拠点間の共有ファイルへのアクセスが悲劇的に遅い
症状
Windows 7から他拠点にある共有ファイルへのアクセスが、非常に遅い。ファイルコピーの転送速度は次のような感じである。いろんな影響を受けるので、計測の信頼性は低いが、それでも違いすぎる。速度の単位はKB(キロバイト)/s。
Windows 2008 R2 --> Windows 7 | Windows 2003 R2 --> Windows 7 | Windows 2008 R2 --> Windows XP | |
エクスプローラでのコピー | 3~14KB/s | 80KB/s | 2,120KB/s |
WebDAV (Windows標準) | 計測不能 (*) | 未計測 (+) | 1,100KB/s |
WebDAV (CarotDAV) | 計測不能 (*) | 未計測 (+) | 4,170KB/s |
FastCopy | 4.8KB/s | 未計測(-) | 2,531KB/s |
(*) 1000KBコピーが10分たっても終了しなかったり、途中で止まったりしたため、計測不能とした。
(+) Windows 2003 R2側にWebDAVを用意していないため、計測しなかった。
(-) いい加減いやになり、計測しなかった。
原因
Vista向けのKBだが、に古いルータだと遅くなると書いてある。(機械翻訳なので英語を見た方が確実です)
で、アライドテレシスのHPで調べたら、AR450SはWindows 7の対応表には掲載されていなかった……
回避方法1
各拠点のAR450Sのファイアウォール ポリシを次のように変えたらうまく行った。
TCP Setup Proxyをdisableからenableに変更。
ただ、デフォルトではenableなので、うちの業者さんが意図的にdisableにしていると思われる。そのため、確認してからでないと設定できない。
回避方法2
Windows 7の受信ウィンドウ自動チューニングレベルとRecieve-Side Scaling 状態を無効 (disable) にする。次のコマンドでできる。
>netsh interface tcp set global autotuninglevel=disabled >netsh interface tcp set global rss=disabled
元に戻すには
>netsh interface tcp set global autotuninglevel=normal >netsh interface tcp set global rss=enabled
WINS on Windows Server 2008 R2 (Core Install)
- "start /w ocsetup WINS-SC" でインストール。"WINS-SC" は必ず大文字で指定。
- うーん、管理の方法が分からん……
ということでWINSを動かしていたWindows 2000 ServerのWINS管理ツールで設定した。
Active Directory 移行作業: Windows 2000ドメイン --> Windows 2008 R2ドメイン
概略
いろいろな手順があるが、今回は、既存のActive Directoryに、新規のWindows Server 2008 R2ドメイン コントローラ (DC) を追加し、操作マスタを受け継がせるやり方を取る。
ドメイン | domain.jp | ||
現DC (FSMO付き)、DNS (プライマリ) | DC2000A | 移行前IP: 192.168.0.1 | 移行後IP: DHCP |
現DC (FSMOなし)、DNS (セカンダリ) | DC2000B | 移行前IP: 192.168.0.2 | 移行後IP: DHCP |
新DC (FSMO付き)、DNS (プライマリ) | DC2008A | 移行前IP: 192.168.0.3 | 移行後IP: 192.168.0.1 |
新DC (FSMOなし)、DNS (セカンダリ) | DC2008B | 移行前IP: 192.168.0.4 | 移行後IP: 192.168.0.2 |
大まかな手順
- 既存フォレスト、ドメインのスキーマを拡張 (DC2000A)
- 新規Windows Server 2008 R2サーバ機の準備、DCとして追加 (DC2008A、DC2008B)
- FSMOの転送 (DC2000A)
- Windows 2000 Server DCの降格 (DC2000A、DC2000B、DC2008A、DC2008B)
- DNSの移行 (本来は不要?)
