いんちきTech

去年の夏に電気代のエントリーをあげた時は、記録のため毎月うｐしようと思ってたんですが、1回きりですっかりわすれてしまっていました。

というわけで2010年2月分の電気料金

\14,497 -

15k 切った！ヽ(´ー｀)ノ 冬サイコー！

自分自身が所属するActive Directory セキュリティ グループを取得する VBScript 関数のメモ。

戻り値は配列になります。

これだとプライマリ グループが拾えないが、その辺はMSの KB321360 ネイティブな ADSI コンポーネントを使用してプライマリ グループを取得する方法 あたりでできそうなので後で実装する予定。

あと、多分これでは外部フォレスト (フォレスト信頼済み) のセキュリティ グループは拾えないと思うので、そこをどうするかが課題。だれか教えてください。(´・ω・`)

2010/7/26 追記

5か月越しの追記もどうかと思いますが、信頼済みの外部フォレストのセキュリティ グループは普通に拾えました。

Function GetSecGroupName()
 Dim oADSI, oUser, oGroup
 Dim aGroups, aGroupNames
 Dim sGroup

 Set oADSI = CreateObject("ADSystemInfo")
 Set oUser = GetObject("LDAP://" & oADSI.UserName)

 Select Case TypeName(oUser.MemberOf)
   Case "Variant()"
     aGroups = oUser.MemberOf
   Case "String"
     aGroups = Array(oUser.MemberOf)
   Case Else
     aGroups = Array(Empty)
 End Select

 ReDim aGroupNames(Ubound(aGroups))
 i = 0

 For Each sGroup In aGroups
   If Len(sGroup) > 0 Then
     Set oGroup = GetObject("LDAP://" & sGroup)
     aGroupNames(i) = UCase(oGroup.CN)
   End If
   i = i + 1
 Next

 GetSecGroupName = aGroupNames

 Set oADSI = Nothing
 Set oUser = Nothing
 Set oGroup = Nothing
End Function

NTP構成のエントリーを書いていて思い出した。

今回の一連の作業で、ドメイン コントローラー(以下ドメコン)を Hyper-V 上の仮想マシンとして構成しましたが、この時に注意しなければいけないことが何点かあるので、取り急ぎ書いておきます。

特に親パーティションOS (以下ホストOS) を、そのホストOS上の仮想ドメコンに構成されたドメインに参加しているような場合 (解り辛い ＞＜) は特に注意が必要です。

1. 親パーティション (ホストOS) との時刻同期を無効化

これはドメコンに限らず、ドメイン環境の仮想マシン全てに該当しますが、ドメイン環境の時刻同期は通常ドメコンが担当します。ホストOSとの時刻同期を有効にしていると、ホストOSの時刻が狂っていた場合に、ドメコンとホストOSで時刻の同期合戦が始まってしまいます。

2.「状態の保存」や「スナップショット」はご法度

仮想ドメコンが動いているホストOSをシャットダウンした際などに、仮想マシンの設定「自動停止アクション」が「仮想マシンの状態を保存する」になっていると、保存から復帰した際などにAD DSに悪影響 (時に致命的な) を与えることがあります。

また、原理的にスナップショットも似たような動作をするため、ドメコンのスナップショットを撮るのはご法度と考えておくべきです。

構成時の留意点として、仮想マシンの設定にある「自動停止アクション」では、「ゲスト オペレーティング システムをシャットダウンする」を選択するのが無難です。

そうすると、ホストOSを起動した時に仮想ドメコンを手動で起動しないといけなくなるため、「自動開始アクション」で「常にこの仮想マシンを自動的に起動する」を選択しておくのがいいでしょう。

