winfaq home [win2k] Active Directory

Active Directory の計画に有用な資料は?

Active Directory の導入計画を立てる際の参考資料として、以下の URL を参照することをお勧めします。

Active Directory ドメインのネイティブモードへの移行方法は

Active Directory ドメインには、混在モードとネイティブモードの 2 つのモードがあり、次の特徴があります。
ネイティブモード混在モード
ドメインコントローラー
NT 4.0 DC は参加できませんNT 4.0 BDC を参加させることができます。
グループ
ユニバーサルグループを配布グループおよびセキュリティグループとして使用できます。ユニバーサルグループは配布グループとしてのみ使用できます。
グループのネスト(入れ子)が自由にできます。セキュリティグループの場合、NT4.0 と同様ドメインローカルグループにグローバルグループを含めることのみ可能です。
グループの範囲や種類を変換できます。グループの変換はできません。
ドメインローカルグループは、ドメイン内の任意のシステムで使用できます。ドメインローカルグループは DC でのみ使用できます。

次の手順で、混在モードからネイティブモードへのみモードを変更することができます。

  1. [スタート]−[プログラム]−[管理ツール] から「Active Directory ドメインと信頼関係」を起動します。
  2. 右側のツリーからドメインを右クリックし、[プロパティ] をクリックします。
  3. [全般] タブの [モードの変更] ボタンをクリックします。
  4. 「このドメインをネイティブモードに変更しますか?この操作を完了すると、ドメインのモードを混在モードンに戻すことはできません」で「はい」をクリックします。

Active Directory 診断ログを採取するには?

イベントログに、Active Directory の診断ログを残すには、次の作業でレジストリを変更する必要があります。
  1. [スタート]−[ファイル名を指定して実行] から regedit を実行します。
  2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS の Diagnostics をダブルクリックします。
  3. 設定したい詳細度にあわせて以下のように設定します。 0=None (default)
    1=Minimum
    3=Medium
    5=Maximum

ADSI を使ってドメインやコンピュータを管理する方法は?

Windows 2000 で採用された Active Directory は Active Directory Service Interface (ADSI) を使ってプログラムやスクリプトから容易にアクセスすることができます。
ADSI を使って Windows Scripting Host から操作を行う具体的なサンプルが提供されていますので、参照することをお勧めします。 また、ADSI について詳しく知りたい場合はマイクロソフトの ADSI リンクを参照してください。

ntdsutil を自動実行したいのですが

ntdsutil は対話型にコマンドを実行しますが、プロンプトで入力するコマンドをスペースで区切って引数に渡すと、一連のコマンドを自動実行することができます。(コマンドにスペースが含まれる場合は、コマンド全体を "" で括って下さい。)

Active Directory ドメインの NetBIOS 名は変更できますか?

互換性のために Windows 2000 ドメインにも NetBIOS のドメイン名があり、dcpromo プロセスで指定することができます。
(デフォルトではドメイン名が aaa.xxx.com の場合、NetBIOS 名は aaa が使用されます。)

ドメインの NetBIOS 名は dcpromo プロセス中にしか変更できません。ですから、変更したい場合はすべての DC を降格させ dcpromo を再実行して下さい。
(当然ですが、以前のドメインオブジェクトは全て削除されます。)

ドメインコントローラのコンピュータ名を変更するには?

Active Directory DC になっているドメインコントローラのコンピュータ名は変更することができません。
コンピュータ名を変更するには、dcpromo を再実行して DC を降格させる必要があります。

ドメイン内に DC が 1 台しかない場合は、降格を実行するとドメインの情報はすべて失われてしまいます。ドメインに複数の DC が存在する場合、降格する DC が FSMO 操作マスタになっている場合は、降格前に他の DC へ転送してください。また、降格する DC がフォレストで唯一の GC の場合、あらかじめ他の DC を GC に設定してください。

参照 FAQ:コンピュータ名を変更するには | FSMO 操作マスタの移動方法は?

Windows 2000 で共有したプリンタが Active Directory に公開されないのですが

プリンターオブジェクトの [共有] タブで、「ディレクトリにリスト」のチェックが入っていることを確認して下さい。
また、「Active Directory ユーザーとコンピュータ」 (dsa.msc) で表示させる場合、[表示]−[ユーザー、グループ、コンテナとしてのコンピュータ] にチェックされていることを確認してください。

DC への昇格を自動で行いたいのですが

dcpromo に /answer:<応答ファイル> を指定すれば、応答ファイルに記述された内容で DC への昇格が実行されます。
応答ファイルの書式は、Windows 2000 Server CD-ROM の Support\Tools フォルダにある Deploy.cab から Unattend.txt を抽出して参照してください。

DC への昇格プロセスのログはどこに記録されますか?

