【Management】JoinDomainOrWorkGroup メソッドでドメインに参加させる

前回、以下の投稿をしました。 【Management】DMZでのドメイン参加はオフラインドメインジョインで! オフライン ドメイン ジョイン 機能を使用することで、書き込み可能なドメインコントローラーと通信することなくドメインに参加させることができます。 ただ、難点があります。それは、Windows Server 2008 R2 および Windows 7でないと djoinコマンドが使えないということ…。 じゃ、それ以前のクライアントをRODC環境のドメインに参加させるにはどうしたらよいでしょうか。 WMIの Win32_ComputerSystem クラスには、JoinDomainOrWorkGroup メソッドが実装されています。でもって、なんと、このメソッドには NETSETUP_JOIN_READONLY = 2048 という大変魅力的な引数が用意されているのです。 JoinDomainOrWorkgroup Method of the Win32_ComputerSystem Class http://msdn.microsoft.com/en-us/library/aa392154(VS.85).aspx つまり、きちんと事前に準備を行い、このメソッドを使用したスクリプトを実行すればRODCしか無い環境であってもドメインに参加することができます。 では手順を以下に示します。 1)コンピューターアカウントを作成する Active Directory ドメインに参加させたいクライアントのコンピューターアカウントを作成します。「Active Directory ユーザーとコンピューター」を使用してもいいですし、net user ComputerName$ /add /domain net computer ComputerName /add(※ すみません間違えました。緒方さんご指摘ありがとうございました!)でも問題ありません。net user コマンドを使用する場合には、コンピュータ名の最後に「$」をつけることを忘れないでください。 2)コンピューターアカウントのパスワードを設定する 普段、あまりやらない作業ですが、大した処理ではありません。以下のようにコマンドラインから実行します。ユーザーのパスワードを設定するときと同じです。 net user ComputerName$ PASSWORD…


RODC環境でドメインに参加させるスクリプト

RODC環境でドメインに参加するためのスクリプト 実行書式は以下の通り。/readonly を忘れずに。 c:\> joindomain.vbs /domain <domainname> /mchinepassword <事前に設定したコンピューターのパスワード> /readonly —————————————————————————————–  ‘ JoinScript.vbs’ ‘     Script to join a computer to a domain.’     ” sub Usage   wscript.echo ” |————————————————|”   wscript.echo ” |   Joins a computer to a domain or workgroup    |”   wscript.echo ” |————————————————|”   wscript.echo “”   wscript.echo “Usage: ”   wscript.echo ” cscript JoinScript.vbs [/domain <domainname> |…


【Management】DMZでのドメイン参加はオフラインドメインジョインで!

たとえば、以下のような構成があるとします。 上記のDMZにある AppSV(アプリケーションサーバー) はActive Directoryドメインに参加していませんが、せっかくDMZにRODCが出来たので、ドメインに参加してアカウントをActive Directoryで一元管理することにしました。 さて、ドメインに参加するには、絶対に無視できない条件が2つあります。それは、 クライアントとドメインコントローラーが通信できること ドメインコントローラーに書き込みができること です。 AppSVと同じセグメントにはRODCがありますが、ご存じのとおりRODCには書き込むことができません。 一方、FWの向こう側にはRWDC(書き込み可能なドメインコントローラー)がありますが、今回は、AppSVとRWDCの通信は行えないという前提で話を進めましょう。そもそもAppSVから内部ネットワーク、特にドメインコントローラにアクセスさせたくなんて無いですよね。 つまり、上記2つの条件を全く満たしていないということになります。 この状態でAppSVをドメインに参加させようとすると、以下のようなエラーが発生します。   このAppSVを内部ネットワークに移動せずにドメインに参加する方法は2つあります。 方法1:Win32_ComputerSystemクラスの JoinDomainOrWorkgrouopメソッドをする 事前にコンピューターアカウントのパスワードを明に指定しておく必要があります。 ※2009/08/24 追記 本方法を使用した手順については以下をご覧ください。 【Management】JoinDomainOrWorkGroup メソッドでドメインに参加させる ※恐縮なのですが、この方式、検証していません。 メソッドの詳細は以下をご覧ください。 JoinDomainOrWorkgroup Method of the Win32_ComputerSystem Class http://msdn.microsoft.com/ja-jp/library/aa392154(en-us,VS.85).aspx ※サンプルスクリプトを使用したDMZでのドメイン参加については以下をご覧ください(英語です…) Deploying RODCs in the Perimeter Network http://technet.microsoft.com/ja-jp/library/dd728035(WS.10).aspx 方式2:オフライン ドメイン ジョイン機能を使用する クライアントがWindows 7またはWindows Server 2008 R2 であればオフライン ドメイン ジョイン(以降ODJ:Offline Domain Join)機能を使用して、ネットワークを使わないドメイン参加が可能です。 ODJの実行イメージは以下の通りです。…


