ねこ鯖 nekoserver 鯖缶はたいへんだニャーの巻

前提条件
・ドメイン移行前のＤＣと移行先のＤＣとで信頼関係を結ぶ
・既存ドメインのスキーマ拡張（adprepまたはadprep32の使用）
・操作マスター（FSMO）の転送
・NTPサーバーの変更
・ドメインとフォレストの機能レベルの確認と変更
・移行先2008DCへは移行前の管理者権限でログインしておく
・ユーザーとグループの移行を済ませておく
・ログオンしているユーザーにはログオフさせる
・SIDフィルタをOFFにする
・移行が全て完了し、旧DCが不要の場合にはGC無効化と降格作業を行い、
　IPアドレスを変更してからシャットダウンする
・SYSVOL複製方法の変更の検討（FRSからDFS-Rへの変更）
・後処理について
　-> ADサイトとサービスから降格したサーバーを削除する
　-> DNSサーバーに降格したDCの情報が残っていないことを確認する
　-> イベントビューアでエラーの有無を確認
・クライアントがドメインネットワークに正しく接続していること
・DNS/DHCPサーバーの設定…移行後に移行前のドメインをどうするか
　を検討してから設定する。
　DNSは移行前に移行先DNSを使ったほうがいいかも？
　DHCPは全部移行が完了した後に切り替えを行ったほうがいい。
・クライアントのネットワーク設定の確認
・クライアントのアカウントのロックアウトの有無
・クライアントのシステムドライブの空き容量
・クライアントの不要なスタートアップサービスの無効化
　（CPU使用率が高いと失敗するようなのでできるだけ抑える)
・レジストリキーの設定 2008DCで行う ※ポリシーでも設定できる
　以下に[AllowNT4Crypto]キーを作成、値のデータを"1" に設定する　
　 　HKLM
　　　┣SYSTEM
　　　　┣CurrentControlSet
　　　　　┣Services
　　　　　　┣Netlogon
　　　　　　　┣Parameter

[設定オプション項目]
　　フォレスト内: いいえ
　　変換オプション: 追加
　　ファイルの変換: はい
　　ローカル グループの変換: はい
　　プリンタの変換: はい
　　レジストリの変換: はい
　　権利の変換: はい
　　共有の変換: はい
　　ユーザー プロファイルの変換: はい
　　競合オプション: 無視
　　事前確認のみを実行: いいえ

ここで変換オプションに "追加" を選択する理由は、
あとでアクセス権は削除することが出来るのでこの段階ではまだ
移行前と後と両方のアクセス権限を維持しておいたほうが
失敗したときに慌てなくてすむし便利であるからだ。
　
　
　
ここでは以下のように」ユーザー・ドメイン・コンピュータ名を設定

移行前のドメインをDomain_A、移行後はDomain_B
移行前ユーザー: Domain_A\Testuser_1

<事前確認>---失敗するときは以下を確認する
　この時点でコンピュータアカウントは移行しているので
　移行先のほうでアカウントを削除してからADMTを再実行する。
　またはADMT移行時の変換オプションで
　[競合オプション: 結合] に変更してADMTを再実行する。

・ERR2:7666 サーバー サービスにアクセスできません。Netlogon
　およびワークステーション サービスが実行中でコンピュータで
　自分自身を認証できることを確認してください
　…2000の場合は通常なら特に問題は起きないが、
　　XPだとファイアウォールをOFFにしないと成功しない。
　　これはADMTを実行するにあたりドメインコトローラーと
　　特定ポートでの通信のためTCP135、TCP445ポートと、
　　TCP1024～65535のランダムなポートが必要であるためと思われる
　　XPでは普段ポートが閉じられているせいで影響が出る。
　　(SMBポートでサーバへのアクセスが必要)

・ERR2:7674 ADMIN 共有のローカル パスを特定できません。
　…この場合は移行先の2008ドメインコントローラーへ
　　移行元ドメイン管理者としてログオンしていないことが原因。

・WRN1:7124 移行先オブジェクト
　'CN=PC名,OU=Domain_A,DC=Domain_B,DC=com'
　は既に存在します。
　…この場合はコンピュータアカウントがすでに移行先ドメイン内に
　　あるので（または同名？）移行先DCにあるコンピュータアカウント
　　を削除してもう一度移行を行う。
　　
・ERR2:7807 移行を実行するためのローカル エージェントを
　作成できません
　…移行先のドメインコントローラーの場所の指定の問題と思われる