- ドメイン、フォレストの機能レベル変更 (DC2008A)
- SYSVOL複製方式の変更
なお、作業は不要なトラブルを避けるため、定時後に行う。残業している方には申し訳ないが、休日出勤はいやなので……。
既存フォレスト、ドメインのスキーマ拡張
この作業は、DC2000Aで実施する。
事前準備
- ドメインの管理者権限でログオン。
- サポートツールの入手。
http://www.microsoft.com/japan/windows2000/downloads/servicepacks/SP4/supporttools.mspxで入手する。
フォレストのスキーマ拡張
- コマンドプロンプトで "repadmin /options DC2000A.domain.jp +DISABLE_OUTBOUND_REPL" を実行。AD複製を無効にする。
- Windows Server 2008 R2のインストールメディアをDVDドライブへ挿入。
- コマンドプロンプトで "
:\support\adprep\adprep32 /forestprep" を実行すると、「ADPREP の警告:」が表示されるので [c]キー、[Enter]キーと押す。
※ アップグレード前の環境が64bit OSの場合、":\support\adprep\adprep /forestprep" (adprep32ではなくadprep) を実行する。しばらくかかるので、完了するまで待つ。
※ Windows 2008 R2ドメインでなく、Windows 2008ドメインへ移行する場合、Windows Server 2008のインストールメデイアを挿入し、":\sources\adprep\adprep /forestprep" を実行する。 - adprep /forestprep が完了したら、"repadmin /options DC2000A.domain.jp -DISABLE_OUTBOUND_REPL" を実行し、無効にしていたAD複製を有効にする。
ドメイン操作モードのネイティブモードへの変更
ドメイン操作モードがネイティブモードである必要がある。既にネイティブモードとなっている場合、次の「ドメインのスキーマ拡張」へすすむ。
- [スタート] - [プログラム] - [管理ツール] - [Active Directory ドメインと信頼関係] と選択。[Active Directory ドメインと信頼関係]が表示される。
- リストから「Active Directory ドメインと信頼関係」 - 「domain.jp」を選択し、右クリックする。メニューからプロパティを選択する。[domain.jpのプロパティ] が表示される。
- [ドメイン操作モード] を確認し、「混在モード」になっている場合、[モードの変更] をクリックする。
- 「このドメインをネイティブモードに変更しますか? …」と表示されるので [はい] をクリックする。
- [domain.jpのプロパティ] で [OK] をクリックする。「操作は正常に完了しました。…」とでるので、[OK] をクリックする。
ドメインのスキーマ拡張
- コマンドプロンプトで "repadmin /options DC2000A.domain.jp +DISABLE_OUTBOUND_REPL" を実行。AD複製を無効にする。
- Windows Server 2008 R2のインストールメディアをDVDドライブへ挿入。
- コマンドプロンプトで "
:\support\adprep\adprep32 /domainprep /gpprep" を実行すると、
※ アップグレード前の環境が64bit OSの場合、":\support\adprep\adprep /domainprep /gpprep" (adprep32ではなくadprep) を実行する。
※ Windows 2008 R2ドメインでなく、Windows 2008ドメインへ移行する場合、Windows Server 2008のインストールメデイアを挿入し、":\sources\adprep\adprep /domainprep /gpprep" を実行する。 - adprep /domainprep /gpprep が完了したら、"repadmin /options DC2000A.domain.jp -DISABLE_OUTBOUND_REPL" を実行し、無効にしていたAD複製を有効にする。
新規Windows Server 2008 R2サーバ機の準備、DCとして追加 (DC2008A、DC2008B)
この作業は、新しいDCとなるDC2008A、DC2008Bで行う。今回のケースではDC2008AはCore Installとなっている。Core Installの場合、dcpromoのインストールウィザードが使用できないため、DC2008Bを先にDCに昇格し、その情報をファイル化する。そのファイルを元にDC2008AをDCへ昇格させる。
DC2008BのDCへの昇格
- [スタート] - [ファイル名を指定して実行] をクリック。名前に "dcpromo" と入力し、[OK] をクリック。いくらかメッセージが表示された後、「Active Directory ドメイン サービス インストールウィザード] が起動するので、[次へ] 進む。