Dcpromo による Active Directory DC への昇格プロセスのログは、%Systemroot%\Debug フォルダの DCPROMO.LOG ファイルに記録されます。
Dcpromo 実行中に問題が発生した場合、DCPROMO.LOG ファイルを参照してください。

Active Directory DC に昇格後、再起動すると Windows の起動が完了しません

dcpromo でドメインコントローラに昇格後、Windows を再起動すると起動に非常に長い時間 (例:数十分) がかかることがあります。
Server サービスなど、Active Directory に必須のサービスが起動されていない場合にこの現象が発生することがあるため、以下の手順で必須サービスが起動する設定になっているか確認してください。

  1. 「マイ コンピュータ」を右クリックして [管理] をクリックします。
  2. [サービスとアプリケーション]\[サービス] を展開します。
  3. 右側の領域で、以下のサービスのスタートアップが「自動」になっていることを確認します。
もし、Windows の起動が完了しないために確認できない場合、Windows をディレクトリサービス復元モードで起動してください。

強制的に Active Directory DC から降格させるには?

Active Directory DC を dcpromo で降格しようとして失敗した場合でも、次の手順で強制降格を試みることができます。
  1. [スタート]−[ファイル名を指定して実行] から regedit を起動します。
  2. HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \ProductOptions を展開します。
  3. 右側の ProductType をダブルクリックし、値を ServerNT に変更します。
  4. Windows を再起動します。
  5. エクスプローラで %Systemroot%\ntds フォルダを削除します。

SRV レコードや動的更新をサポートする BIND は?

Windows 2000 DNS は SRV レコードおよび動的更新をサポートしていますが、BIND 8.2.1 以上でも SRV レコードおよび動的更新をサポートしています。

Windows 2000/XP クライアントが、Active Directory ドメインと正しく通信できません

Windows 2000/XP クライアントと Windows 2000 ドメインコントローラ間で正しく通信ができない場合があります。
具体的には、以下のような症状が発生することがあります。 多くの場合、クライアントが Active Directory の資源に対する名前解決に失敗していることが原因なので、以下の設定を確認してください。
  1. Windows 2000/XP クライアントに管理者権限でログオンします。
  2. 「マイ ネットワーク」を右クリックし、[プロパティ] をクリックします。
    (XP では、「スタート」から [マイ ネットワーク] を右クリックして、[プロパティ] をクリックします。)
  3. 「ローカル エリア接続」を右クリックし、[プロパティ] をクリックします。
  4. [インターネットプロトコル(TCP/IP)] をクリックし「プロパティ」ボタンをクリックします。
  5. [全般] タブの「優先 DNS サーバー」に、Active Directory の SRV レコードが登録された DNS が指定されていることを確認します。
    (通常は、ドメインコントローラの優先 DNS サーバーに、SRV レコードが動的登録されます。)

Active Directory データベースサイズが小さくなりません

Active Directory データベース (Ntds.dit) は空き領域の再利用は行いますが、データが削除されてもデータベースサイズ自体は自動では圧縮 (未使用領域の開放) されません。
データベースサイズを圧縮するには、次の手順でオフラインデフラグを行ってください。
  1. 念のため Active Directory データベースをバックアップします。
  2. Windows を再起動し、ブートメニューで F8 キーを押します。
  3. 「ディレクトリサービス復元モード」を選択し、Windows 2000 が起動したらローカル管理者でログオンします。
  4. コマンドプロンプトを起動し、次のコマンドを実行します。
    ntdsutil
    files
    info (内容をメモします。)
    compact to <パス名(例:C:\temp)>
    quit
    quit
  5. compact to で指定した先に、圧縮済み Ntds.dit ファイルがあるので、これを現在の Active Directory データベースファイルと置き換えます。 現在の Active Directory ファイルは info コマンドで表示された場所にあります。
  6. Windows を再起動します。

Active Directory データベースのバックアップと復元方法は?

Active Directory データベースのバックアップとリストアは次の手順で行ないます。

バックアップ

  1. [スタート]−[プログラム]−[アクセサリ]−[システムツール] から「バックアップ」を起動します。
  2. 「バックアップウィザード」ボタンをクリックします。
  3. ウィザードが起動するので「次へ」をクリックします。
  4. 「システム状態データのみのバックアップを作成する」を選択し、「次へ」をクリックします。
  5. バックアップを格納するファイル名を設定し、「次へ」をクリックします。
  6. 「完了」をクリックするとシステム状態 (Active Directory データベース、COM+ クラスレジストリ、レジストリ、Sysvol) がバックアップされます。
コマンドラインから、次のようなコマンドでバックアップすることもできます。
C:\>ntbackup backup systemstate /f <バックアップファイル名(*.bkf)>

