拠点間の共有ファイルへのアクセスが悲劇的に遅い

トラブル Windows 7

症状

Windows 7から他拠点にある共有ファイルへのアクセスが、非常に遅い。ファイルコピーの転送速度は次のような感じである。いろんな影響を受けるので、計測の信頼性は低いが、それでも違いすぎる。速度の単位はKB(キロバイト)/s。

Windows 2008 R2 --> Windows 7 Windows 2003 R2 --> Windows 7 Windows 2008 R2 --> Windows XP
エクスプローラでのコピー 3~14KB/s 80KB/s 2,120KB/s
WebDAV (Windows標準) 計測不能 (*) 未計測 (+) 1,100KB/s
WebDAV (CarotDAV) 計測不能 (*) 未計測 (+) 4,170KB/s
FastCopy 4.8KB/s 未計測(-) 2,531KB/s

(*) 1000KBコピーが10分たっても終了しなかったり、途中で止まったりしたため、計測不能とした。
(+) Windows 2003 R2側にWebDAVを用意していないため、計測しなかった。
(-) いい加減いやになり、計測しなかった。

環境

各拠点のルータ AR450S (アライドテレシス)
OS Windows 7
サーバ Windows 2008 R2、Windows 2003 R2

原因

Vista向けのKBだが、に古いルータだと遅くなると書いてある。(機械翻訳なので英語を見た方が確実です)
で、アライドテレシスのHPで調べたら、AR450SはWindows 7の対応表には掲載されていなかった……

回避方法1

各拠点のAR450Sのファイアウォール ポリシを次のように変えたらうまく行った。
TCP Setup Proxyをdisableからenableに変更。
ただ、デフォルトではenableなので、うちの業者さんが意図的にdisableにしていると思われる。そのため、確認してからでないと設定できない。

回避方法2

Windows 7の受信ウィンドウ自動チューニングレベルとRecieve-Side Scaling 状態を無効 (disable) にする。次のコマンドでできる。

>netsh interface tcp set global autotuninglevel=disabled
>netsh interface tcp set global rss=disabled

元に戻すには

>netsh interface tcp set global autotuninglevel=normal
>netsh interface tcp set global rss=enabled

Active Directory 移行作業: Windows 2000ドメイン --> Windows 2008 R2ドメイン

How To Windows

概略

いろいろな手順があるが、今回は、既存のActive Directoryに、新規のWindows Server 2008 R2ドメイン コントローラ (DC) を追加し、操作マスタを受け継がせるやり方を取る。

ドメイン domain.jp
現DC (FSMO付き)、DNS (プライマリ) DC2000A 移行前IP: 192.168.0.1 移行後IP: DHCP
現DC (FSMOなし)、DNS (セカンダリ) DC2000B 移行前IP: 192.168.0.2 移行後IP: DHCP
新DC (FSMO付き)、DNS (プライマリ) DC2008A 移行前IP: 192.168.0.3 移行後IP: 192.168.0.1
新DC (FSMOなし)、DNS (セカンダリ) DC2008B 移行前IP: 192.168.0.4 移行後IP: 192.168.0.2

大まかな手順

  1. 既存フォレスト、ドメインスキーマを拡張 (DC2000A)
  2. 新規Windows Server 2008 R2サーバ機の準備、DCとして追加 (DC2008A、DC2008B)
  3. FSMOの転送 (DC2000A)
  4. Windows 2000 Server DCの降格 (DC2000A、DC2000B、DC2008A、DC2008B)
  5. DNSの移行 (本来は不要?)
  6. ドメイン、フォレストの機能レベル変更 (DC2008A)
  7. SYSVOL複製方式の変更