【Management】RODC に DHCPサーバーをインストールするには

RODC(Read Only Domain Controller:読み取り専用ドメインコントローラー)の最も特筆すべき特徴は、当然ながら「書き込めない」ということです。 これにより、ドメインコントローラーの安全性がググッと高まることは間違いないのですが、「完璧にうまい話」というのは無いもので、そこにはトレードオフが発生します。 その1例として挙げられるのが、RODC への DHCPサーバーのインストールです。 DHCPサーバーを初めてインストールするときには、Active Directoryに以下の2つのドメインローカルグループを作成しようとします。 DHCP Users DHCP Administrators ※DHCPグループの詳細は、以下を参照してください。 DHCP グループ http://technet.microsoft.com/ja-jp/library/cc737716(WS.10).aspx この動作は RODC に DHCPサーバーをインストールしようとしたときも同様です。 しかしながら、RODCには書き込みができないため、以下のエラーが発生します。 対策は2つあります。 対策1)事前にRWDC側で2つのドメインローカルグループを作成しておき、RODCに複製しておく 対策2)DHCPサーバーインストール後に2つのドメインローカルグループを作成し、RODCに複製する インストールが終わったら、DHCP Users と DHCP Administrators に、必要に応じてメンバーを登録します。ちなみに、ドメインやコンピューターの管理者はDHCPの管理権限も持っているので、メンバーシップを追加する必要はありません。 それでは、よいManagement生活を!


【Management】RODCを導入するなら SYSVOL複製には DFSR がお勧めです

RODC(Read Only Domin Controller)のメリットの1つに、AD DSに関する全ての情報が読み取り専用であるという点が挙げられます。アカウント情報、スキーマ情報をはじめとして、SYSVOLや AD統合ゾーンとして格納されているDNSレコードも読み取り専用です。 このことがRODCの安全性を高めているわけですが、SYSVOLに関して注意しなければならない点があります。 いくらSYSVOLが読み取り専用であっても、ユーザーが管理者権限を持っていればSYSVOLフォルダに対して「作成」「削除」「変更」ができてしまいます。もちろん、RODC上のSYSVOLに対してです。 当然、 「え?それじゃ読み取り専用じゃナイじゃんか?」 という疑問が出てきますよね。 RODCのSYSVOLが読み取り専用と言われる所以は、 「RODCのSYSVOLへの変更は、他のDCに複製されない」 という機能が備わっているからです。 ここで注意していただきたいのが、管理者によるSYSVOLへの変更がもたらす影響は、FRS と DFSR とで異なる点です。 FRSはご存知ですよね。Windows Server 2003 以前では、SYSVOLの複製にはFRS(File Replication Service)が使われていましたが、Windows Server 2008からは、SYSVOLの複製に DFSR を使用できるようになりました。 ただし、以下の記事にも書かれているとおり、Domain Controller への昇格時に、ドメイン機能レベルが「Windows Server 2008 レベル」になっていなければなりません。 【Windows Server 2008】 Sysvol 複製を FRS から DFSR に移行するには Dfsrmig.exe コマンドを使用する http://blogs.technet.com/junichia/archive/2008/01/24/windows-server-2008-sysvol-frs-dfsr.aspx では、タイトルにあるように、なぜ DFSR が FRS に比べてお勧めなのか。 もちろん「新しいから」とか「複製が早いから」という理由もありますが、より完全なRODCに近づけるのが DFSR なのです。 その理由を以下に挙げておきますので、今後の設計の参考にしてください。…