リストア

  1. コンピュータを起動します。
  2. ブートメニューが表示されたら F8 キーを押します。
  3. 「ディレクトリサービス復元モード」を選択し、Windows 2000 が起動したら管理者でログオンします。
  4. [スタート]−[プログラム]−[アクセサリ]−[システムツール] から「バックアップ」を起動します。
  5. 「復元ウィザード」ボタンをクリックします。
  6. ウィザードが起動するので「次へ」をクリックします。
  7. 「ファイルのインポート」ボタンをクリックし、バックアップしたファイル (*.bkf) を指定します。
  8. 左側の「復元する内容」ツリーを展開し、「システム状態」にチェックして「次へ」をクリックします。
  9. 「完了」ボタンをクリックします。
  10. バックアップファイル名の確認がされ、リストアが完了したら Windows を再起動します。

Authoritative Restore

ドメインに複数の DC があり、復元したオブジェクトを優先させたい場合は Authoritative Restore を実行する必要があります。
Authoritative Restore を行なうことにより、指定の Active Directory オブジェクトの更新シリアル番号 (USN) が、他の DC が持つ USN より上位に設定されるので、復元されたオブジェクトがドメイン全体で有効になります。
通常のディレクトリサービスのリストアは non Authoritative Restore なので、バックアップ後に発生した変更が優先されます。
  1. 通常の手順でディレクトリサービスの復元を行ないます。
  2. リストア完了後、再起動せずにコマンドプロンプトを開きます。
  3. コマンドプロンプトで ntdsutil を実行します。
  4. ntdsutil プロンプトで Authoritative Restore コマンドを実行します。
  5. authoritative restore プロンプトで restore subtree <Active Directory オブジェクト> コマンドを実行します。
  6. 確認メッセージで「Yes」をクリックします。
  7. quit、quit、exit でコマンドプロンプトを終了します。
  8. Windows を再起動します。

Active Directory データベースを別パーティションに移すには?

%Systemdrive% の容量不足や耐障害性の向上のために Active Directory データベースを別パーティションに移動させたい場合、次の手順を実行してください。(Q257420)
  1. 念のため Active Directory データベースをバックアップします。
  2. Windows を再起動し、ブートメニューで F8 キーを押します。
  3. 「ディレクトリサービス復元モード」を選択し、Windows 2000 が起動したらローカル管理者でログオンします。
  4. コマンドプロンプトを起動し、次のコマンドを実行します。
    ntdsutil
    files
    move db to <パス名(例:D:\Ntds)>
    move logs to <パス名(例:D:\Ntds)>
    quit
    quit
    (Active Directory データベースを移動させたい場合は、move db を、ログを移動させたい場合は move logs コマンドを使います。)
  5. Windows を再起動します。

60日前の Active Directory バックアップがリストアできません

バックアップ後 60 日間を経過した Active Directory データベースのバックアップはリストはできません。
これは Tombstome lifetime がデフォルト 60日と設定されていることに起因します。

特に変更がない場合も、Active Directory データベースのバックアップは日常的に取るようにしてください。

管理コンソールに「Active Directory スキーマ」を追加できないのですが

Active Directory スキーマの変更やスキーママスタの移動は「Active Directory スキーマ」スナップインで行えますが、標準でこのスナップインは MMC に追加することができません。
MMC に「Active Directory スキーマ」を追加するためには、次の手順を実行してください。

  1. [スタート]−[ファイル名を指定して実行] から regsvr32 schmmgmt.dll を実行します。

コマンド実行後、MMC の [コンソール]−[スナップインの追加と削除] の「追加」ボタンをクリックしたときの一覧に「Active Directory スキーマ」が追加されます。

注:スキーマの変更は、フォレストの Enterprise Admins 権限が必要です。

Active Directory オブジェクトのアクセス権を表示/変更したいのですが

Active Directory オブジェクトのアクセス権は、「Active Directory ユーザーとコンピュータ」で各オブジェクトのプロパティにある [セキュリティ] タブから表示/変更が可能です。
ただし、「Active Directory ユーザーとコンピュータ」の初期設定では [セキュリティ] タブが表示されないため、メニューバーの [表示]−[拡張機能] にチェックがあることを確認してください。
チェックされていない場合は、[表示]−[拡張機能] をクリックして [拡張機能] にチェックがある状態に設定してください。

注:Active Directory アクセス権と、ファイル共有などの資源アクセス権は直接関係ないことに注意してください。

Windows9x や NT4.0 でも ADSI を使うには?

Windows9x や NT4.0 用の ADSI は「 ADSI Download」からダウンロードできます。

グループポリシーへの変更を即時に反映させたい場合は?

ドメインコントローラでドメインや OU に対するグループポリシーを変更しても、適用対象の Windows 2000/XP クライアントに即座に適用はされません。
グループポリシーの適用はコンピュータ起動時 (マシンポリシー) およびログオン時 (ユーザーポリシー) に行われ、その後デフォルトでは 90 分間隔 (+ランダムオフセット時間) でリフレッシュされます。
変更したグループポリシーオブジェクト (GPO) をすぐに適用したい場合、クライアントコンピュータで次のコマンドを実行して下さい。

グループポリシーの適用順序は?