・コンピュータ 'Computer_A.Domain_A' は
　ドメイン 'Domain_A' に属していません。
　…コンピュータが移行した後に同じ操作をもう一度行ってしまった時

<エージェントの操作>---"エラーあり" となって失敗する場合

・ERR3:7075 ドメインの所属を変更できませんでした,hr=80070035
　ネットワーク パスが見つかりません。
　…移行先ドメイン上に既にアカウントがあるために
　　ドメインの変更が行われなかった。

・ERR2:7889 "アカウントの一覧を取得できませんでした"
　と表示される。
　…これは [ユーザー権利を変換しています] の所で表示される。
　　ADMT実行時のオプション項目である "ユーザー権利" の
　　チェックボックスをオフにすると成功する。
　　ただしグローバルカタログが原因であるようだ

・ERR2:7240 (null) のローカル グループ Administrators にメンバ
　Domain_Group_A を追加できませんでした, rc=1378.
　指定されたアカウント名は既にローカル グループのメンバです。

<エージェントの操作>---"警告あり" となって失敗する場合

・WRN1:7347 Domain_A\Testuser_1 のプロファイルが既にあります
　これは上書きされません
　…移行前ドメイン所属時にDomain_B\Testuser_1として
　　ログオンしてしまっている時に出る内容
　　ただし、ファイル･フォルダ・他の人のプロファイルなどの
　　変換は実行される。
　　または再度移行ツールを使用したとき。

・WRN1:7561 スキーマの不一致が原因で、
　ADMT でこのオブジェクトの種類 (computer)のプロパティの一部を
　移行できませんでした。

・WRN1:7159 警告: A:\ のボリューム情報を取得できません (5)
　アクセスが拒否されました。
　…これは "フロッピードライブのボリューム情報を取得できません"
　　という内容でのアクセス拒否(ドライブに何も入っていないため)
　　によるものだけである。なのでこのエラーは無視できる。

※ ちなみにエラーと警告の両方がある場合は "完了 (エラーあり)"
　の表示が優先されるようだ。

クライアントがコンピュータの移行前に移行先ユーザーとしてログイン
していないかどうかを確認すべきだ。
でないとドメインの所属変更ができなくなる。
また、所属変更ができたとしても同一ユーザーのプロファイルが
２つ出来上がるとい状態になる。
この状態で移行するとまったく別のプロファイルを使うことになる

ビルトインアカウントは移行できない。

ただし移行にはやはり十分テストしてからのほうがいいかも。
アクセス権などは特に重要で例えばテスト用フォルダに対してや、
テストファイルに対して適切なアクセス権を与えて移行させてみる
※アクセス権を "置き換え" するよりも "追加" をしてからテスト
その後移行させて再起動してフォルダ・ファイルのアクセス権の確認
アクセス権が正しく追加されているか、または実際に正しくアクセス
が出来るかを確認する。権限が追加されると下のような感じになる
Domain_A\Testuser_1
Domain_B\Testuser_1

問題がなくなれば旧アクセス権を残すか削除するかを考える。

こんなところに気を付ければ移行は成功する…？健闘を祈る！
ところで、これができれば "FSMT" なんかはいらないの？

★「インページ操作の実行エラー」が表示される場合は、
チェックディスクで不具合を修正してから再度実行してみる。
その場合には一度移行されてしまっているコンピュータアカウントを
新ドメインサーバー側で削除し、もう一度実行することになる。
もしくはクライアント上でSID削除するようにレジストリ操作か？
　
★リプレイスの場合は、以下を参考に。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/197.html

先週は大変でした。
ドメインの最初に構築したドメインコントローラーが逝ってしまった…
2/16にまずサーバーのHDDのRAIDのうちの1つが壊れ、
そのHDDを買いに2/17の夜にヨドバシへいきました。
まあ片方は生きてるし、もう何日かは大丈夫だろうと思ってタカをくくっていた。

しかし、ココがまず問題の始まりだった。

なんと！いつも買っているHDD[HITACHI HDS721680PLA380]が問題ありで
こいつが去年買った同じ品番のものが容量76.6GBで読み込んだものが、
この日に買ったやつが74.4GBしか読み込んでくれなかった。

