Windows はドメインコントローラに昇格すると自動的に NTP サーバとなります。
そして、ワークグループ端末はドメイン参加時(DCへ昇格する場合も)に自動的にドメインコントローラと同期するようになります(第 2 回で紹介している Type レジストリ値が NT5DSになる)。
ちなみに事前にデフォルト以外の同期先設定を行っている場合は Type = Allsyc (NT5DS + NTP)となります。

NTP サーバとしては下記レジストリ値 Enabled = 1 の場合に NTP サーバとなります。
------------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
名前: Enabled
種類: REG_DWORD
データ: 1
------------------------------------------------------------------------------------

上位に同期先がある中間の NTP サーバとして設定する場合や、ワークグループ環境を　NTP サーバとする場合は AnnounceFlags = 5 も設定変更します。
--------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
名前: AnnounceFlags
種類: REG_DWORD
データ: 5
--------------------------------------------------------------------
値には次の設定が利用できます。
デフォルトの 10 は 2 + 8 を示しており、動作は自動的に決まります。
5 = 1 + 4 であり、常に権原のある NTP サーバとなります。
-----
0 時刻サーバとして公開しない
1 時刻サーバとして公開する
→外部と同期していないと同期できない
2 他のマシンとの兼ね合いで、時刻サーバとなるか決定される
4 権限があるサーバとして公開される
8 他のマシンとの兼ね合いで、権限があるサーバとなるか決定される
-----
1 は NTPサーバとして公開する設定、4 は権限がある設定であり、5 にすることで、権限があるNTPサーバとして公開する設定となります。
権限がないと、他のサーバの状況次第で NTP サーバになったりならなかったりするので、5 にしておくと確実といえます。
(5 でないと、上位のNTPサーバと同期ができていない場合にはクライアントに時刻データの提供を停止(アドバタイズを停止)する動作となる)

なお、複数のドメインコントローラ構成で、外部の NTP サーバと同期する DC サーバが 1 台のみで他はドメイン階層に従った同期(Type=NT5DS)の場合は外部の NTP サーバと同期する DC を PDC エミュレータ(通常は FSMO) とし、AnnounceFlags = 5 としますが、それ以外はデフォルトの 10 のままとします。
これは同一ドメイン階層では PDC エミュレータの役割を持つ DC が最上位となりますが、それ以外の AnnounceFlags = 5 があるとそのサーバは自信を最上位とするため、PDC エミュレータの役割を持つ DC と同期を行えなくなる場合があるためです。

<参考情報>
Windows Server で権限のあるタイムサーバーを構成する方法
https://support.microsoft.com/ja-jp/kb/816042

2016-03-28

セキュアなチャネルの確立に失敗するケース

仮想マシン上でドメインに参加する前にスナップショットを複数取得しておき、

それぞれにおいてドメインに参加させる場合

この場合、同一仮想マシン上のスナップショットであるため、ドメインコントローラ上に登録されるコンピュータアカウントの SID は同一のものとなる。

また、ドメインに参加しているメンバサーバは既定で 30 日に一度、
コンピュータアカウントのパスワードが更新される。

この動作はバックグラウンドで動作しており、ドメイン参加の際にも変更が行われる。

そのため、スナップショットそれぞれの環境でドメインに参加するたびに、
コンピュータアカウントのパスワードが更新が行われる動作となるため、
セキュアチャネルの破損が発生すると予想される。

ドメインログオンの際に、メンバサーバが保持しているパスワードと
ドメインコントローラーが保持しているパスワードと一致しない場合は、
セキュアチャネルの確立ができず、ドメインログオンに失敗する仕組みになっている。

従って、スナップショットを切り替える度に、パスワードの不一致によりログオンできない事象が発生する。

対処としてはドメインの再参加や PowerShell で後述のコマンドレッドを実行する必要がでてくる。

＜参考情報＞
ドメインにログオンできない～セキュアチャネルの破損～
https://blogs.technet.microsoft.com/jpntsblog/2009/06/05/256/

2016-03-23

NTFS ID:55

NTFS のダーティビットが立っていると、

起動時に chkdsk が走る。

ダーティシャットダウンを初めてとして起きる契機は様々あるが、

一例が以下のmsブログにまとっている。

基本的に原因特定は難しいが、対処としては、

chkdsk にオプションをつけて修復を試行してみる。

治らなければハード観点での問題も疑われる。

ソース : NTFS、ID: 55 のイベント
https://blogs.technet.microsoft.com/askcorejp/2014/09/08/ntfsid-55/

