを実施すれば問題はありませんが、もし「英語のメッセージが出力されて先に進めない」と悩んでいらっしゃる方のために書き留めておきます。  


Windows Server 2008:読み取り専用ドメインコントローラ( RODC ) の 2 ステージインストールを無人セットアップファイルで実施する

読み取り専用ドメインコントローラ( RODC )の2ステージインストール手順については1つ前の記事に書きました。 Windows Server 2008:読み取り専用ドメインコントローラ( RODC )の 2 ステージインストールとはhttp://blogs.technet.com/junichia/archive/2007/08/22/windows-server-2008-rodc-2.aspx この方法を使用することで、作業の半分を現地管理者に任せてしまうことができますし、現地管理者に「俺がインストールしたんだっ!」と自覚を持っていただくというメリットも望めます。 ただ、ウィザードを使ったインストールであっても…やはり慣れていない方には難しかったりしますよね…。 では、インストール作業をさらに単純化できないか? はい、できます。Windowsお得意の無人インストールです。 ドメインコントローラへの昇格や降格を行う場合、dcpromo.exe を使用することはご存知の通りですが、その際に表示されるウィザードの一番最後で、ここまでに入力した値を「無人セットアップ用のテキストファイル」に保存することができるのです。このファイルを、dcpromo の引数に与えれば、手で行った作業をすべて自動的に実施することができます。 もちろん、2ステージインストールも同様に、それぞれを自動化することが可能です。 ステージ1で使用可能な無人セットアップファイル [DCInstall];昇格したいドメインのDNS名ReplicaDomainDNSName=example.jp;RODCにするコンピュータのホスト名TargetDcName=rodc2;パスワード複製ポリシー(拒否グループ)OnDemandDenied=”BUILTIN\Administrators”;パスワード複製ポリシー(拒否グループ)OnDemandDenied=”BUILTIN\Server Operators”;パスワード複製ポリシー(拒否グループ)OnDemandDenied=”BUILTIN\Backup Operators”;パスワード複製ポリシー(拒否グループ)OnDemandDenied=”BUILTIN\Account Operators”;パスワード複製ポリシー(拒否グループ)OnDemandDenied=”EXAMPLE\Denied RODC Password Replication Group”;パスワード複製ポリシー(許可グループ)OnDemandAllowed=”EXAMPLE\Allowed RODC Password Replication Group”;管理を委任したいドメインユーザーServerAdmin=”annou”;RODCを所属させるサイトSiteName=OKINAWA;DNSをインストールする場合はYESInstallDNS=Yes;GCを任せる場合にはYESConfirmGc=Yes;昇格時の複製元となるドメインコントローラReplicationSourceDC=2008DC1.example.jp 上記ファイルをメモ帳等で保存し、以下のコマンドを実施すればステージ1が完了し、Domain Controllers OU 配下に RODC のコンピュータアカウントが作成されます。 dcpromo.exe /CreateDCAccount /ReplicaDomainDNSName:example.jp /unattend:<保存した無人セットアップファイルのファイル名>   ステージ2で使用可能な無人セットアップファイル [DCInstall];昇格したいドメインのDNS名ReplicaDomainDNSName=example.jp ;DNSサーバーの委任を行うかどうかDNSDelegation=No;昇格時に使用する管理者アカウントのドメイン名UserDomain=example.jp;昇格時に使用する委任された管理者アカウントUserName=example.jp\annou;昇格時に使用する委任された管理者アカウントのパスワード(アスタリスクを指定する)Password=*;ADデータベースのパスDatabasePath=”C:\Windows\NTDS”;ADログファイルのパスLogPath=”C:\Windows\NTDS”;AD SYSVOLのパスSYSVOLPath=”C:\Windows\SYSVOL”;復元モードに入るためのパスワード(必ずダブルクオーテーションで括ること)SafeModeAdminPassword=”password”;完了後の自動再起動RebootOnCompletion=Yes 上記のファイルを保存して、以下のコマンドに指定すれば、ステージ1で作成したアカウントを使用してRODCをインストールすることができます。  dcpromo.exe /useExistingAccount:Attach /unattend:<無人セットアップファイルのファイル名> ただ、1点だけ。途中、委任された管理者ユーザーのパスワードだけ入力する必要がありますので、事前に現地担当者にパスワードを認識しておいてもうらう必要があります。 参考サイトUnattended Installation Options(機械翻訳付き)http://www.microsoft.com/japan/technet/windowsserver/2008/library/d2521765-9e7b-44b6-9021-496908f4b952.mspx