3. 他の仮想マシンが同居している場合、遅延起動を設定する

仮想ドメコンと、そのメンバーサーバーである他の仮想マシンが同居していて、かつ自動起動が設定されている場合は、「自動起動待ち時間」を設定しておきます。

ドメコンよりもメンバーサーバーが先に起動してしまうと色々面倒が起りやすいので、なるべくドメコンが一番最初に起動するようにしておきます。

うーん、まだ何かあったような気がしますが思い出せない……

思い出したら追記します。

ちなみに一部は↓を参考にしています。

世界のブログから – 「ドメイン コントローラーどうしよう」

通常ドメインのメンバー サーバーはドメイン コントローラー(以下ドメコン)、もっと具体的に言うと PDC エミュレーターの役割をもつドメコンに時刻を問い合わせて自身の時刻を修正します。

となると、問い合わせを受ける側のドメコンはどこかから正しい時刻を仕入れてこないと、結果的にドメイン全体の時刻が正確ではなくなってしまいます。

お金のある企業は原子時計などを導入するんでしょうが、中小企業や、ましてや個人の検証環境なんぞでそんな高価なものはおいそれと導入できないので、手っ取り早く外部のNTPサーバーから時刻を貰ってくることになるでしょう。

ドメイン環境では「日付と時刻の設定の変更」ダイアログからはNTPの設定ができないのはご存じのとおり。今まで私は律儀にレジストリを変更して対応していましたが、なんか w32tm コマンドで簡単に設定できるらしいですね。

ということを最近知って試してみたのでメモを残しておきます。

って前置き長いにもほどがあるだろJK。

さて、ようやく手順に進みます。まずはドメコンにログオンしましょう。

今回タイムソースには「ntp.nict.jp」を使用することにします。そして、ファイアーウォールで UDP 123 のインバウンド側に穴を空けておきます。メンバー サーバー以外にもNTPで時刻を提供する場合は、アウトバウンド側も空けましょう。

おもむろにコマンドプロンプトを起動して、以下のコマンドを入力します。

w32tm /stripchart /computer:ntp.nict.jp /samples:5 /dataonly

するとこんな感じで出力され、ピア (ntp.nict.jp) が有効なNTPサーバーであることが確認できます。

ntp.nict.jp [133.243.238.163:123] を追跡中。
5 サンプルを収集中。
現在の時刻は 2010/01/16 1:32:37 です。
01:32:37, +00.3587447s
01:32:39, +00.3465845s
01:32:41, +00.3485253s
01:32:43, +00.3710215s
01:32:45, +00.3665278s

確認ができたら本番コマンドいきます。

w32tm /config /manualpeerlist:ntp.nict.jp /syncfromflags:manual /reliable:yes /update

これで、ドメコンの W32Time の設定として、NTPを使用して外部タイムソースから時刻を貰ってくるようになります。

レジストリ直接編集と比べてすごく楽チン。最近まで知らなかったのが悔やまれる。(´・ω・`)

ちなみに、タイムソースにドメイン内の別のドメコンとかを指定してしまうと、時刻調整が輻輳してしまうので、必ず外部ソースを指定するようにしましょう。

で、ここまで書いてきた内容は↓の受け売りですので、詳細はこちらを見てください。

Windows タイム サービスを構成する (Microsoft TechNet – Windows Server TechCenter)

先日はドメイン コントローラ、というか AD DS の構築で何本かエントリーをあげましたが、今後不定期で、その他の細かい設定についても (気が向いたら) 書いていきたいと思います。

その第一弾として、Server Core 環境での電源オプション設定です。

つーか Server Core って GUI が無い分、細かい設定をおろそかにしがちですよね。電源オプションも、今日まで設定を忘れてましたｗ

さて話を戻しますが、Server Core に限らず、電源オプションの設定をコマンド上から操作するには、「Powercfg.exe」を使用します。

詳しい使い方はヘルプを見てもらうとして、

powercfg /?