グループポリシーは以下の順に適用されます。基本的には後から適用した方が優先されます。

  1. ローカルコンピュータ
  2. サイト
  3. ドメイン
  4. OU
なお、ドメインや OU のグループポリシー変更は、通常 PDC エミュレータである DC に対して行われます。
PDC エミュレータがオフライン時にグループポリシーを変更しようとすると、警告メッセージが表示されます。

ログオン認証を行なったサーバー名を確認したいのですが

ドメインにログオンする場合、ドメインコントローラ (DC) で認証が行なわれます。また、ドメインコントローラと通信できない場合、キャッシュされた資格情報 (Cached Credentials) を使ってログオンすることができます。
ドメインに複数の DC が存在し、どの DC で認証処理が行なわれたかを確認する場合や、キャッシュされた資格情報を使ってログオンしたかどうかを確認するには、次の手順を実行してください。
  1. Windows 2000/XP クライアントでドメインにログオンします。
  2. [スタート]−[ファイル名を指定して実行] から cmd を起動します。
  3. 次のコマンドを実行します。(表示されたコンピュータ名で認証されています。)
    set LOGONSERVER

ログオン時のスクリプトやポリシーの適用状況をログに残すには?

ログオンスクリプトや、グループポリシーの適用を確認したり、デバッグする場合、次の設定を行って詳細なログを採取することができます。(Troubleshooting Change and Configuration Management )

  1. [スタート]−[ファイル名を指定して実行] から regedit を起動します。
  2. HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \Current Version \Winlogon を展開します。
  3. DWORD 値の UserenvDebugLevel を作成し、16 進数で次の値を設定します。
    30002:詳細なログを採取
    30001:エラーと警告のみ採取
    30000:ログを採取しない
  4. レジストリエディタを終了し、Windows を再起動します。

ログは %Systemroot%\debug\UserMode フォルダに Userenv.log として記録されます。

グループポリシーでパスワード長などを設定しても有効になりません

グループポリシーでパスワード長やロックアウトを設定しても有効にならないことがあります。
これは、ドメイン以外のグループポリシーでアカウントポリシーを設定しても有効にならないためなので、アカウントポリシーは、OU でなくドメインのグループポリシーオブジェクトで設定してください。(Q255550)

OU の GPO が、OU に含まれるグループに適用されません

Active Directory の OU にセキュリティグループを含め、OU に対してグループポリシーを定義しても、グループのメンバーにはポリシーが適用されません。OU に直接含まれるユーザーに対しては、ポリシーが正しく適用されます。
これは、現時点の Active Direcotry における仕様です。(JP220822)

標準で適用されるグループポリシーオブジェクトは?

Windows 2000 Active Directory を構成すると、各ドメインに Default Domain Policy が、各ドメインコントローラを格納する Domain Controllers OU に Default Domain Controller Policy が設定されます。

グループポリシーの管理を他のユーザーに委任するには?

特定のグループポリシーオブジェクトの管理を委任したい場合、委任したいユーザーやグループに対して、グループポリシーオブジェクトに読み取りと書き込み権限を与えてください。

ドメイン内の特定のユーザーや資源の管理を委任したいのですが

ドメインに存在するユーザーやコンピュータオブジェクトを管理するには Domain Admins 以上の権限が必要です。
部署単位などでユーザーや資源を管理したい場合、部署ごとの管理者に Domain Admins 権限を与えるのではなく、ドメインに OU (組織単位) を作成し、OU に所属するユーザーや資源を OU で管理することができます。

ドメイン間でユーザーや OU などを移動させるには

「Active Directory ユーザーとコンピュータ」スナップインでは、ドメイン内でユーザーや OU を移動させることができますが、ドメイン間の移動は実行できません。
異なるドメイン間でユーザーや OU を移動させるには、サポートツールの MoveTree を使用してください。(Q238394)

MoveTree を使うにあたっては、以下の点にご注意ください。

例)
MoveTree /check /s <元サーバー> /d <先サーバー> /sdn OU=<元OU>,DC=<元ドメイン> /ddn OU=<先OU>,DC=<先ドメイン> /u <元ドメイン>\administrator /p *

FSMO 操作マスタ配置のお作法は?

マイクロソフトは操作マスタの配置について、以下のような基本ポリシーを提示しています。(Q223346)

FSMO 操作マスタの移動方法は?