なお、作業は不要なトラブルを避けるため、定時後に行う。残業している方には申し訳ないが、休日出勤はいやなので……。

既存フォレスト、ドメインスキーマ拡張

この作業は、DC2000Aで実施する。

事前準備
  1. ドメインの管理者権限でログオン。
  2. サポートツールの入手。
    http://www.microsoft.com/japan/windows2000/downloads/servicepacks/SP4/supporttools.mspxで入手する。
フォレストのスキーマ拡張
  1. コマンドプロンプトで "repadmin /options DC2000A.domain.jp +DISABLE_OUTBOUND_REPL" を実行。AD複製を無効にする。
  2. Windows Server 2008 R2のインストールメディアをDVDドライブへ挿入。
  3. コマンドプロンプトで ":\support\adprep\adprep32 /forestprep" を実行すると、「ADPREP の警告:」が表示されるので [c]キー、[Enter]キーと押す。
    ※ アップグレード前の環境が64bit OSの場合、":\support\adprep\adprep /forestprep" (adprep32ではなくadprep) を実行する。しばらくかかるので、完了するまで待つ。
    Windows 2008 R2ドメインでなく、Windows 2008ドメインへ移行する場合、Windows Server 2008のインストールメデイアを挿入し、":\sources\adprep\adprep /forestprep" を実行する。
  4. adprep /forestprep が完了したら、"repadmin /options DC2000A.domain.jp -DISABLE_OUTBOUND_REPL" を実行し、無効にしていたAD複製を有効にする。
ドメイン操作モードのネイティブモードへの変更

ドメイン操作モードがネイティブモードである必要がある。既にネイティブモードとなっている場合、次の「ドメインスキーマ拡張」へすすむ。

  1. [スタート] - [プログラム] - [管理ツール] - [Active Directory ドメインと信頼関係] と選択。[Active Directory ドメインと信頼関係]が表示される。
  2. リストから「Active Directory ドメインと信頼関係」 - 「domain.jp」を選択し、右クリックする。メニューからプロパティを選択する。[domain.jpのプロパティ] が表示される。
  3. [ドメイン操作モード] を確認し、「混在モード」になっている場合、[モードの変更] をクリックする。
  4. 「このドメインをネイティブモードに変更しますか? …」と表示されるので [はい] をクリックする。
  5. [domain.jpのプロパティ] で [OK] をクリックする。「操作は正常に完了しました。…」とでるので、[OK] をクリックする。
ドメインスキーマ拡張
  1. コマンドプロンプトで "repadmin /options DC2000A.domain.jp +DISABLE_OUTBOUND_REPL" を実行。AD複製を無効にする。
  2. Windows Server 2008 R2のインストールメディアをDVDドライブへ挿入。
  3. コマンドプロンプトで ":\support\adprep\adprep32 /domainprep /gpprep" を実行すると、
    ※ アップグレード前の環境が64bit OSの場合、":\support\adprep\adprep /domainprep /gpprep" (adprep32ではなくadprep) を実行する。
    Windows 2008 R2ドメインでなく、Windows 2008ドメインへ移行する場合、Windows Server 2008のインストールメデイアを挿入し、":\sources\adprep\adprep /domainprep /gpprep" を実行する。
  4. adprep /domainprep /gpprep が完了したら、"repadmin /options DC2000A.domain.jp -DISABLE_OUTBOUND_REPL" を実行し、無効にしていたAD複製を有効にする。

新規Windows Server 2008 R2サーバ機の準備、DCとして追加 (DC2008A、DC2008B)

この作業は、新しいDCとなるDC2008A、DC2008Bで行う。今回のケースではDC2008AはCore Installとなっている。Core Installの場合、dcpromoのインストールウィザードが使用できないため、DC2008Bを先にDCに昇格し、その情報をファイル化する。そのファイルを元にDC2008AをDCへ昇格させる。