- 「オペレーティング システムの互換性」が表示されるので、[次へ] 進む。
- 「展開の構成の選択」が表示されるので、[既存のフォレスト]、[既存のドメインにドメイン コントローラを追加する] をチェックし、[次へ] 進む。
- 「ネットワーク資格情報」 でドメイン名を入力する。また、ドメインへの追加の資格がない権限でログインしている場合、[設定] を押し、資格情報を入力する。元の画面で [次へ] 進む
- 「ドメインの選択」で domain.jp を選択し、[次へ] 進む。
- 「"adprep /rodcrep" がまだ実行されていないため、……」と表示されたら、[はい] をクリック。
- 「サイトの選択」が表示されたら、サイト名を選択し、[次へ] 進む。サイトは、何もしていない場合、「Default-First-Site-Name」となっている。
- 「追加のドメイン コントローラー オプション」で [DNS サーバー]、[グローバル カタログ] をチェックし、[次へ] 進む。
- 「権限のある親ゾーンが見つからないか……」のメッセージが出るので、[次へ] 進む。
- 「データベース、ログファイル、及びSYSVOL の場所」が表示されるので、[次へ] 進む。
- 「ディレクトリ サービス復元モード Administrator パスワード」が表示されるので、パスワードを入力し、[次へ] 進む。
- 「概要」が表示されるので、内容を確認する。
- [設定のエクスポート] をクリックし、ファイルへ保存する。
- DNS、ドメインサービスのインストールが開始するので、[完了時に再起動する] をチェックする。
- インストールが完了すると、自動的に再起動する。
DC2008AのDCへの昇格
- DC2008BのDCへの昇格時に保存した設定ファイルをDC2008Aの任意のフォルダへコピーする。(ここでは "C:\unattend.txt" ファイルとして説明する)
- unattend.txtを編集する。
"Password="
"SafeModeAdminPassword=<ローカルAdministratorのパスワード>" - DC2008Aで "dcpromo /unattend:C:\\unattend.txt" を実行する。しばらくすると、再起動する。
FSMOの転送
この作業はDC2000Aで実行する。
スキーママスタの転送
- [スタート] - [ファイル名を指定して実行] を選択。「regsrv32 schmmgmt.dll」と入力し、[OK] を押す。
- [RegSrv32] が表示されるので、[OK] を押す。
- [スタート] - [ファイル名を指定して実行] を選択。「mmc」と入力し、[OK] を押す。
- [コンソール1] で [コンソール] - [スナップインの追加と削除] を選択する。
- [スナップインの追加と削除] で [追加] をクリックする。
- [スタンドアロン スナップインの追加] で「Active Directoryスキーマ」を選択、[追加] し、[閉じる] をクリックする。
- [スナップインの追加と削除] で [OK] をクリックし、[スナップインの追加と削除] を終了する。
- [コンソール1] の [コンソール ルート] - [Active Directory スキーマ] を選択し、右クリックする。
- 表示されたメニューから、[ドメイン コントローラの変更] を選択する。
- [ドメインコントローラの変更] で、[名前の指定] を選択し、DC2008AのFQDN (DC2008A.domain.jp) を入力後、[OK] を押す。
- [コンソール1] で [コンソール ルート] - [Active Directory スキーマ] を選択し、右クリックする。
- 表示されたメニューから、[操作マスタ] を選択する。
- [変更] をクリックし、「操作マスタを変更しますか?」メッセージで、[OK] を、「操作マスタは転送されました。」メッセージでも [OK] をクリック。
- [スキーマ マスタの変更] で、[キャンセル] をクリック。
ドメイン名前付け操作マスタの転送
- [スタート] - [プログラム] - [管理ツール] - [Active Directory ドメインの信頼関係] を選択する。
- [Active Directory ドメインと信頼関係] で、「Active Directory ドメインと信頼関係」を右クリックし、メニューから [ドメイン コントローラに接続] を選択する。
- リストから、「DC2008A.domain.jp」を選択し、[OK] をクリック。
- 「Active Directory ドメインと信頼関係」を右クリックし、メニューから [操作マスタ] を選択する。
- [操作マスタの変更] で、[変更] をクリック。メッセージが2回表示されるので、いずれも [OK] をクリックする。
- [操作マスタの変更] で、[閉じる] をクリック。
インフラストラクチャマスタ、PDCマスタ、RIDマスタの転送
- [スタート] - [プログラム] - [管理ツール] - [Active Directory ユーザーとコンピュータ] を選択する。