Active Directory すべてのドメインコントローラ (DC) が対等関係のマルチマスタを採用していますが、次の 5 つの FSMO(Flexible Single Master Operations) ロールについては、ドメインもしくはフォレストで1台の DC が責任をもちます。 デフォルトではフォレストで最初のドメインの最初の DC が全ての FSMO ロールオーナー (操作マスタ) になりますが、障害対策やサイトの関係でロールを移動させたい場合、次のように ntdsutil を使用します。
  1. (できればロールを移動させる先の DC に) Domain Admins または Enterprise Admins 権限でログオンします。
  2. [スタート]−[プログラム]−[アクセサリ] から「コマンドプロンプト」を開きます。
  3. 以下のようにコマンドを実行します。
    C:\> ntdsutil
    ntdsutil: roles
    fsmo maintenance: connections
    server connections: connect to server <ロール移動先サーバー名>
    server connections: quit
    fsmo maintenance: transfer <FSMO ロール名>

    fsmo maintenance: quit
    ntdsutil: quit

ここで <FSMO ロール名> は domain naming master、infrastructure master、PDC、RID master、schema master のいずれかです。
fsmo maintenamce プロンプトで transter 操作を実行するときは、現在の操作マスタもオンラインである必要があります。
操作マスタが破損したなどでオンラインにできない場合、transfer でなく seize を使うことで、強制的に操作マスタを移動させることができます。(seize を使った場合は、既存の操作マスタは二度とネットワークに参加できなくなります。)

パスワードの有効期間を無期限にするには?

Active Directory ドメインには、Windows NT のドメインユーザーマネージャにある「パスワードを無期限にする」チェックボックスはありません。 ドメインユーザーのパスワード有効期限を無期限にするには、次の手順を実行してください。
  1. ドメインコントローラの管理ツールから [ドメイン セキュリティ ポリシー] を起動します。
  2. [セキュリティの設定]\[アカウントポリシー]\[パスワードのポリシー] を展開し、右領域の「パスワードの有効期間」をダブルクリックします。
  3. パスワードの有効期間を 0 日に設定して「OK」をクリックします。
Windows 2000/XP Professional のローカルユーザーのパスワード有効期限を無期限にするには、次の手順を実行します。
  1. [スタート]−[ファイル名を指定して実行] から secpol.msc を起動します。
  2. [セキュリティの設定]\[アカウントポリシー]\[パスワードのポリシー] を展開し、右領域の「パスワードの有効期間」をダブルクリックします。
  3. パスワードの有効期間を 0 日に設定して「OK」をクリックします。

グローバルグループのメンバーにグローパルグループを追加できません

Windows 2000 から可能なグループのネスト (入れ子) は、ネイティブモードでのみサポートされます。
ドメインが混在モードのままの場合、従来の NT ドメインと同じく、ドメインローカルグループのメンバーにグローバルグループを追加することだけが可能です。
ドメインをネイティブモードに移行させるためには、「ネイティブモードへの移行方法」を参照してください。

NT4.0 BDC を追加しようとするとエラーになるのですが

Windows 2000 ドメインに NT4.0 BDC コンピュータアカウントを追加しようとするとエラーが発生することがあります。
NT4.0 BDC コンピュータアカウントを作成するには、Windows 2000 Server の %SystemRoot%\System32 フォルダにある srvmgr を使って下さい。

NT ドメインに Windows 2000 Server を BDC として追加できますか?

NT ドメインには、Windows 2000 Server をドメインコントローラとして参加させることはできません。
どうしても Windows 2000 Server をドメインコントローラとして参加させたい場合、Active Directory ドメインへ移行する必要があります。

MSCS クラスターのノードをドメインコントローラにできますか?

Windows クラスター (MSCS) を構成する Windows 2000 Server は、共通の認証を必要とするために、同一の NT または Active Directoryドメインのメンバーである必要があります。
通常、各サーバー (ノード) をドメインのメンバーサーバーとして構成しますが、既存のドメインが無いなどの理由で余計なドメインコントローラを設置できない場合、ノードをドメインコントローラ (DC) とする構成も可能です。ただし、ノードを DC とする場合、2 ノード以上を DC にする必要があります。

MSCS ノードを DC として構成する場合の考慮点は、以下の文書を参照することをお勧めします。

コンピュータアカウントパスワードのリセット方法は?

Active Directory ドメインでは、コンピュータアカウントもユーザーアカウントと同じようにパスワードを持っています。
コンピュータアカウントパスワードは自動的に更新されますが、長期間オフラインになっていたり、レプリケーションに失敗したなどの理由で、ドメインとローカルコンピュータ間でパスワードが一致しなくなると、ドメインに正しくアクセスできなくなります。
この状態を回復させるために、次の手順でコンピュータアカウントパスワードをリセットしてください。(Q260575)
  1. パスワードをリセットしたいコンピュータにログオンします。
  2. [スタート]−[プログラム]−[アクセサリ] から [コマンドプロンプト] を起動します。
    次のコマンドを実行します。
    C:\>netdom resetpwd /Server:<DC名> /UserD:<ドメイン名>\<ユーザー名> /PasswordD:*
    コマンドの詳細は netdom help resetpwd を実行して表示されるヘルプを参照してください。
netdom コマンドは Windows 2000 Support Tools の一部です。Support Tools は次の手順でインストールできます。
  1. Windows 2000 CD-ROM をセットします。
  2. CD-ROM の Support\Tools フォルダにある Setup.exe をダブルクリックします。

DC 間の複製を監視するには?