4

Windows Server 2008:読み取り専用ドメインコントローラ( RODC )の 2 ステージインストールとは

Windows Serer 2008 には、読み取り専用ドメインコントローラ( RODC )という、新しい機能が追加されていることはすでにご存じでしょうか。RODC を使用すると、ドメイン管理者の手が届きづらい営業所等にもドメインコントローラを設置し、現地の管理者の方に管理をお願いすることが可能です。 RODC をインストールするには、dcpromo を実行して、ウィザードの途中で「□読み取り専用ドメインコントローラ」をチェックすればOKなのですが、この方法あくまでドメイン管理者が行う場合です。従来通り、途中でドメインコントローラに昇格するための管理者アカウントを聞かれますから、営業所の担当者にドメイン管理者のアカウントを教えるわけにはいかないですよね。 そこで便利なのが、RODC に用意された「管理の委任」という機能です。事前にドメインユーザーに管理を委任してしまえば、RODC への昇格もドメインユーザーの権限で行うことが可能なのです。これは便利です。委任されたユーザーは、RODCに昇格するコンピュータ自身の管理権限も持ったまま、RODCの管理者となることができます。もちろん、ドメイン管理権限を持たずにです。ドメイン上は、あくまでも一般ユーザーであり、RODC ごとに委任ユーザーを指定することができるので、営業所単位に管理者を設置することも可能です。 そうした構成を効率的に行うために、RODC には「2ステージインストール」というインストール方式が用意されています。簡単に書くと以下の通りです。 ステージ1)読み取り専用ドメインコントローラのアカウントを作成する(ドメイン管理者の仕事) 「Active Directory ユーザーとコンピュータ」を使用して、Domain Controllers OUの配下に当該アカウントを作成します。このとき、委任したいドメインユーザーまたはグループのいずれか1つを指定することができます。 ステージ2)読み取り専用ドメインコントローラのインストール(営業所管理者の仕事) 事前に RODC のアカウントを作成しておくと、実際のインストール作業は現地の管理者に任せてしまうことが可能です。現地の管理者には、「ドメインのDNS名」と「ドメインユーザーのIDおよびパスワード」を知らせておけばOKで、ドメイン上のクリティカルな情報を伝える必要は一切ありません。 少々注意が必要なのは、以下のコマンドを「ファイル名を指定して実行」から入力してもらう点です。 dcpromo /useExistingAccount:Attach ここさえクリアしてしまえば、あとの作業はウィザードを繰っていくだけですので簡単です。できれば、ウィザードの手順書を作っておいてあげると親切だと思います。 読み取り専用ドメインコントローラは、つい「読み取り専用」ということで軽く見られてしまいがちですが、実は新しくて面白い機能が盛りだくさんなのです。 8月23日の TechEd ではその辺りについてもお話したいと考えておりますので、もしこのblog をご覧になられた方は、15:25 に ROOM B にいらしてください 追記 こちらも合わせてご覧くださいWindows Server 2008:読み取り専用ドメインコントローラ( RODC ) の 2 ステージインストールを無人セットアップファイルで実施するhttp://blogs.technet.com/junichia/archive/2007/08/22/Windows_5F00_Server_5F00_2008_5F00_RODC_5F00_2stage_5F00_unattend.aspx

3