- 「Active Directory ユーザーとコンピュータ [DC2000A.domain.jp]」-「domain.jp」を右クリックし、メニューから[ドメイン コントローラに接続] を選択する。
- リストから「DC2008A.domain.jp」を選択し、[OK] をクリック。
- 「Active Directory ユーザーとコンピュータ [DC2000A.domain.jp]」を右クリックし、メニューから [操作マスタ] を選択する。
- [インフラストラクチャ] タブを選択し、[変更] をクリック。「操作マスタの役割を転送しますか?」のメッセージで、[はい] を選択。
続いて表示される「操作マスタの役割が正しく転送されました。] のメッセージでは、[OK] をクリックする。 - [PDC]、[RID] タブも同様に処理する。
Windows 2000 Server DCの降格
Windows 2000 Server DCの降格
この作業はDC2000A、DC2000Bで実行する。
- DC2000Aで [スタート] - [ファイル名を指定して実行] を選択。「dcpromo」と入力し、[OK] をクリック。
- 「Active Directory のインストール ウィザードの開始」で [次へ] 進む。
- 「このドメイン コントローラはグローバル カタログ サーバーです。……」のメッセージが表示されたら、[OK] をクリックする。
- 「Active Directory の削除」で [このサーバーはドメインの最後のドメイン コントローラです」のチェックがオフになっていることを確認し、[次へ] 進む。
- 「Administratorのパスワード」で、パスワードを入力し、[次へ] 進む。
- 「概要」が表示されるので、内容を確認し、「次へ] 進む。
「Active Directory を構成しています。…」と表示されるので、しばらく待つ。 - 「Active Directory のインストール ウィザードの完了」が表示されたら、[完了] をクリック。
- 「Active Directory のインストール ウィザードによって……」のメッセージが表示されたら、[再起動する] をクリック。
- 再起動後、2000Aをドメインメンバからも外し、ネットワーク上から撤去する。
- DC2000Bでも同様に処理し、DCから降格する。
DNSの移行
この作業はDC2000AとDC2000B、DC2008Aで行う。まず、Remote Server Administration Tools (RSAT) を入れてあるクライアントPCか、フルインストールしているWindows Server 2008にログインして作業する。
この作業は、本来不要なのかも……、うまく行かなかったので、追加した。
- DNS マネージャーを起動する。[スタート] - [管理ツール] - [DNS] とメニューを選択していく。
※ここでログインしているIDがサーバ管理者出ない場合、権限のあるアカウントで起動する必要があるので注意。 - [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
- [次のコンピューター] を選択し、[DC2000A] と入力し、[OK] する。
- [DC2000A] - [前方参照ゾーン] - [domain.jp] を右クリックし、[プロパティ] を選択する。
- [domain.jp のプロパティ] で [ネーム サーバ] と [ゾーンの転送] を確認し、DC2008Aに転送できるようにしておく。
(例) [ゾーンの転送] で [ネーム サーバー タブの一覧にあるサーバーのみ] とし、[ネーム サーバー] で一覧に "DC2008A.doamin.jp" を追加する。 - [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
- [次のコンピューター] を選択し、[DC2008A] と入力し、[OK] する。
- [DNS] - [DC2008A] - [前方参照ゾーン] を右クリック。[新しいゾーン] を選択しする。
- 「新しいゾーン ウィザードの開始」で [次へ] 進む。
- 「ゾーンの種類」で [セカンダリ ゾーン] を選択し、[次へ] 進む。
- 「ゾーン名」で "domain.jp" と入力し、[次へ] すすむ。
- 「マスター DNS サーバー」で "192.168.0.1" もしくは "DC2000A.domain.jp" と入力し、[次へ] 進む。
- 「新しいゾーン ウィザードの完了」で [完了] する。
- [DNS] - [DC2008A] - [前方参照ゾーン] - [domain.jp] を右クリック。[プロパティ] を選択しする。
- [全般] で [変更] をクリック。開いた画面で、[プライマリ ゾーン] を選択し、[OK] する。
- [domain.jp のプロパティ] で [OK] をクリック。
- 他にも管理しているゾーンがあれば、同様の処理を行う。
- [DNS] - [DC2008A] - [前方参照ゾーン] - [domain.jp] を右クリック。[プロパティ] を選択しする。