Active Directory DC 間の複製を監視するには、サポートツールに含まれる Replication Monitor を使います。
Replication Monitor は、Windows 2000 を実行している任意のコンピュータにインストールし、指定したサーバーの複製を監視可能です。

参考:Windows 2000 サポートツールをインストールするには Windows 2000 CD-ROM の Support\Tools フォルダにある setup を実行してください。
参考:Windows 2000 サポートツールヘルプの日本語版ダウンロードは、トップページを参照してください。

サイト内で、他のサイトと複製を行うサーバーを固定するには?

複数サイトが存在し、サイト内に複数の DC が存在する場合、サイト間複製を行う DC を指定するには次の手順を実行してください。
  1. [スタート]−[プログラム]−[管理ツール] から「Active Directory サイトとサービス」を起動します。
  2. Site\<サイト名>\Servers を展開します。
  3. サイト間複製に使用する DC を右クリックし、[プロパティ] をクリックします。
  4. [サーバー] タブの「このサーバーが優先ブリッジヘッドサーバーとなるトランスポート」に IP などのサイト間複製プロトコルを追加します。
  5. 「OK」をクリックして設定を保存します。

Active Directory DC 間で強制的に複製するには

Active Directory のドメインコントローラ間では、同一サイト内では 5 分間隔、サイト間ではサイト間複製のスケジュールに従ってディレクトリの複製を行っています。
特定の DC で行った変更を手動で複製したい場合、以下の手順を行ってください。

  1. [スタート]−[プログラム]−[管理ツール] から「Active Directory サイトとサービス」を起動します。
  2. Sites\<サイト名>(初期値は Default-First-site-Name)\Servers\<サーバー名>\NTDS Settings を展開します。
  3. 右側の接続オブジェクト(サーバー 2 台のアイコン)を右クリックし、[今すぐ複製] をクリックします。

また、Windows 2000 Support Tool に含まれる Replication Monitor や Repadmin を使っても、強制的に複製を開始することが可能です。
Support Tool は、Windows 2000 CD-ROM の Support\Tools フォルダにある setup を実行してインストールできます。

レプリケーションに使用するポート番号を固定するには?

Active Directory のレプリケーションに RPC を使用する場合、ポート番号は RPC ポートマッパーが動的に決定します。
しかし、セキュリティ向上のためにルーターでポートフィルタリングを行うなどの理由で、ポート番号を固定したい場合は、次の手順でレプリケーションに使うポート番号を固定することができます。(Q224196/280132)
  1. ドメインコントローラに管理者権限でログオンします。
  2. [スタート]−[ファイル名を指定して実行] から regedit を起動します。
  3. HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \NTDS \Parameters を開きます。
  4. [編集]−[新規]−[DWORD 値] をクリックし、New Value #1 を TCP/IP Port に変更します。
  5. TCP/IP Port をダブルクリックし、値のデータに設定したいポート番号を指定します。
  6. Windows を再起動します。

KCC によるレプリケーショントポロジーチェック頻度を変更するには?

Active Directory のサイト内/サイト間の接続オブジェクトは、KCC によって 15 分おきにチェックされます。
この間隔を変更したい場合は、次の設定を行ってください。(Q271988)
  1. ドメインコントローラにログオンします。
  2. [スタート]−[ファイル名を指定して実行] から regedit を起動します。
  3. HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \NTDS \Parameters を開きます。
  4. [編集]−[新規]−[DWORD 値] をクリックし、New Value #1 を Repl topology update period (secs) に変更します。
  5. Repl topology update period (secs) をダブルクリックし、チェック間隔を秒で指定します。
    (標準は 15 分なので 900 秒です。)

Active Directry DC で RunAs を使うときの注意点

Active Directory DC で、管理ツールなどを右クリックし、[別のユーザーとして実行] しようと、正しいユーザー名とパスワードを入力しても、「ユーザー名またはパスワードが違います」エラーが発生して実行できないことがあります。

DC で、別のユーザーとして実行ダイアログを表示させたときに、ドメイン名としてローカルコンピュータ名が設定されているためなので、ドメイン名に書き直すことを忘れないように注意してください。

DC でコンピュータアカウントを作成したのに、ドメイン参加時に管理者パスワードが必要になります

「Active Directory ユーザーとコンピュータ」でコンピュータアカウントを作成済みにも関わらず、Windows 2000 クライアントをドメインに参加させようとすると、ドメイン管理者のユーザー ID とパスワードの入力が必要になります。
これは、「Active Directory ユーザーとコンピュータ」でのコンピュータアカウント作成時に「次のユーザーまたはグループを使うと、このコンピュータをドメインに参加させることができます。」の標準設定が Domain Admins になっているためです。
ドメイン管理者以外のユーザーでもドメインに参加できるコンピュータアカウントを作成するには、次の手順を参考にしてください。
  1. ドメインコントローラ (DC) にドメイン管理者 (Administrator など) でログオンします。
  2. [スタート]−[プログラム]−[管理ツール] から「Active Directory ユーザーとコンピュータ」を起動します。
  3. <ドメイン名>\Computers フォルダを右クリックし、[新規作成]−[コンピュータ] をクリックします。
  4. コンピュータ名を記入し、「変更」ボタンをクリックします。
  5. 一覧から参加権限を与えたいユーザーまたはグループを選択し、「OK」をクリックします。
  6. 「OK」をクリックしてコンピュータアカウントを作成します。

Active Directory にコンピュータアカウントを追加するために必要なアクセス権は?

