RODC環境でドメインに参加させるスクリプト

RODC環境でドメインに参加するためのスクリプト 実行書式は以下の通り。/readonly を忘れずに。 c:\> joindomain.vbs /domain <domainname> /mchinepassword <事前に設定したコンピューターのパスワード> /readonly —————————————————————————————–  ‘ JoinScript.vbs’ ‘     Script to join a computer to a domain.’     ” sub Usage   wscript.echo ” |————————————————|”   wscript.echo ” |   Joins a computer to a domain or workgroup    |”   wscript.echo ” |————————————————|”   wscript.echo “”   wscript.echo “Usage: ”   wscript.echo ” cscript JoinScript.vbs [/domain <domainname> |…


【Management】DMZでのドメイン参加はオフラインドメインジョインで!

たとえば、以下のような構成があるとします。 上記のDMZにある AppSV(アプリケーションサーバー) はActive Directoryドメインに参加していませんが、せっかくDMZにRODCが出来たので、ドメインに参加してアカウントをActive Directoryで一元管理することにしました。 さて、ドメインに参加するには、絶対に無視できない条件が2つあります。それは、 クライアントとドメインコントローラーが通信できること ドメインコントローラーに書き込みができること です。 AppSVと同じセグメントにはRODCがありますが、ご存じのとおりRODCには書き込むことができません。 一方、FWの向こう側にはRWDC(書き込み可能なドメインコントローラー)がありますが、今回は、AppSVとRWDCの通信は行えないという前提で話を進めましょう。そもそもAppSVから内部ネットワーク、特にドメインコントローラにアクセスさせたくなんて無いですよね。 つまり、上記2つの条件を全く満たしていないということになります。 この状態でAppSVをドメインに参加させようとすると、以下のようなエラーが発生します。   このAppSVを内部ネットワークに移動せずにドメインに参加する方法は2つあります。 方法1:Win32_ComputerSystemクラスの JoinDomainOrWorkgrouopメソッドをする 事前にコンピューターアカウントのパスワードを明に指定しておく必要があります。 ※2009/08/24 追記 本方法を使用した手順については以下をご覧ください。 【Management】JoinDomainOrWorkGroup メソッドでドメインに参加させる ※恐縮なのですが、この方式、検証していません。 メソッドの詳細は以下をご覧ください。 JoinDomainOrWorkgroup Method of the Win32_ComputerSystem Class http://msdn.microsoft.com/ja-jp/library/aa392154(en-us,VS.85).aspx ※サンプルスクリプトを使用したDMZでのドメイン参加については以下をご覧ください(英語です…) Deploying RODCs in the Perimeter Network http://technet.microsoft.com/ja-jp/library/dd728035(WS.10).aspx 方式2:オフライン ドメイン ジョイン機能を使用する クライアントがWindows 7またはWindows Server 2008 R2 であればオフライン ドメイン ジョイン(以降ODJ:Offline Domain Join)機能を使用して、ネットワークを使わないドメイン参加が可能です。 ODJの実行イメージは以下の通りです。…


【Management】RODC に DHCPサーバーをインストールするには

RODC(Read Only Domain Controller:読み取り専用ドメインコントローラー)の最も特筆すべき特徴は、当然ながら「書き込めない」ということです。 これにより、ドメインコントローラーの安全性がググッと高まることは間違いないのですが、「完璧にうまい話」というのは無いもので、そこにはトレードオフが発生します。 その1例として挙げられるのが、RODC への DHCPサーバーのインストールです。 DHCPサーバーを初めてインストールするときには、Active Directoryに以下の2つのドメインローカルグループを作成しようとします。 DHCP Users DHCP Administrators ※DHCPグループの詳細は、以下を参照してください。 DHCP グループ http://technet.microsoft.com/ja-jp/library/cc737716(WS.10).aspx この動作は RODC に DHCPサーバーをインストールしようとしたときも同様です。 しかしながら、RODCには書き込みができないため、以下のエラーが発生します。 対策は2つあります。 対策1)事前にRWDC側で2つのドメインローカルグループを作成しておき、RODCに複製しておく 対策2)DHCPサーバーインストール後に2つのドメインローカルグループを作成し、RODCに複製する インストールが終わったら、DHCP Users と DHCP Administrators に、必要に応じてメンバーを登録します。ちなみに、ドメインやコンピューターの管理者はDHCPの管理権限も持っているので、メンバーシップを追加する必要はありません。 それでは、よいManagement生活を!