DC2008BのDCへの昇格
  1. [スタート] - [ファイル名を指定して実行] をクリック。名前に "dcpromo" と入力し、[OK] をクリック。いくらかメッセージが表示された後、「Active Directory ドメイン サービス インストールウィザード] が起動するので、[次へ] 進む。
  2. 「オペレーティング システムの互換性」が表示されるので、[次へ] 進む。
  3. 「展開の構成の選択」が表示されるので、[既存のフォレスト]、[既存のドメインドメイン コントローラを追加する] をチェックし、[次へ] 進む。
  4. 「ネットワーク資格情報」 でドメイン名を入力する。また、ドメインへの追加の資格がない権限でログインしている場合、[設定] を押し、資格情報を入力する。元の画面で [次へ] 進む
  5. ドメインの選択」で domain.jp を選択し、[次へ] 進む。
  6. 「"adprep /rodcrep" がまだ実行されていないため、……」と表示されたら、[はい] をクリック。
  7. 「サイトの選択」が表示されたら、サイト名を選択し、[次へ] 進む。サイトは、何もしていない場合、「Default-First-Site-Name」となっている。
  8. 「追加のドメイン コントローラー オプション」で [DNS サーバー]、[グローバル カタログ] をチェックし、[次へ] 進む。
  9. 「権限のある親ゾーンが見つからないか……」のメッセージが出るので、[次へ] 進む。
  10. 「データベース、ログファイル、及びSYSVOL の場所」が表示されるので、[次へ] 進む。
  11. ディレクトリ サービス復元モード Administrator パスワード」が表示されるので、パスワードを入力し、[次へ] 進む。
  12. 「概要」が表示されるので、内容を確認する。
  13. [設定のエクスポート] をクリックし、ファイルへ保存する。
  14. DNSドメインサービスのインストールが開始するので、[完了時に再起動する] をチェックする。
  15. インストールが完了すると、自動的に再起動する。
DC2008AのDCへの昇格
  1. DC2008BのDCへの昇格時に保存した設定ファイルをDC2008Aの任意のフォルダへコピーする。(ここでは "C:\unattend.txt" ファイルとして説明する)
  2. unattend.txtを編集する。
    "Password="
    "SafeModeAdminPassword=<ローカルAdministratorのパスワード>"
  3. DC2008Aで "dcpromo /unattend:C:\\unattend.txt" を実行する。しばらくすると、再起動する。

FSMOの転送

この作業はDC2000Aで実行する。

スキーママスタの転送
  1. [スタート] - [ファイル名を指定して実行] を選択。「regsrv32 schmmgmt.dll」と入力し、[OK] を押す。
  2. [RegSrv32] が表示されるので、[OK] を押す。
  3. [スタート] - [ファイル名を指定して実行] を選択。「mmc」と入力し、[OK] を押す。
  4. [コンソール1] で [コンソール] - [スナップインの追加と削除] を選択する。
  5. [スナップインの追加と削除] で [追加] をクリックする。
  6. [スタンドアロン スナップインの追加] で「Active Directoryスキーマ」を選択、[追加] し、[閉じる] をクリックする。
  7. [スナップインの追加と削除] で [OK] をクリックし、[スナップインの追加と削除] を終了する。
  8. [コンソール1] の [コンソール ルート] - [Active Directory スキーマ] を選択し、右クリックする。
  9. 表示されたメニューから、[ドメイン コントローラの変更] を選択する。
  10. [ドメインコントローラの変更] で、[名前の指定] を選択し、DC2008AのFQDN (DC2008A.domain.jp) を入力後、[OK] を押す。
  11. [コンソール1] で [コンソール ルート] - [Active Directory スキーマ] を選択し、右クリックする。
  12. 表示されたメニューから、[操作マスタ] を選択する。
  13. [変更] をクリックし、「操作マスタを変更しますか?」メッセージで、[OK] を、「操作マスタは転送されました。」メッセージでも [OK] をクリック。
  14. [スキーマ マスタの変更] で、[キャンセル] をクリック。
ドメイン名前付け操作マスタの転送
  1. [スタート] - [プログラム] - [管理ツール] - [Active Directory ドメインの信頼関係] を選択する。
  2. [Active Directory ドメインと信頼関係] で、「Active Directory ドメインと信頼関係」を右クリックし、メニューから [ドメイン コントローラに接続] を選択する。
  3. リストから、「DC2008A.domain.jp」を選択し、[OK] をクリック。
  4. Active Directory ドメインと信頼関係」を右クリックし、メニューから [操作マスタ] を選択する。
  5. [操作マスタの変更] で、[変更] をクリック。メッセージが2回表示されるので、いずれも [OK] をクリックする。
  6. [操作マスタの変更] で、[閉じる] をクリック。
インフラストラクチャマスタ、PDCマスタ、RIDマスタの転送
  1. [スタート] - [プログラム] - [管理ツール] - [Active Directory ユーザーとコンピュータ] を選択する。
  2. Active Directory ユーザーとコンピュータ [DC2000A.domain.jp]」-「domain.jp」を右クリックし、メニューから[ドメイン コントローラに接続] を選択する。
  3. リストから「DC2008A.domain.jp」を選択し、[OK] をクリック。
  4. Active Directory ユーザーとコンピュータ [DC2000A.domain.jp]」を右クリックし、メニューから [操作マスタ] を選択する。
  5. [インフラストラクチャ] タブを選択し、[変更] をクリック。「操作マスタの役割を転送しますか?」のメッセージで、[はい] を選択。
    続いて表示される「操作マスタの役割が正しく転送されました。] のメッセージでは、[OK] をクリックする。
  6. [PDC]、[RID] タブも同様に処理する。