Windows Server 2008 R2 における、ソース : NTFS、ID: 55 エラーについて (KB 2885209)
https://blogs.technet.microsoft.com/askcorejp/2013/11/28/windows-server-2008-r2-ntfsid-55-kb-2885209/

イベント ID 55 が Windows 7 または Windows Server 2008 R2 でログに記録され、Windows がクラッシュすることがある
https://support.microsoft.com/ja-jp/kb/2885209

2016-03-23

高速ログオン

Windows Server 2012 では、高速ログオンの最適化機能は有効ではございません。
OS 起動後にはネットワークの初期化が待機される。

高速ログオンの最適化機能については、公開情報にもクライアント OS においては既定で有効になっていると記述されている。

サーバ OS に関しましては、以下ポリシーのヘルプ欄にて説明がある。

○該当ポリシー

[コンピュータの構成] - [管理用テンプレート] - [システム] - [ログオン]
[コンピュータの起動およびログオンで常にネットワークを待つ]

＜一部抜粋＞
=============================
既定では、クライアントコンピューターでは、グループポリシーの処理は同期されません。
クライアントコンピューターは、通常、起動時およびログオン時にネットワークが完全に初期化されるのを待ちません。
既存のユーザーはキャッシュされた資格情報を使ってログオンするため、ログオンにかかる時間が短くなります。
ネットワークが利用可能になると、グループポリシーはバックグラウンドで適用されます。
=============================

＜一部抜粋＞
=============================
Windows Server 2008 以降を実行するサーバーでは、このポリシー設定はコンピューターの起動時におけるグループポリシーの処理で無視され、
グループポリシーの処理は同期されます (これらのサーバーは、コンピューターの起動時にネットワークが初期化されるのを待ちます)。

サーバーが以下のように構成されている場合、このポリシー設定はユーザーログオン時におけるグループポリシーの処理で有効になります。
・サーバーがターミナルサーバーとして構成されている (つまり、ターミナルサーバーの役割サービスがサーバーにインストールされて構成されている)。
・[ターミナルサービス経由でのログオン時に、ユーザーのグループポリシーを非同期に処理できるようにする] ポリシー設定が有効になっている。
このポリシー設定は、コンピューターの構成\ポリシー\管理用テンプレート\システム\グループポリシー\ にあります。

この構成がサーバーに実装されていない場合、このポリシー設定は無視されます。
この場合、ユーザーログオン時におけるグループポリシーの処理は同期されます
(これらのサーバーは、ユーザーログオン時にネットワークが初期化されるのを待ちます)。
=============================

Windows の高速ログオン最適化機能の説明
https://support.microsoft.com/ja-jp/kb/305293

高速ログオンの最適化と高速スタートアップのグループポリシーに対する影響について
https://technet.microsoft.com/ja-jp/library/jj573586.aspx

2016-03-12

クラスタ構築参考

ざっと検証環境を作ってみた上で参考した情報。

クォーラムディスク用にドメインコントローラ1 台用意して、iscsi ターゲットとして構成する。

意図としては共有ディスクを2 ノードにマウントさせる。

2ノードはメンバに参加して、MSFC をインストールしてウィザードにそってすすめる。

上記共有ディスクはオンライン・オフラインの構成になるので、特に気にする必要はなかった。

とにかくいろいろと触ってみたほうがわかりやすい。

www.server-world.info

2016-01-20

フォレストの信頼

W2012R2ADMIGGUIDE_v1.2.docx

Windows Server 2012 R2 の Active Directory ドメインサービスは、
[Windows Server 2003] 以上のフォレストおよびドメインの機能レベルをサポートしているため、
Windows Server 2003 の Active Directory フォレスト/ドメインからの段階的なアップグレードが可能です。

アップグレード後にフォレストおよびドメインの機能レベルを［Windows Server 2012 R2］に昇格することで、
最新の Active Directory のすべての機能を利用できるようになります。

フォレストおよびドメインの機能レベルは、フォレストおよびドメインでサポートされる Active Directory の機能と、
ドメインコントローラーの最小バージョン要件を規定するものです。