基本的に各オプションを駆使して地道に設定していけば、いかようにも設定可能なのです。が、今回はなるべく簡単に設定していくというコンセプトです。

基本的な手順は以下。

1. クライアントOS 上で電源オプションの設定をする
2. クライアントOS で設定した内容をファイルにエクスポート
3. エクスポートしたファイルを Server Core にコピー
4. コピーしたファイルを Server Core 上でインポート

というわけで、クライアントOS (Vista または 7) のコントロールパネルから「電源オプション」を起動します。見つからない場合は、スタートメニューやコンパネの検索ボックスに「電源」とでも入れれば出てきます。

設定内容は好きなように設定してください。クライアントOS 上の現在の設定を変えるのが嫌な場合は、「電源プランの作成」で新しいプランを作り、そこで設定して後で戻せばおｋです。

設定が終わったら、その設定をファイルにエクスポートします。XP (2003) の時は、GUI 上でエクスポートというかファイルに保存できましたが、Win7 上では GUI が見つからなかったので、コマンドからエクスポートします。(もし GUI があるようならそこからやればいいと思う)

とその前に、変更した電源プランの GUID を確認します。

powercfg –l

とすると、存在する電源プランの一覧が表示され、そこで GUID が確認できます。

電源設定の GUID: 381b4222-f694-41f0-9685-ff5bb260df2e  (バランス) *
電源設定の GUID: 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c  (高パフォーマンス)
電源設定の GUID: a1841308-3541-4fab-bc81-f71556f20b4a  (省電力)

ちなみに「*」がついているのが現在アクティブなプランです。

ではエクスポートしましょう。

powercfg –export <ファイル名> <GUID>

拡張子は「.pow」です。上記「バランス」プランをエクスポートする例だと、

powercfg –export inchiki.pow 381b4222-f694-41f0-9685-ff5bb260df2e

とすれば、ファイルが出来上がります。ファイル名はお好きなように。出来上がったファイルは、Server Core 上にコピーしておきましょう。

インポートは Server Core のコンソールで、以下のように入力します。

powercfg –import <ファイル名>

ファイル名にはもちろん先ほどコピーしてきたファイルのパスを指定します。GUID を指定することもできますが、省略すれば勝手に生成しますので、特に入力の必要はありません。

一応これで電源オプションの設定はインポートされましたが、内容を確認するには、

powercfg –q

と入力します。沢山出てきますので、ファイルにリダイレクトするなり、more オプションつけるなりで内容を確認してください。

電源設定の GUID: 381b4222-f694-41f0-9685-ff5bb260df2e  (バランス)
サブグループの GUID: fea3413e-7e05-4911-9a71-700331f1c294  (どのサブグループにも属さない設定)
電源設定の GUID: 0e796bdb-100d-47d6-a2d5-f7d2daa51f51  (復帰時のパスワードを必要とする)
利用可能な設定のインデックス: 000
利用可能な設定のフレンドリ名: いいえ
利用可能な設定のインデックス: 001
利用可能な設定のフレンドリ名: はい
現在の AC 電源設定のインデックス: 0×00000001
現在の DC 電源設定のインデックス: 0×00000001

サブグループの GUID: 0012ee47-9041-4b5d-9b77-535fba8b1442  (ハード ディスク)
電源設定の GUID: 6738e2c4-e8a5-4a42-b16a-e040e769756e  (次の時間が経過後ハード ディスクの電源を切る)
利用可能な設定の最小値: 0×00000000
利用可能な設定の最大値: 0xffffffff
利用可能な設定の増分: 0×00000001
利用可能な設定の単位: 秒
現在の AC 電源設定のインデックス: 0×00000000
現在の DC 電源設定のインデックス: 0×00000000

(中略)

電源設定の GUID: d8742dcb-3e6a-4b3c-b3fe-374623cdcf06  (バッテリ低下の操作)
利用可能な設定のインデックス: 000
利用可能な設定のフレンドリ名: 何もしない
利用可能な設定のインデックス: 001
利用可能な設定のフレンドリ名: スリープ
利用可能な設定のインデックス: 002
利用可能な設定のフレンドリ名: 休止状態
利用可能な設定のインデックス: 003
利用可能な設定のフレンドリ名: シャットダウン
現在の AC 電源設定のインデックス: 0×00000000
現在の DC 電源設定のインデックス: 0×00000000