- [全般] で [変更] をクリック。開いた画面で、[Active Directory にゾーンを格納する] をチェックし、[OK] する。
- 「このゾーンを Active Directory 統合にしますか?」で [はい] を選択する。
- [動的更新] で "セキュリティ保護のみ" もしくは "非セキュリティ保護およびセキュリティ保護" にし、[OK] を押す。
- [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
- [次のコンピューター] を選択し、[DC2008B] と入力し、[OK] する。
- DC2000A、DC2000BのDNSの役割を削除する。
この作業は Windows コンポーネントの追加と削除で行う。
ドメイン、フォレストの機能レベル変更 (DC2008A)
この作業は、DC2008Aで行う。Core Installの状態なので、他のPC (ホストPC) に Remote Server Administration Tools(以下RSAT)をインストールし、そちらから設定する。
RSATの設定は済んでいるものとして説明する。
ドメインの機能レベル変更
- ホストPCで [Active Directory ユーザーとコンピュータ] を起動する。Windows 7の場合、[スタート] - [すべてのプログラム] - [管理ツール] - [Active Directory ユーザーとコンピューター] と選択していく。
- 「Active Directory ユーザーとコンピューター [xxxx]」で、xxxxの部分が「DC2008A.domain.jp」でなければ、DC2008A.domain.jpに接続する。
右クリックし、メニューから [ドメイン コントローラの変更] を選択。リストから「DC2008A.domain.jp」を選択し、[OK] を押す。 - 「Active Directory ユーザーとコンピューター [DC2008A.domain.jp]」 - 「domain.jp」を右クリックし、メニューから [ドメインの機能レベルの昇格] を選択。
- リストから [Windows Server 2008 R2] を選択し、[上げる] をクリック。2回メッセージが表示されるので、どちらも [OK] をクリックする。
- もう一度、「Active Directory ユーザーとコンピューター [DC2008A.domain.jp]」 - 「domain.jp」を右クリックし、メニューから [ドメインの機能レベルの昇格] を選択する。ここで、ドメインの機能レベルが「Windows Server 2008 R2」になっていることを確認し、[閉じる]。
フォレストの機能レベル変更
- ホストPCで [Active Directory ドメインと信頼関係] を起動する。Windows 7の場合、[スタート] - [すべてのプログラム] - [管理ツール] - [Active Directory ドメインと信頼関係] と選択していく。
- 「Active Directory ドメインと信頼関係[xxxx]」で、xxxxの部分が「DC2008A.domain.jp」でなければ、DC2008A.domain.jpに接続する。
右クリックし、メニューから [ドメイン コントローラの変更] を選択。リストから「DC2008A.domain.jp」を選択し、[OK] を押す。 - 「Active Directory ドメインと信頼関係[DC2008A.domain.jp]」で右クリック、メニューから「フォレストの機能レベルの昇格」を選択。
- リストから [Windows Server 2008 R2] を選択し、[上げる] をクリック。2回メッセージが表示されるので、どちらも [OK] をクリックする。
- もう一度、「Active Directory ドメインと信頼関係[DC2008A.domain.jp]」で右クリック、メニューから「フォレストの機能レベルの昇格」を選択。ここで、フォレストの機能レベルが「Windows Server 2008 R2」になっていることを確認し、[OK] を押す。
SYSVOL複製方式の変更
この作業は、DC2008Aで行う。
- コマンドプロンプトで "dfsrmig /GetGlobalState" を実行し、現在の状態を確認する。次のように表示される。
DFSR 移行がまだ初期化されていません。移行を開始するには、グローバル状態を目的の値に設定してください。 - コマンドプロンプトで "dfsrmig /SetGlobalState 0" を実行し、DSFR移行のグローバル状態を「開始」にする。次のように表示される。
DFSR の現在のグローバル状態: '開始'
新しい DFSR のグローバル状態: '開始'
無効な状態変更が要求されました。 - コマンドプロンプトで "dfsrmig /GetGlobalState" を実行し、再び、現在の状態を確認する。次のように表示される。
DFSR の現在グローバル状態: '開始'
成功しました。 - コマンドプロンプトで "dfsrmig /GetMigrationState" を実行し、グローバル状態が「開始」になっていることを確認する。次のように表示される。