Windows 2000 Server DCの降格

Windows 2000 Server DCの降格

この作業はDC2000A、DC2000Bで実行する。

  1. DC2000Aで [スタート] - [ファイル名を指定して実行] を選択。「dcpromo」と入力し、[OK] をクリック。
  2. Active Directory のインストール ウィザードの開始」で [次へ] 進む。
  3. 「このドメイン コントローラはグローバル カタログ サーバーです。……」のメッセージが表示されたら、[OK] をクリックする。
  4. Active Directory の削除」で [このサーバーはドメインの最後のドメイン コントローラです」のチェックがオフになっていることを確認し、[次へ] 進む。
  5. 「Administratorのパスワード」で、パスワードを入力し、[次へ] 進む。
  6. 「概要」が表示されるので、内容を確認し、「次へ] 進む。
    Active Directory を構成しています。…」と表示されるので、しばらく待つ。
  7. Active Directory のインストール ウィザードの完了」が表示されたら、[完了] をクリック。
  8. Active Directory のインストール ウィザードによって……」のメッセージが表示されたら、[再起動する] をクリック。
  9. 再起動後、2000Aをドメインメンバからも外し、ネットワーク上から撤去する。
  10. DC2000Bでも同様に処理し、DCから降格する。
DNSの移行

この作業はDC2000AとDC2000B、DC2008Aで行う。まず、Remote Server Administration Tools (RSAT) を入れてあるクライアントPCか、フルインストールしているWindows Server 2008にログインして作業する。
この作業は、本来不要なのかも……、うまく行かなかったので、追加した。

  1. DNS マネージャーを起動する。[スタート] - [管理ツール] - [DNS] とメニューを選択していく。
    ※ここでログインしているIDがサーバ管理者出ない場合、権限のあるアカウントで起動する必要があるので注意。
  2. [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
  3. [次のコンピューター] を選択し、[DC2000A] と入力し、[OK] する。
  4. [DC2000A] - [前方参照ゾーン] - [domain.jp] を右クリックし、[プロパティ] を選択する。
  5. [domain.jp のプロパティ] で [ネーム サーバ] と [ゾーンの転送] を確認し、DC2008Aに転送できるようにしておく。
    (例) [ゾーンの転送] で [ネーム サーバー タブの一覧にあるサーバーのみ] とし、[ネーム サーバー] で一覧に "DC2008A.doamin.jp" を追加する。
  6. [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
  7. [次のコンピューター] を選択し、[DC2008A] と入力し、[OK] する。
  8. [DNS] - [DC2008A] - [前方参照ゾーン] を右クリック。[新しいゾーン] を選択しする。
  9. 「新しいゾーン ウィザードの開始」で [次へ] 進む。
  10. 「ゾーンの種類」で [セカンダリ ゾーン] を選択し、[次へ] 進む。
  11. 「ゾーン名」で "domain.jp" と入力し、[次へ] すすむ。
  12. 「マスター DNS サーバー」で "192.168.0.1" もしくは "DC2000A.domain.jp" と入力し、[次へ] 進む。
  13. 「新しいゾーン ウィザードの完了」で [完了] する。
  14. [DNS] - [DC2008A] - [前方参照ゾーン] - [domain.jp] を右クリック。[プロパティ] を選択しする。
  15. [全般] で [変更] をクリック。開いた画面で、[プライマリ ゾーン] を選択し、[OK] する。
  16. [domain.jp のプロパティ] で [OK] をクリック。
  17. 他にも管理しているゾーンがあれば、同様の処理を行う。
  18. [DNS] - [DC2008A] - [前方参照ゾーン] - [domain.jp] を右クリック。[プロパティ] を選択しする。
  19. [全般] で [変更] をクリック。開いた画面で、[Active Directory にゾーンを格納する] をチェックし、[OK] する。
  20. 「このゾーンを Active Directory 統合にしますか?」で [はい] を選択する。
  21. [動的更新] で "セキュリティ保護のみ" もしくは "非セキュリティ保護およびセキュリティ保護" にし、[OK] を押す。
  22. [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
  23. [次のコンピューター] を選択し、[DC2008B] と入力し、[OK] する。
  24. DC2000A、DC2000BのDNSの役割を削除する。
    この作業は Windows コンポーネントの追加と削除で行う。
IPアドレスの変更