電源設定の GUID: f3c5027d-cd16-4930-aa6b-90db844a8f00  (省電源移行バッテリ レベル)
利用可能な設定の最小値: 0×00000000
利用可能な設定の最大値: 0×00000064
利用可能な設定の増分: 0×00000001
利用可能な設定の単位: %
現在の AC 電源設定のインデックス: 0×00000007
現在の DC 電源設定のインデックス: 0×00000007

お世辞にも見やすいとはいえませんが、一応確認はできると思います。

以上で設定完了！

めでたく DC#1 が DC として復活し、レプリケーションも一通り完了したので、最初に移動させた操作マスターを元に戻します。手順は WS2008 R2 ドメインコントローラ移行 作業メモ：操作マスタの転送 の時と一緒です。

一応おさらいしておきましょう。インターフェイス別の操作マスター一覧です。

Acticve Directory ユーザーとコンピューター

• RIDマスター
• PDCエミュレーター
• インフラストラクチャ マスタ－

Active Directory ドメインと信頼関係

• ドメイン名前付けマスター

Active Directory スキーマ

• スキーマ マスター

これで DC#1 側のは移行はほぼ完了。あとは、DHCP サーバーその他、DC にあった方がいい役割なんかを適当にインスコすれば完全復活。

あとは DC#2 側で全く同じ作業をすれば、両方のドメイン コントローラで WS2008 R2 ＆ 仮想サーバー化が完了します。

という訳で、関連のエントリーはこれでひとまず終了です。ありがとうございました。

最後にあまり関係ないけど、、、

以前のエントリーと比べ、「操作マスタ」「操作マスター」と微妙に表記が違いますが、ご存じのとおり、マイクロソフト製品ならびにサービスにおける外来語カタカナ用語末尾の長音表記の変更について にて変更になっています。

なるべく画面上の表記に合わせる＆どの OS の話をしているかによって使い分けました。まぁこれに関しては色々言いたい方も多いかと思いますが、MS信者なもので、MSのポリシーに従う形で書いています。読みにくくてすみませんが、ご了承くださいませ。

Server Core 側の設定が終わったら、新規の DC#1 の仮想マシンを作ります。WS2008 R2 になって、Hyper-V のバージョンも 2.0 に上がっていますが、仮想マシンの作成方法には何ら変わりはありません。淡々と作成します。(手順は省略)

マシン作成後、WS2008 R2 をインスコ (今回は DataCenter エディション) し、各種初期設定やアップデートなどを終わらせます。

初期設定が終わったら、早速 DC に昇格させてしまいます。基本的な手順は WS2008 の時と全く変わらないので、詳しい手順は過去のエントリー Windows Server 2008 ドメイン コントローラの構築 その１ を参照してください。

ただし、今回は既存ドメインへの DC 追加という形になるので、設定が変わる部分からスクリーンショットを貼っていきます。具体的には、dcpromo ウィザードのフォレスト選択部分からです。

ではいきます。

ウィザードの「展開の構成の選択」画面で、「既存のフォレスト」と「既存のドメインにドメイン コントローラを追加する」をチェックして次へ進みます。

「ネットワーク資格情報」画面で、参加するドメイン名を入力します。

「設定」ボタンをクリックし、ドメイン管理者の資格情報を入力します。入力が終わったら次へ。

ドメインが表示されます。該当のドメインを選択して次へ進みます。今回は1つしかドメインがないので、そのまま次へ。

サイトを選択します。これも1つしかないので、そのまま次へ。

追加のオプションを選択します。最終的には操作マスタを持ったメインDC になってもらう予定なので、DNS と GC にチェックし、RODC はチェックを外して次へ。