すべてのドメイン コントローラーがグローバル状態 '開始' に移行しました。
移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
成功しました。 - コマンドプロンプトで "dfsrmig /SetGlobalState 1" を実行し、DFSR移行のグローバル状態を「準備完了」にする。次のように表示される。
DFSR の現在のグローバル状態: '開始'
新しい DSFR のグローバル状態: '準備完了'
'準備完了' 状態に移行します。DFSR サービスによって SYSVOL が SYSVOL_DFSR フォルダーにコピーされます。
いずれかの DC で移行を開始できない場合は、手動ポーリングを試行してください。
または、/CreateGlobalObjects オプションを指定して実行してください。
移行は 15 分から 1 時間までの任意の時点で開始できます。
成功しました。 - DFS Replicationのイベントログを確認する。イベントID 8010 (移行準備開始)、8014 (移行準備完了) が記録されていることを確認する。
これには少し時間がかかるので記録されるまで待つ。 - コマンドプロンプトで "dfsrmig /GetMigrationState" を実行し、グローバル状態が「準備完了」になっていることを確認する。次のように表示される。
すべてのドメイン コントローラーがグローバル状態 '準備完了' に移行しました。
移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
成功しました。 - コマンドプロンプトで "dfsrmig /SetGlobalState 2" を実行し、DFSR移行のグローバル状態を「リダイレクト済み」に設定する。次のように表示される。
DFSR の現在のグローバル状態: '準備完了'
新しい DFSR のグローバル状態: 'リダイレクト済み'
'リダイレクト済み' 状態に移行します。SYSVOL 共有が、 DFSR を使用してレプリケートされた SYSVOL_DFSR フォルダーに変更されます。
成功しました。 - 再びイベントログでID: 8015 (リダイレクト処理開始)、8017 (リダイレクト処理完了) が記録されていることを確認する。これも少し時間がかかる。
- コマンドプロンプトで "dfsrmig /SetGlobalState 3" を実行し、DFSRのグローバル状態を「削除済み」にする。次のように表示される。
DFSR の現在のグローバル状態: 'リダイレクト済み'
新しい DFSR のグローバル状態: '削除済み'
'削除済み' 状態に移行します。このステップを元に戻すことはできません。
いずれかの RODC が長時間にわたって '削除済み' 状態になっている場合は、/DeleteRoNtfrsMembers オプションを指定して実行してください。
成功しました。 - もう一度イベントログを確認する。ID 8018 (削除済み開始)と8019 (削除済みリダイレクト処理完了) が記録されていることを確認する。これも少し時間がかかる。
- コマンドプロンプトで "dfsrmig /GetMigrationState" で、グローバル状態が「削除済み」になっていることを確認する。次のように表示される。
すべてのドメイン コントローラーがグローバル状態 '削除済み' に移行しました。
移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
成功しました。
画面のロック解除時に、「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。」と表示され、ロック解除ができない
【症状】
Active Directory ドメインに参加しているWindows 7クライアントを使用している。画面ロックした後、ロック解除時に、「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。」と表示され、ロック解除ができなくなる。
【環境】
Active Directory | Windows 2000ドメイン |
クライアントPCのOS | Windows 7 Enterprise (x64、x86) |
【原因】
どうやらセキュア チャンネルの破損らしい。
クライアントPCの管理者として
> nltest /SC_VERIFY:<ドメイン名>
とすると、
フラグ: 80 信頼された DC 名 信頼された DC 接続状態 Status = 5 0x5 ERROR_ACCESS_DENIED 信頼の確認 Status = 5 0x5 ERROR_ACCESS_DENIED コマンドは正常に完了しました
となる。また、ドメイン コントローラで
> netdom verify <クライアントPC名> domain:<ドメイン名>
とすると、
ログオン エラー: 対象のアカウント名は間違っています。 The command failed to complete successfully.