DC2000A、DC2000BのIPアドレスDNSを自動的に取得するに変更する。
DC2008A、DC2008BのIPアドレスをそれぞれDC2000A、DC2000Bが使用していたものに変更する。
全部再起動してみる。

ドメイン、フォレストの機能レベル変更 (DC2008A)

この作業は、DC2008Aで行う。Core Installの状態なので、他のPC (ホストPC) に Remote Server Administration Tools(以下RSAT)をインストールし、そちらから設定する。
RSATの設定は済んでいるものとして説明する。

ドメインの機能レベル変更
  1. ホストPCで [Active Directory ユーザーとコンピュータ] を起動する。Windows 7の場合、[スタート] - [すべてのプログラム] - [管理ツール] - [Active Directory ユーザーとコンピューター] と選択していく。
  2. Active Directory ユーザーとコンピューター [xxxx]」で、xxxxの部分が「DC2008A.domain.jp」でなければ、DC2008A.domain.jpに接続する。
    右クリックし、メニューから [ドメイン コントローラの変更] を選択。リストから「DC2008A.domain.jp」を選択し、[OK] を押す。
  3. Active Directory ユーザーとコンピューター [DC2008A.domain.jp]」 - 「domain.jp」を右クリックし、メニューから [ドメインの機能レベルの昇格] を選択。
  4. リストから [Windows Server 2008 R2] を選択し、[上げる] をクリック。2回メッセージが表示されるので、どちらも [OK] をクリックする。
  5. もう一度、「Active Directory ユーザーとコンピューター [DC2008A.domain.jp]」 - 「domain.jp」を右クリックし、メニューから [ドメインの機能レベルの昇格] を選択する。ここで、ドメインの機能レベルが「Windows Server 2008 R2」になっていることを確認し、[閉じる]。
フォレストの機能レベル変更
  1. ホストPCで [Active Directory ドメインと信頼関係] を起動する。Windows 7の場合、[スタート] - [すべてのプログラム] - [管理ツール] - [Active Directory ドメインと信頼関係] と選択していく。
  2. Active Directory ドメインと信頼関係[xxxx]」で、xxxxの部分が「DC2008A.domain.jp」でなければ、DC2008A.domain.jpに接続する。
    右クリックし、メニューから [ドメイン コントローラの変更] を選択。リストから「DC2008A.domain.jp」を選択し、[OK] を押す。
  3. Active Directory ドメインと信頼関係[DC2008A.domain.jp]」で右クリック、メニューから「フォレストの機能レベルの昇格」を選択。
  4. リストから [Windows Server 2008 R2] を選択し、[上げる] をクリック。2回メッセージが表示されるので、どちらも [OK] をクリックする。
  5. もう一度、「Active Directory ドメインと信頼関係[DC2008A.domain.jp]」で右クリック、メニューから「フォレストの機能レベルの昇格」を選択。ここで、フォレストの機能レベルが「Windows Server 2008 R2」になっていることを確認し、[OK] を押す。

SYSVOL複製方式の変更

この作業は、DC2008Aで行う。

  1. コマンドプロンプトで "dfsrmig /GetGlobalState" を実行し、現在の状態を確認する。次のように表示される。
    DFSR 移行がまだ初期化されていません。移行を開始するには、グローバル状態を目的の値に設定してください。
  2. コマンドプロンプトで "dfsrmig /SetGlobalState 0" を実行し、DSFR移行のグローバル状態を「開始」にする。次のように表示される。
    DFSR の現在のグローバル状態: '開始'
    新しい DFSR のグローバル状態: '開始'
    無効な状態変更が要求されました。
  3. コマンドプロンプトで "dfsrmig /GetGlobalState" を実行し、再び、現在の状態を確認する。次のように表示される。
    DFSR の現在グローバル状態: '開始'
    成功しました。
  4. コマンドプロンプトで "dfsrmig /GetMigrationState" を実行し、グローバル状態が「開始」になっていることを確認する。次のように表示される。
    すべてのドメイン コントローラーがグローバル状態 '開始' に移行しました。
    移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
    成功しました。
  5. コマンドプロンプトで "dfsrmig /SetGlobalState 1" を実行し、DFSR移行のグローバル状態を「準備完了」にする。次のように表示される。
    DFSR の現在のグローバル状態: '開始'
    新しい DSFR のグローバル状態: '準備完了'