【IDM】Windows Server 2003/XP を RODC に対応させるための修正モジュール

Windows Server 2008 から実装されたRODC(読み取り専用ドメインコントローラ)ですが、RODCが設置されているドメインのメンバーまたはドメインコントローラである Windows Server 2003 や Windows XPが正しく動作しないことがあります。 以下の症状が見られる場合には、修正パッチが提供されていますので適用してみてください。 ソース Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients http://support.microsoft.com/kb/944043/en-us ※上記リンクの日本語訳で、WOWが「おっと」と訳されている部分があります。既にフィードバックしてしまったので、見るなら今です!(笑) 症状1 クライアントがRODCのみにアクセス可能なネットワークにおいて、グループポリシーのWMIフィルタが正しく適用されない。加えて、Gpsvc.log ファイルに以下のメッセージが出力されている。 GPSVC(410.8ec) 15:17:45:808 FilterCheck: Found WMI Filter id of: filter ID GPSVC(410.8ec) 15:18:21:838 FilterCheck: Filter doesn’t exist. Evaluating…


【IDM】Active Directory の DMZ への展開シナリオ その1 ~ 4つの AD DS モデル

まず、ちょっとだけ告知させてください。 以下のセミナーでLT登壇者を募集中です! 5月30日 Tech Fielders セミナー 東京 [Weekend][スクリプトを使用した Windows Server 管理の自動化] ※登壇者の中から抽選で1名にMCPバウチャーチケットが当たります! 6月13日 MCP Day @ Tech Fielders セミナー [スクリプトで行うWindows Server および Active Directoryの管理] ※MCP資格保有者限定のレベル 400(高度な内容)のセミナーです ※第2部 30分セミナー は定員になりました ※登壇者にはMSPRESSよりお好きな書籍を1冊プレゼント ————————————————————————————– さて、先日以下の投稿をしました。 【IDM】Active Directory の DMZ シナリオがようやく登場!ーActive Directory Domain Services in the Perimeter Network http://blogs.technet.com/junichia/archive/2009/05/01/3233958.aspx ざくっと読んでみたので、何回かに分けて投稿したいと思います。ちょいと今週来週とたてこんでいるので、間が空くかと思いますが…。 まずはじめに、このガイドの冒頭にこんなことが書かれています。 このガイドを読んだ後になって、「AD DSをDMZに展開することに何のベネフィットも無い」と感じるかもしれませんし、もしかすると他のソフトウェアを使って展開したほうがベネフィットが多いと感じる可能性もあります。そう思ったということは、あなたの環境におけるベストな選択肢は、「DMZにADを展開しない」ということになるかもしれません。 うーん。いきなりアレなかんじですが(笑)、要は、 技術的にできるからといって無理に適用すると帰って危険に鳴らす可能性がありますから気をつけましょう ということです。決して弱気になっているわけではありません。 さて、さっそくはじめましょう。今回は「4つのAD DSモデル」についてお話します。 まず、大前提として以下の要件があることを確認しておいてください。…

1

[まとめ]RODCに関する投稿

RODC のもう一つのソリューション - RODC in DMZ 【Windows Server 2008】Windows Server 2003 の自動サイトカバレッジ(Automatic Site Coverage)機能による RODC への影響 その1 Windows Server 2008:読み取り専用ドメインコントローラ( RODC )の 2 ステージインストールとは Windows Server 2008:読み取り専用ドメインコントローラ( RODC ) の 2 ステージインストールを無人セットアップファイルで実施する [sample]unattend file for dcpromo to rodc 【IDM】Active Directory の DMZ シナリオがようやく登場!ーActive Directory Domain Services in the Perimeter Network 2009/08/01 【IDM】Windows Server 2003/XP を…