DNSサーバーの役割がインストールされていないので、こんなダイアログが表示されます。とりあえず「はい」で進みます。

インストール方法を選択します。今回は DC#2 側からレプリケートしてもらう方法を採ります。

「ソース ドメイン コントローラー」では、レプリケート元の DC を指定することができます。今回の場合、ソースとなりうる DC は 1台しかないので、そのまま次へ進みます。

この後は、WS2008 の場合と同じなので、必要なら Windows Server 2008 ドメイン コントローラの構築 その２ で続きを見てください。

2010/01/16 追記

WS2008 R2 構築メモ：ドメイン コントローラーを仮想マシンで構成する時の注意 も併せてご覧ください。

ワリと重要だったりします。

さて、サーバー マネージャーが使えるようになっても、そこから役割の追加などは出来ないっぽい(ホントかな？)ので、コマンドで追加する必要がある。まず入れないといけないのは Hyper-V ということで、Hyper-V の役割を追加するには、以下のコマンドを入力。

start /w ocsetup Microsoft-Hyper-V

再起動を求められるので素直に従い、立ち上がってきたら net start コマンドで、以下のサービスが起動しているか確認する。

• Hyper-V Image Management Service
• Hyper-V Networking Management Service
• Hyper-V Virtual Machine Management

とりあえずこれでインストールはおｋ。

どこかから Hyper-V マネージャを起動して、この Server Core に接続し、操作が可能になっていればインストール完了。

HWの交換を一部済ませて (*) WS2008 R2 をインストール。DataCenter エディションの Server Core でインストールしました。インストール方法は WS2008 と何ら変わりありません。

そして初期設定。これまで Server Core だと初期設定が非常に面倒だったんですが、WS2008 R2 では、「sconfig.cmd」というスクリプトが用意されていて、メニュー形式で初期設定を進めていくことが可能になっています。

これ超絶便利ですね。特に Windows Update がメニューからできることと、ネットワーク設定まわりで netsh の長いコマンドを何度も打ち込まなくてもいいのが素晴らしい。

というわけで、基本的な初期設定はここからほとんどできるので省略。

何はともあれ、コマンドのみというのは後々きついので、GUI操作、つまりサーバー マネージャーを使えるようにします。

sconfig の メニュー[3] ローカル管理者の追加 で、Server Core 側の Administrators グループにクライアント側のユーザーを登録します。

次にメニュー[4] リモート管理の構成 から、「[3] サーバー マネージャーのリモート管理を許可する」を選択します。(先に [2] の PowerShell を有効にしておく必要があります。)

クライアントに RSAT をインストールしておけば、サーバー マネージャーを起動し、そこから Server Core に接続すれば色々な操作ができるようになると思います。

追加で以下のコマンドを実行しておけば、ディスクの管理もGUIでできて楽ちん。

Server Core 側 (一行で)

netsh advfirewall firewall set rule group="リモート ボリューム管理"
new enable=yes net start vds

クライアント側

netsh advfirewall firewall set rule group="リモート ボリューム管理" new enable=yes

あとは必要に応じてファイアウォールに穴を空けたり、必要な役割を追加すればおｋ。今回については、Hyper-Vの親パーティションだけできればいいのでここまで。

※ハードウェア追加

HDDの増設は終わったけど、NICの追加がうまくいかない。鯖マシンは ML115 G1 なのですが、Intel Pro/1000 CT を PCI-e の x16 に挿しても x8 に挿しても、POST は終わるけどその先に行かない。BIOS にも入れない。ググってもほとんど事例がないので、とりあえずは諦め。後日チャレンジするかもしれない。

＃前回のエントリー後、一休みしてたら、本格的に(8時間)眠ってしまった。

さてDC#1がほぼ完全にセカンダリ状態になったので、ドメインコントローラから降格させて、かつドメインから離脱させます。

降格前に、最終確認として操作マスタの状態を再確認します。前回のエントリーの手順にあったダイアログをそれぞれ表示して確認してもいいけど、DSQUERY コマンドでエレガントに確認していきたいと思いますよ。