    '準備完了' 状態に移行します。DFSR サービスによって SYSVOL が SYSVOL_DFSR フォルダーにコピーされます。

    いずれかの DC で移行を開始できない場合は、手動ポーリングを試行してください。
    または、/CreateGlobalObjects オプションを指定して実行してください。
    移行は 15 分から 1 時間までの任意の時点で開始できます。
    成功しました。
  6. DFS Replicationのイベントログを確認する。イベントID 8010 (移行準備開始)、8014 (移行準備完了) が記録されていることを確認する。
    これには少し時間がかかるので記録されるまで待つ。
  7. コマンドプロンプトで "dfsrmig /GetMigrationState" を実行し、グローバル状態が「準備完了」になっていることを確認する。次のように表示される。
    すべてのドメイン コントローラーがグローバル状態 '準備完了' に移行しました。
    移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
    成功しました。
  8. コマンドプロンプトで "dfsrmig /SetGlobalState 2" を実行し、DFSR移行のグローバル状態を「リダイレクト済み」に設定する。次のように表示される。
    DFSR の現在のグローバル状態: '準備完了'
    新しい DFSR のグローバル状態: 'リダイレクト済み'

    'リダイレクト済み' 状態に移行します。SYSVOL 共有が、 DFSR を使用してレプリケートされた SYSVOL_DFSR フォルダーに変更されます。
    成功しました。
  9. 再びイベントログでID: 8015 (リダイレクト処理開始)、8017 (リダイレクト処理完了) が記録されていることを確認する。これも少し時間がかかる。
  10. コマンドプロンプトで "dfsrmig /SetGlobalState 3" を実行し、DFSRのグローバル状態を「削除済み」にする。次のように表示される。
    DFSR の現在のグローバル状態: 'リダイレクト済み'
    新しい DFSR のグローバル状態: '削除済み'

    '削除済み' 状態に移行します。このステップを元に戻すことはできません。

    いずれかの RODC が長時間にわたって '削除済み' 状態になっている場合は、/DeleteRoNtfrsMembers オプションを指定して実行してください。
    成功しました。
  11. もう一度イベントログを確認する。ID 8018 (削除済み開始)と8019 (削除済みリダイレクト処理完了) が記録されていることを確認する。これも少し時間がかかる。
  12. コマンドプロンプトで "dfsrmig /GetMigrationState" で、グローバル状態が「削除済み」になっていることを確認する。次のように表示される。
    すべてのドメイン コントローラーがグローバル状態 '削除済み' に移行しました。
    移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
    成功しました。

画面のロック解除時に、「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。」と表示され、ロック解除ができない

トラブル ネットワーク Active Directory Windows 7

【症状】
Active Directory ドメインに参加しているWindows 7クライアントを使用している。画面ロックした後、ロック解除時に、「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。」と表示され、ロック解除ができなくなる。

【環境】

Active Directory Windows 2000ドメイン
クライアントPCのOS Windows 7 Enterprise (x64、x86)

【原因】
どうやらセキュア チャンネルの破損らしい。
クライアントPCの管理者として

> nltest /SC_VERIFY:<ドメイン名>

とすると、

フラグ: 80
信頼された DC 名
信頼された DC 接続状態 Status = 5 0x5 ERROR_ACCESS_DENIED
信頼の確認  Status = 5 0x5 ERROR_ACCESS_DENIED
コマンドは正常に完了しました

となる。また、ドメイン コントローラで

> netdom verify <クライアントPC名> domain:<ドメイン名>

とすると、

ログオン エラー: 対象のアカウント名は間違っています。

The command failed to complete successfully.

となる。

正常な場合、nltestは

フラグ: b0 HAS_IP HAS_TIMESERV
信頼された DC 名 <DC名>
信頼された DC 接続状態 Status = 0 0x0 NERR_Success
信頼の確認 Status = 0 0x0 NERR_Success
コマンドは正常に完了しました

となり、netdomは

The secure channel from <クライアントPC名> to the domain <ドメイン名> has been verified. The connection
is with the machine <DC名>
The command completed successfully.