となる。
正常な場合、nltestは
フラグ: b0 HAS_IP HAS_TIMESERV 信頼された DC 名 <DC名> 信頼された DC 接続状態 Status = 0 0x0 NERR_Success 信頼の確認 Status = 0 0x0 NERR_Success コマンドは正常に完了しました
となり、netdomは
The secure channel from <クライアントPC名> to the domain <ドメイン名> has been verified. The connection is with the machine <DC名> The command completed successfully.
となる。
詳しくは、ドメインにログオンできない ~ セキュア チャネルの破損 ~ – Ask the Network & AD Support Teamに書いてある。
【解決方法】
クライアントPCから次の作業を行う。
Windows Server 2008 R2 Standard のCoreインストール
構成
OS | Windows Server 2008 R2 Standard (Coreインストール) |
PC | Dell PowerEdge 830 (RAM: 2.5GB) |
機能 | ドメインコントローラ (FSMO) DNS (プライマリ) WINS 共有ファイルサーバ (DFS) |
インストール
とにかくインストール。OSのエディションを選択するところ以外、特に悩むことはない。
セットアップ
(2011.3.10追記) 下にいろいろ書いたが、R2からは "sconfig.cmd" という初期構成を設定できるプログラムが導入されている。CUIながら、ある程度は簡単に管理できるようだ。
コンピュータ名の変更
> netdom renamecomputer <現在のコンピュータ名> /NewName:<新しいコンピュータ名>
ネットワーク設定
次のように設定する。
IPアドレス | 192.168.0.1 |
サブネットマスク | 255.255.255.0 |
DNS | 192.168.0.17、192.168.0.18 |
ゲートウェイ | 192.168.0.254 |
1. 次のコマンドで設定するLANアダプタのインデックス (Idx) を確認。
> netsh interface ipv4 show interface
2. 次のコマンドでIPアドレス、サブネットマスク、デフォルトゲートウエイを設定。
> netsh interface ipv4 set address name="<Idx>" source=static address=<IPアドレス> mask=<サブネットマスク> gateway=<デフォルトゲートウエイ>
3. 次のコマンドでDNSサーバを設定。最初の登録はDNSインデックスを1に、2代目以降は1ずつ増やしていく。
> netsh interface ipv4 add dnsserver name="<Idx>" address=<DNSサーバアドレス> index=<DNSインデックス>
サーバ管理ツールRSATの準備
Windows Server 2008/R2を管理するため、サーバ管理ツール Remote Server Administration Tools (RSAT) を準備する。
まずは、Server Coreのファイアウォームがリモート管理関連通信をブロックしているので、解除する必要がある。
> netsh advfirewall set currentprofile settings remotemanagement enable
なお、禁止するには最後の「enable」を「disable」にする。セキュリティ上は禁止状態に戻す方が良い。
> netsh advfirewall set currentprofile settings remotemanagement disable
次の場所からダウンロードし、インストールを行う。
インストールした後、管理対象の機能を選択する。コントロールパネルを開き、[プログラム] - [プログラムと機能] と進む。Windows 7の場合は、左側に [Windows の機能の有効化または無効化] をクリック、Vistaは……知りません。
表示された一覧に [リモートサーバー管理ツール] の中から管理したいものを選択し、[OK] を押す。
リモートデスクトップの許可
何かと不便なので、リモートデスクトップを許可する。
> cscript %windir%system32\SCRegEdit.wsf /ar 0
無効にする場合は、最後の0を1にすれば良い。
> cscript %windir%system32\SCRegEdit.wsf /ar 1 <|| アクセスできない場合がある。この時は、エクスプローラから "\\servername" とするとか、コマンドプロンプトで >|dos| > net use * \\<サーバ名>\c$ /u:<ユーザ名>