1

【IDM】Active Directory の DMZ シナリオがようやく登場!ーActive Directory Domain Services in the Perimeter Network

マイPCを Windows 7 RC にアップグレード中で、ちょいと手持ち無沙汰な安納です。 ちなみに、このPC、Vaio type Z + プレインストールVISTA だったものを、Win7 Beta に思い切ってアップグレードしたものです。既に1ヶ月以上使っていますが、一部の同梱DVDプレーヤ以外は、指紋認証もFericaも今のところ問題なく使えているかんじです。ゲームとかは一切やらないので、もっと使い込んだらどうなるかは見えていませんが…。メモリを4GBにしてあるので、本当は64ビットにしたいんですけどね…ひとまず今はx86で我慢しています。 さて、タイトルにあるとおり、Active Directory を インターネット上で使用するためのガイドが公開されました(英語ですいません)。ガイド内では Perimeter Network(境界ネットワーク)と書かれています。 Active Directory Domain Services in the Perimeter Network (Windows Server 2008) について http://technet.microsoft.com/ja-jp/library/dd728034(en-us).aspx ※WORD形式のドキュメントはこちらからダウンロードできます さて、このガイドには以下について書かれています。 AD DS(Active Directory Domain Service)をDMZ上に公開することが妥当かどうかの判断について DMZ上で AD DSを公開する場合の構築モデルについて DMZ に RODC(Read Only Domain Controller)を設置するためのプラニングと展開について これだけ見てもワクワクしますね! 思い起こせば2年前のTech・Ed 2007。RODC(Read Only Domain Controller)の セッションを担当し、「今後インターネット上でのActive…

5

【Windows Server 2008】(sample)Server Core 用 無人応答ファイル & RODC 昇格用 無人応答ファイル

いよいよ the Microsoft Conference 2008 が目前に迫ったきました。いまデモンストレーションの最終調整を行っています。 私が担当するのは、「サーバー展開のための留意事項および Server Core の導入シナリオ」というセッションでして、なんというか…タイトルからして地味なわけですが….。それでも、アンケートによればこの時間帯最も注目を集めているらしく….自然と気合いが入ります。 当日のセッションは午前10時開始となりますが、いきなりデモンストレーションから入ります。 その場で Server Core をインストールしてしまおうというものですが、ただインストールしても面白くないので、当然無人で行います。加えて、コンピュータ名の設定やIPの設定、ドメインへの参加、ドメインコントローラへの昇格まで無人で行う予定です。 これが約18分~20分。この間に、すべての説明を完了させ、10時35分にはデモンストレーション画面に戻って、「Server Core の管理を始めるための準備」についてデモンストレーションをする予定です。 正直なところ、時間が厳しく、細かな説明はほとんどできません。 当然のことながら、無人セットアップファイル(unattend.xml)等の説明も行うことができません。 ということで、当日使用する unattend.xml および 読み取り専用ドメインコントローラに昇格するための無人応答ファイルをこちらに掲載しておきます。 [sample] unattend.xml for Windows Server 2008 Server Core この中では以下の処理を行っています。 既存パーティションの削除 新規にパーティションを30GBで作成 Server Core のインストール ドメインへの参加 administrator のパスワードの初期設定 IPアドレスとDNSの設定 コンピュータ名の変更 読み取り専用ドメインコントローラ(RODC)への昇格※以下のdcpromo用無人セットアップファイルを合わせてご覧ください [sample] unattend file for promotion to rodc この中では以下の処理を行っています。 既存ドメイン(example.jp)への追加ドメインコントローラとして昇格 Active Directory…