基本的な構文は

dsquery server –hasfsmo [種類]

です。というわけで、

スキーマ マスタ

dsquery server –hasfsmo schema

ドメイン名前付けマスタ

dsquery server –hasfsmo name

インフラストラクチャ マスタ

dsquery server –hasfsmo infr

PDC エミュレータ

dsquery server –hasfsmo pdc

RID マスタ

dsquery server –hasfsmo rid

それぞれ結果として

“CN=[コンピュータ名],CN=Servers,CN=[サイト名],CN=Sites,CN=Configuration,DC=[ドメイン名],DC=[ドメイン名]“

てな感じで出てくるので、最初の CN でどの DC が操作マスタを担っているのかがわかります。

と、ここまで書いておいてなんですが、実は「netdom」コマンドでも確認できます。というかそっちのほうが簡単だし見やすいです。

netdom query fsmo

これで、↓のような感じで表示されます。

>netdom query fsmo
スキーマ マスタ                xxx.xxxxx.jp
ドメイン名前付けマスタ        xxx.xxxxx.jp
PDC                         xxx.xxxxx.jp
RID プール マネージャ        xxx.xxxxx.jp
インフラストラクチャ マスタ    xxx.xxxxx.jp
コマンドは正しく完了しました。

どちらでもお好きなように。

さて、確認も終わったところで DC を降格させます。DC の降格は、昇格時と同様に 「dcpromo.exe」を実行します。実行すると、ウィザードが開始されます。

降格させる DC が グローバル カタログ (GC) サーバーの場合、こんなダイアログが表示されます。今回は DC#2 側も GC なので問題なし。

DC で「dcpromo.exe」を実行した場合、ここからウィザードの形式が変わります。

ドメインの削除という画面で、「このサーバーはドメインの最後のドメイン コントローラなので、ドメインを削除する」というチェックボックスがあります。今回は DC#2 が残っていますのdえ、チェックをオフにした状態で次へ進みます。

DNS 委任の削除をどうするか聞かれます。AD DS で管理している DNSドメイン名以外のドメインを管理している場合、それをどうするかということですが、どうせこのサーバーは取潰すのでどちらでもおｋ。今回は試しにチェックを入れて進みます。

認証ダイアログが表示されます。

降格後のローカル管理者のパスワードを入力します。

確認画面が表示されます。必要な場合は、ここまでの設定をエクスポートすることも可能です。

処理がはじまります。「完了時に再起動する」というオプションがあるので、適宜操作します。今回はどうせ再起動するので、オンにしておきます。

上記の DNS 委任の削除でチェックをオンにしていたことで、委任がうまく削除できなかった旨の表示が出ましたが、気にしないことにします。処理が終わると再起動が始まります。

再起動が完了したら、DC#2 側でドメインコントローラの状態を確認します。「Active Directory ユーザーとコンピュータ」からドメインを展開し、「Domain Controllers」の中から DC#1 側が消えていれば DCの降格は完了。

次に、ドメインからも離脱させてしまいます。システムのプロパティからやってもいいですが、今回は何となくコマンドからやってみたいと思います。(決してスクリーンショット撮るのが面倒という訳ではない！絶対にない！)

netdom コマンドを使うわけですが、構文はこんな感じ。

netdom remove コンピュータ名 /Domain:ドメイン名 [/UserD:ユーザー名] [/PasswordD:[パスワード | *]] [/UserO:ユーザー名] [/PasswordO:[パスワード | *]] [/REBoot[:秒数]]

というわけで↓な感じで入力。(例の値は適当に変えて書きました。) /REBoot オプションによって、コマンド入力後5秒後に再起動シーケンスが走ります。

netdom remove DC#1 /Domain:xxxxx.jp /UserD:admin /PasswordD:* /REBoot:5

再起動完了すると、ドメイン離脱完了です。ドメイン内の「Computers」から DC#1側サーバが消えているのが確認できればおｋです。