となる。

詳しくは、ドメインにログオンできない ~ セキュア チャネルの破損 ~ – Ask the Network & AD Support Teamに書いてある。

【解決方法】
クライアントPCから次の作業を行う。

  1. ドメインから離脱し、再起動。
  2. 再起動後、再度ドメインに参加する。

Windows Server 2008 R2 Standard のCoreインストール

How To Windows Windows Server 2008 R2

構成

OS Windows Server 2008 R2 Standard
(Coreインストール)
PC Dell PowerEdge 830 (RAM: 2.5GB)
機能 ドメインコントローラ (FSMO)
DNS (プライマリ)
WINS
共有ファイルサーバ (DFS)

インストール

とにかくインストール。OSのエディションを選択するところ以外、特に悩むことはない。

セットアップ

(2011.3.10追記) 下にいろいろ書いたが、R2からは "sconfig.cmd" という初期構成を設定できるプログラムが導入されている。CUIながら、ある程度は簡単に管理できるようだ。

コンピュータ名の変更
> netdom renamecomputer <現在のコンピュータ名> /NewName:<新しいコンピュータ名>
ネットワーク設定

次のように設定する。

IPアドレス 192.168.0.1
サブネットマスク 255.255.255.0
DNS 192.168.0.17、192.168.0.18
ゲートウェイ 192.168.0.254

1. 次のコマンドで設定するLANアダプタのインデックス (Idx) を確認。

> netsh interface ipv4 show interface

2. 次のコマンドでIPアドレスサブネットマスク、デフォルトゲートウエイを設定。

> netsh interface ipv4 set address name="<Idx>" source=static address=<IPアドレス> mask=<サブネットマスク> gateway=<デフォルトゲートウエイ>

3. 次のコマンドでDNSサーバを設定。最初の登録はDNSインデックスを1に、2代目以降は1ずつ増やしていく。

> netsh interface ipv4 add dnsserver name="<Idx>" address=<DNSサーバアドレス> index=<DNSインデックス>
サーバ管理ツールRSATの準備

Windows Server 2008/R2を管理するため、サーバ管理ツール Remote Server Administration Tools (RSAT) を準備する。
まずは、Server Coreのファイアウォームがリモート管理関連通信をブロックしているので、解除する必要がある。

> netsh advfirewall set currentprofile settings remotemanagement enable

なお、禁止するには最後の「enable」を「disable」にする。セキュリティ上は禁止状態に戻す方が良い。

> netsh advfirewall set currentprofile settings remotemanagement disable

次の場所からダウンロードし、インストールを行う。

OS 入手先
Windows Vista (32bit) Download Windows Vista 用 Microsoft リモート サーバー管理ツール from Official Microsoft Download Center
Windows Vista (64bit) Download Windows Vista for x64-based Systems 用 Microsoft リモート サーバー管理ツール from Official Microsoft Download Center
Windows 7 (32、64bit) Download Windows 7 Service Pack 1 (SP1) 用のリモート サーバー管理ツール from Official Microsoft Download Center

インストールした後、管理対象の機能を選択する。コントロールパネルを開き、[プログラム] - [プログラムと機能] と進む。Windows 7の場合は、左側に [Windows の機能の有効化または無効化] をクリック、Vistaは……知りません。
表示された一覧に [リモートサーバー管理ツール] の中から管理したいものを選択し、[OK] を押す。

リモートデスクトップの許可

何かと不便なので、リモートデスクトップを許可する。

> cscript %windir%system32\SCRegEdit.wsf /ar 0

無効にする場合は、最後の0を1にすれば良い。

> cscript %windir%system32\SCRegEdit.wsf /ar 1
<||
アクセスできない場合がある。この時は、エクスプローラから "\\servername" とするとか、コマンドプロンプトで
>|dos|
> net use * \\<サーバ名>\c$ /u:<ユーザ名>

とかするなりして、一度認証しておくとアクセスできるようになる。

Active Directoryへの参加
> netdom join <コンピュータ名> /domain:<ドメイン名> /userd:<ドメイン名>\<ドメイン参加権のあるユーザ名> /passwordd:*
Active Directoryからの離脱
> netdom remove
ページファイルの設定

今回、必要かどうかは不明だが、余っているHDDをページファイル専用として用意した。

C: 400MB
P: 16,384MB

まず、次のコマンドでシステム ページファイル 管理を無効にする。name=の後は "" を忘れないように……。

> wmic computersystem where name="%computername%" set AutomaticManagedPagefile=False