Windows Server 2003 の Active Directory フォレスト/ドメインを Windows Server 2012 R2 の Active Directory フォレスト/ドメインにアップグレードするには、
アップグレードする現在のフォレストおよびドメインの機能レベルが［Windows Server 2003］以上である必要があります。

現在のフォレストおよびドメインの機能レベルは、［Active Directory ドメインと信頼関係］スナップイン (domain.msc) を使用して確認、および変更することができます。

フォレストの機能レベルは、［Active Directory ドメインと信頼関係］スナップインの最上位のコンテナ (Active Directory ドメインと信頼関係) を右クリックして
[フォレストの機能レベルを上げる] を選択すると確認および変更できます。

ドメインの機能レベルは、［Active Directory ドメインと信頼関係］スナップインでドメインのコンテナーを右クリックして
[ドメインの機能レベルを上げる] を選択すると、確認および変更できます。

～～～～～～～～～～～
現在のフォレストの機能レベルが［Windows 2000］で、ドメインの機能レベルが［Windows 2000 ネイティブ］または［Windows 2000 混在］になっている場合は、
それぞれ［Windows Server 2003］に変更して機能レベルを昇格ください。
機能レベルの昇格は、ドメイン、フォレストの順番で行います。
～～～～～～～～～～～

なお、フォレストおよびドメインの機能レベルを［Windows Server 2003］に昇格する場合は、
Windows 2000 Server のドメインコントローラーが存在しないことを確認してから実行してください。

～～～～～～～～～～～
Windows 2000 Server のドメインコントローラーが存在する場合は、
Windows 2000 Server のドメインコントローラーに配置されている操作マスターを
Windows Serer 2003 以降のドメインコントローラーに転送し、Windows 2000 Server のドメインコントローラーをメンバーサーバーに降格する必要があります。
～～～～～～～～～～～

Windows 2000 Server のドメインコントローラーからの操作マスターの転送とドメインコントローラーの降格の手順については、
このあと説明する Windows Server 2003 の手順と共通です。

［Windows Server 2003］機能レベルのサポート
Windows Server 2012 R2 の Active Directory ドメインサービスは、フォレストおよびドメインの最小の機能レベルとして
［Windows Server 2003］をサポートしていますが、新規に作成するドメインにおいて［Windows Server 2003］の機能レベルを選択することはできません。

［Windows Server 2003］の機能レベルは、既存のフォレスト/ドメインに追加するドメインコントローラーでサポートされます。
なお、［Windows Server 2003］の機能レベルのサポートは、将来の Windows Server バージョンから削除される可能性があります。

■Windows 2000 Server に関連する機能レベル
Windows 2000 Server は混在モードとネイティブモードのみをサポートします。また、これらのモードはドメインの機能のみに適用されます。

○Windows 2000 Server 混在 (既定)
サポートされるドメインコントローラー: Microsoft Windows NT 4.0、Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
アクティブになる機能: ローカルグループおよびグローバルグループ、グローバルカタログサポート。

○Windows 2000 Server ネイティブ
サポートされるドメインコントローラー: Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
アクティブになる機能: グループの入れ子、ユニバーサルグループ、Sid 履歴、セキュリティグループと配布グループ間の変換。フォレストレベルの設定を上げることによってドメインのレベルを上げることができます。

Active Directory ドメインおよびフォレストの機能レベルを上げる方法
https://support.microsoft.com/ja-jp/kb/322692

○ドメインの機能レベル Windows Server 2003
認証の選択のサポート。これにより、信頼する側のフォレストのリソースサーバーで認証を受けることが許される、
信頼されている側のフォレストのユーザーおよびグループを指定できます。

○フォレストの機能レベル Windows Server 2003
既定の Active Directory の機能すべて。加えて、以下の機能が有効です。
フォレストの信頼。

ドメインとフォレストの機能レベルとは
https://technet.microsoft.com/ja-jp/library/cc771294.aspx

フォレストの信頼を作成する
https://technet.microsoft.com/ja-jp/library/cc754626.aspx

信頼を管理する
https://technet.microsoft.com/ja-jp/library/cc771568.aspx

コマンドラインを使用して信頼を検証するには

netdom trust <TrustingDomainName> /d:<TrustedDomainName> /verify

信頼を検証する
https://technet.microsoft.com/ja-jp/library/cc753821.aspx