とかするなりして、一度認証しておくとアクセスできるようになる。
Active Directoryへの参加
> netdom join <コンピュータ名> /domain:<ドメイン名> /userd:<ドメイン名>\<ドメイン参加権のあるユーザ名> /passwordd:*
Active Directoryからの離脱
> netdom remove
ページファイルの設定
今回、必要かどうかは不明だが、余っているHDDをページファイル専用として用意した。
C: | 400MB |
P: | 16,384MB |
まず、次のコマンドでシステム ページファイル 管理を無効にする。name=の後は "" を忘れないように……。
> wmic computersystem where name="%computername%" set AutomaticManagedPagefile=False
次のコマンドでC:ドライブのページファイルを400Mに変更する。
> wmic pagefileset set InitialSize=400, MaximumSize=400, Name="C:\\pagefile.sys"
次のコマンドでP:ドライブのページファイルを作成する。
> wmic pagefileset create InitialSize=16384,MaximumSize=16384, Name="P:\\pagefile.sys"
分散ファイルシステムのセットアップ
- 次のコマンドで分散ファイルシステム名前空間サーバ (DFSN-Server) をインストール。
"dism /online /enable-feature /featurename:DFSN-Server" - 次のコマンドで分散ファイルシステムレプリケーションをインストール。
"dism /online /enable-feature /featurename:DFSR-Infrastructure-ServerEdition" - 管理ツールから [DFS の管理] を起動する。
- [DFS の管理] を右クリックし、[新しい名前空間] を選択する。
- 「名前空間サーバー」でサーバ名を入れ、[次へ] 進む。
- 「名前空間の名前と設定」で名前空間の名前を入れ、[次へ] 進む。
※必要なら [設定の編集] で共有フォルダのパスやアクセス権を設定する。
※共有フォルダのパスが既に存在すると、エラーとなるので無い状態にする。 - 「名前空間の名前と設定」で [次へ] 進む。
- 「名前空間の種類」で名前空間の種類を選択し、[次へ] 進む。今回は、[ドメイン ベースの名前空間] を選択した。
- 「設定の確認と名前空間の作成」で設定内容を確認し、[作成] する。
Hyper-Vのセットアップ
Dell PowerEdge 830のBMC利用
BIOS/IPMI設定
起動画面の途中で [F2] を押すとBIOS設定画面に、[Ctl]+Eを押すと [IPMI Server Management Configuration Utility] に移動できる。
IPMI Server Management Configuration Utility
IPMI Over LAN | On |
IPMI LAN Channel | ネットワークに合わせて設定 |
User Configuration | アカウント名、パスワードを設定 |
Host Name String | ホスト名を設定 |
管理で使用するPCの準備
利用方法
- コマンドプロンプトを起動する。
- OpenManage Management Stationのインストール先にある "bmc" ディレクトリへ移動する。デフォルトでは "C:\Program Files\Dell\SysMgt\bmc"
- 書式は "ipmish -ip xxx.xxx.xxx.xxx -u useracount -p password command" となる。
xxx.xxx.xxx.xxxはIPMIに設定したIPアドレス、useracount、passwordもIPMIに設定したもの。commandは次のようなものがある。詳細は "ipmish -help" で確認できる。
command | 内容 |
identify | フロントパネルのLEDを制御する identify on - LED点灯 identify off - LED消灯 |
power | 電源を制御する。 power status - 電源の状態を表示 power on - 電源ON power off - 電源OFF命令を発行 (電源オフするかどうかは状況次第) power cycle - 電源をOFFした後、ONする power reset - システムリセットを出す |
sysinfo | システム情報を取得する。 sysinfo fru - FRU関連情報 sysinfo, sysinfo id - BMC関連情報 |