次のコマンドでC:ドライブのページファイルを400Mに変更する。

> wmic pagefileset set InitialSize=400, MaximumSize=400, Name="C:\\pagefile.sys"

次のコマンドでP:ドライブのページファイルを作成する。

> wmic pagefileset create InitialSize=16384,MaximumSize=16384, Name="P:\\pagefile.sys"
分散ファイルシステムのセットアップ
  1. 次のコマンドで分散ファイルシステム名前空間サーバ (DFSN-Server) をインストール。
    "dism /online /enable-feature /featurename:DFSN-Server"
  2. 次のコマンドで分散ファイルシステムレプリケーションをインストール。
    "dism /online /enable-feature /featurename:DFSR-Infrastructure-ServerEdition"
  3. 管理ツールから [DFS の管理] を起動する。
  4. [DFS の管理] を右クリックし、[新しい名前空間] を選択する。
  5. 名前空間サーバー」でサーバ名を入れ、[次へ] 進む。
  6. 名前空間の名前と設定」で名前空間の名前を入れ、[次へ] 進む。
    ※必要なら [設定の編集] で共有フォルダのパスやアクセス権を設定する。
    ※共有フォルダのパスが既に存在すると、エラーとなるので無い状態にする。
  7. 名前空間の名前と設定」で [次へ] 進む。
  8. 名前空間の種類」で名前空間の種類を選択し、[次へ] 進む。今回は、[ドメイン ベースの名前空間] を選択した。
  9. 「設定の確認と名前空間の作成」で設定内容を確認し、[作成] する。
Hyper-Vのセットアップ
  1. 次のコマンドでHyper-Vをインストール。
    "dism /online /enable-feature /featurename=Microsoft-Hyper-V"
  2. 再起動が要求されるので、素直に再起動。
Symantec Endpoint Protectionのインストール
  1. うちでは、EPP管理サーバが作成したパッケージを用意している。
    そのためか、VC++ 2005再配布再頒布可能パッケージを最初にインストールする。
    場所は、\SEPWin64\x64。ここにある "vcredist_x64.exe" を実行する。
  2. そのあと、EPP管理サーバが作成したパッケージをインストールする。
  3. 因みに、アンインストールするには、次のコマンドを使う。
> wmic product where name="Symantec Endpoint Protection" call uninstall

Dell PowerEdge 830のBMC利用

How To ハードウェア

BIOS/IPMI設定

起動画面の途中で [F2] を押すとBIOS設定画面に、[Ctl]+Eを押すと [IPMI Server Management Configuration Utility] に移動できる。

IPMI Server Management Configuration Utility
IPMI Over LAN On
IPMI LAN Channel ネットワークに合わせて設定
User Configuration アカウント名、パスワードを設定
Host Name String ホスト名を設定
BIOS
Integrated Devices - Serial Port BMC NIC
Console Redirection - Console Redirection Serial Port

管理で使用するPCの準備

  1. 付属のSystem Management Consoles CDを自動実行。
  2. Dell OpenManage Management StationインストーラからMSDEをインストール。
  3. 続いて、Management Stationのインストール。
    カスタムインストールを選択し、[BMCコンソール] を追加する。

利用方法

  1. コマンドプロンプトを起動する。
  2. OpenManage Management Stationのインストール先にある "bmc" ディレクトリへ移動する。デフォルトでは "C:\Program Files\Dell\SysMgt\bmc"
  3. 書式は "ipmish -ip xxx.xxx.xxx.xxx -u useracount -p password command" となる。
    xxx.xxx.xxx.xxxはIPMIに設定したIPアドレス、useracount、passwordもIPMIに設定したもの。commandは次のようなものがある。詳細は "ipmish -help" で確認できる。
command 内容
identify フロントパネルのLEDを制御する
identify on - LED点灯
identify off - LED消灯
power 電源を制御する。
power status - 電源の状態を表示
power on - 電源ON
power off - 電源OFF命令を発行 (電源オフするかどうかは状況次第)
power cycle - 電源をOFFした後、ONする
power reset - システムリセットを出す
sysinfo システム情報を取得する。
sysinfo fru - FRU関連情報
sysinfo, sysinfo id - BMC関連情報