Windows NT/2000 クライアントを Active Directory に参加 (JOIN) させるためにドメイン管理者権限は不要になっています。
ドメインに参加させるために必要なユーザー権利は、ドメインコントローラのセキュリティポリシーで定義されており、次の手順で確認できます。
  1. ドメイン管理者権限で DC にログオンします。
  2. [スタート]−[ファイル名を指定して実行] で dcpol.msc を起動します。
  3. [ローカルポリシー]\[ユーザー権利の割り当て] をクリックし、右側の「ドメインにワークステーションを追加」をダブルクリックします。
    標準では Authenticated Users (ドメインログオン可能なユーザー) に対して権利が割り当てられています。

SOHO や家庭内で Active Directory ドメインを作るには?

外部ネットワークと通信可能なルーターが1つある SOHO などの環境で、Active Directory ドメインを構築するには、次の手順を参考にしてください。
ルーターの LAN 側 IP アドレス:192.168.0.1、ドメインコントローラの IP アドレス:192.168.0.100、サブネットマスク:255.255.255.0、ルーターが外部ネットワークの DNS Proxy になっていると仮定します。
(これは ISDN ダイヤルアップルーターや、ルータータイプの ADSL モデムで一般的な構成です。)

ドメインコントローラの作成
  1. Windows 2000 Server を導入します。
    WINNT 導入ドライブは NTFS でフォーマットしてください。(FAT で導入した場合、Convert コマンドで NTFS に変換します。)
  2. 固定 IP アドレスを設定します。
    1. 「マイネットワーク」を右クリックし、[プロパティ] をクリックします。
    2. 「ローカルエリア接続」を右クリックし、[プロパティ] をクリックします。
    3. リストから「インターネットプロトコル(TCP/IP)」をダブルクリックします。
    4. 「次の IP アドレスを使う」にチェックし、IP アドレス 192.168.0.100、サブネットマスク 255.255.255.0、デフォルトゲートウェイに 192.168.0.1 (ルーターのアドレス)、DNS サーバーに 127.0.0.1 もしくは 192.168.0.100 を設定して「OK」「OK」をクリックします。
  3. DNS サーバーを導入します。
    1. 「マイネットワーク」を右クリックし、[プロパティ] をクリックします。
    2. メニューから [詳細設定]−[オプションネットワークコンポーネント] をクリックします。
    3. 「ネットワークサービス」を選択し、「詳細」ボタンをクリックします。
    4. 「ドメインネームシステム (DNS)」にチェックして「OK」をクリックします。
    5. 「次へ」をクリックし、ウィザードの指示に従って DNS をインストールします。
  4. DNS サーバーを構成します。
    1. [スタート]−[プログラム]−[管理ツール] から「DNS」を起動します。
    2. コンソールツリーから自分のコンピュータ名を右クリックし、[プロパティ] をクリックします。
    3. [フォワーダ] タブをクリックし、「フォワーダを有効にする」にチェック後、IP アドレスに 192.168.0.1 (ルーターのアドレス) を記入し「追加」ボタンをクリックします。
  5. ドメインコントローラを構成します。
    1. [スタート]−[ファイル名を指定して実行] から dcpromo を実行します。
    2. Active Directory インストール ウィザードの開始で「次へ」をクリックします。
    3. 「新しいドメインのドメインコントローラ」にチェックして「次へ」をクリックします。
    4. 「新しいドメインツリーを作成」にチェックして「次へ」をクリックします。
    5. 「ドメインツリーの新しいフォレストを作成」にチェックして「次へ」をクリックします。
    6. Active Directory ドメイン名を完全修飾ドメイン名 (FQDN) で設定して「次へ」をクリックします。
      既存の DNS 名前構造と分離する場合、addom.local などのプライベートドメイン名を使うとよいでしょう。
    7. ドメイン NetBIOS 名を設定して「次へ」をクリックします。
    8. Active Directory データベースおよびログファイル格納するフォルダを指定して「次へ」をクリックします。
    9. Sysvol を格納するフォルダを指定して「次へ」をクリックします。
    10. 「名前 <FQDN ドメイン名> を処理できる DNS サーバーを...」に「OK」します。
    11. 「はい、DNS をこのコンピュータにインストールして構成します」にチェックして「次へ」をクリックします。
    12. ドメインのアクセス許可を設定して「次へ」をクリックします。
    13. ディレクトリサービス復元モードの Administrator パスワードを設定て「次へ」をクリックします。
    14. 設定したオプションを確認して「次へ」をクリックします。
    15. Active Directory が構成されます(数分かかります)。
      構成完了後、指示に従って Windows を再起動します。
作業完了後の確認事項 ドメインユーザーの作成
  1. ドメインコントローラに Administrator でログオンします。
  2. [スタート]−[プログラム]−[管理ツール]から「Active Directory ユーザーとコンピュータ」を起動します。
  3. <ドメイン名>\Users フォルダを右クリックし、[新規作成]−[ユーザー] をクリックします。
  4. ユーザー名、ログオン名を設定して「次へ」をクリックします。
  5. パスワードを入力して「次へ」をクリックします。
  6. 「完了」をクリックします。
Windows 2000 クライアントの構成
  1. Windows 2000 クライアントに Administrator でログオンします。
  2. 「マイネットワーク」を右クリックし、[プロパティ] をクリックします。
  3. 「ローカルエリア接続」を右クリックし、[プロパティ] をクリックします。
  4. リストから「インターネットプロトコル (TCP/IP)」をダブルクリックします。
  5. 「次の DNS サーバーのアドレスを使う」にチェックし、192.168.0.100 (ドメインコントローラのアドレス) を入力して「OK」「OK」をクリックします。
  6. 「マイコンピュータ」を右クリックし、[プロパティ] をクリックします。
  7. [ネットワーク ID] タブをクリックし、「プロパティ」ボタンをクリックします。
  8. 「ドメイン」にチェックしドメイン名 (addom.local など) を記入して「OK」をクリックします。
  9. ドメインにログオン可能なユーザー名とパスワードを入力して「OK」をクリックします。
  10. Windows 2000 を再起動後、ドメインにログオンできるようになります。
    ログオン画面で、「オプション>>」ボタンをクリックすると、ログオン先としてドメインかローカルコンピュータか選択できます。
    ログオン先を指定するとき、ユーザー名に <ユーザー名>@<FQDN 名> のようなユーザープリンシパル名 (UPN) を使っても OK です。
Windows 9x/Me クライアントの構成
  1. [スタート]−[設定]−[コントロールパネル] から「ネットワーク」を起動します。
  2. Microsoft ネットワーククライアントと TCP/IP がバインドされていることを確認します。
  3. Microsoft ネットワーククライアントをダブルクリックし、「Windows NT ドメインにログオンする」にチェックを入れ、ドメイン名として dcpromo 実行時に設定したドメインの NetBIOS 名 (addom など) を入力します。
  4. 「OK」「OK」をクリックして設定を保存します。

XP の「マイ ネットワーク」に Directory アイコンがありません

Windows 2000 クライアントを Active Directory に参加させると、「マイ ネットワーク」フォルダに Directory アイコンが表示され、Active Directory の資源を参照できるようになります。しかし、Windows XP Professional を Active Directory に参加させた場合は Directory アイコンが表示されません。
XP でも Directory アイコンを表示させたい場合、次の手順を実行してください。
  1. Windows 2000 SP3 を入手し、次のコマンドを実行します。
    w2ksp3.exe -x
  2. 次のコマンドを実行して dsfolder.dll を抽出します。(SP を E ドライブに展開したと仮定します。)
    e:
    cd i386
    expand dsfolder.dl_
  3. XP クライアントに管理者でログオンし、抽出した dsfolder.dll を %Systemroot%System32 にコピーします。
  4. [スタート]−[ファイル名を指定して実行] から regsvr32 dsfolder.dll を実行します。

ワークグループとドメインで XP Professional を使用する場合の主な相違点は?

Windows XP Professional をワークグループで使用する場合と、ドメインに参加させて使う場合、以下のような相違点があります。
FAQ を参照する際や、アプリケーションの説明書を読む際に、前提の状態が異なる場合があるので注意が必要です。
ワークグループドメイン
ログオン画面「ようこそ」画面Ctrl+Alt+Del を押してログオン
セキュリティ簡易ファイル共有(ForceGuestオン)ACL エディタあり(ForceGuestオフ)
共有ドキュメント全ユーザー分を表示表示されない
ユーザーの管理Web ベースの「ユーザーアカウント」Windows 2000 と同じ
簡易ユーザー切り替え有効不可
ネットワークプレースの追加ネットワークの全共有をネットクロールアクセスした共有だけ自動登録
時刻同期SNTP サーバーと同期ドメインコントローラと同期
Windows.FAQ > Windows2000.FAQ
トラブル | セットアップ | ディスク管理 | 起動と終了 | ネットワーク | パフォーマンス | Active Directory | 使用法ヒント | デバイス | アプリケーション | カスタマイズ |