ということは、コレではRAIDの再構築が出来ない…
つまり、また日を改めてヨドバシへ行けということになった。
たかだか80GBと160GBの違いで100円なんだから、
今考えると素直に160GBのほうを買っておけばよかったと思う。

しかし私の気は収まらず、どうせ無理なのは分かってるんだけど
一応そのことを言って交換してもらえるか確認してみようと思った。
それもヨドバシへいったのが2/20の夜だ。

んで結果は、やはりだめでした。
そんなこと言ったって表示している内容はまったく一緒だし、
ほんだら以前と同じだろうと思うでしょ？
こっちから言わせると2GBもケチるなよ。と言いたいわ！！！

―仕方がないので160GB買いました。

で、やっと再構築…ときたところで今度はRAIDコントローラーエラーで
生きているほうのHDDまでデータがブッ飛びました…(泣)
さらにWebサーバーまで一緒に…
そんなわけで週末は2日ほどサーバーが完全にとまって、
追加ドメインコントローラー3台のみで稼動させていました。

そんなわけでドメインの最初に構築したドメインコントローラーが
逝ってしまった場合の復元方法を書いておいた。

ここでは以下のような環境を想定。
・Windows 2003ドメインの最初のドメインコントローラーがNS (壊れた鯖)
・Windows 2003ドメインの追加ドメインコントローラーがNS1 (正常稼働中の鯖)

★　まずは、正常に稼働中のほうである、"NS1" 側で操作。

①　コマンドプロンプトを開く。
②　"ntdsutil" と入力、実行
③　"roles" と入力、実行
④　"connections" と入力、実行
⑤　"connect to server ns1" と入力、実行
⑥　"quit" と入力、実行
⑦　"seize RID master" と入力、実行
　　役割の強制確認ダイアログがでたら、"はい" をクリック
⑧　"seize PDC" と入力、実行
　　役割の強制確認ダイアログがでたら、"はい" をクリック
⑨　"seize infrastructure master" と入力、実行
　　役割の強制確認ダイアログがでたら、"はい" をクリック
⑩　"seize domain naming master" と入力、実行　
　　役割の強制確認ダイアログがでたら、"はい" をクリック
⑪　"seize schema master" と入力、実行
　　役割の強制確認ダイアログがでたら、"はい" をクリック
⑫　"quit" と入力、実行
⑬　"quit" と入力、実行

c:\>ntdsutil　……②
ntdsutil: roles　……③
fsmo maintenance: connections　……④
server connections: connect to server ns1　……⑤
NS1に結合しています...
ローカルでログオンしているユーザーの資格情報を使って　NS1 に接続しました。
server connections: quit　……⑥
fsmo maintenance: seize RID master　……⑦

強制前にRID FSMO の安全転送を試みています。
ldap_modify_sW エラー 0x34(52 (利用できません).
Ldap_拡張エラーメッセージ 000020AF: SvcErr: DSID-0321092B,problem 5002 (UNAVAILABLE), data 1753
Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。)
)
エラー コードにより、接続、LDAP、または役割の転送エラー
を示すことがあります。
RID FSMO の転送に失敗しました。強制処理 (seize) 中です...
ドメインの最高値の RID プールを検索しています
サーバー "NS1" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
ドメイン - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
PDC - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
RID - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
インフラストラクチャ - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi

fsmo maintenance: seize PDC　……⑧

強制前にPDC FSMO の安全転送を試みています。
ldap_modify_sW エラー 0x34(52 (利用できません).
Ldap_拡張エラーメッセージ 000020AF: SvcErr: DSID-0321051A,problem 5002 (UNAVAILABLE), data 1753
Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。)
)
エラー コードにより、接続、LDAP、または役割の転送エラー
を示すことがあります。
PDC FSMO の転送に失敗しました。強制処理 (seize) 中です...
サーバー "NS1" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
ドメイン - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
PDC - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
RID - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
インフラストラクチャ - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi

fsmo maintenance: seize infrastructure master　……⑨

強制前に infrastructure FSMO の安全転送を試みています。
ldap_modify_sW エラー 0x34(52 (利用できません).
Ldap_拡張エラーメッセージ 000020AF: SvcErr: DSID-03210333,problem 5002 (UNAVAILABLE), data 1753
Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。)
)
エラー コードにより、接続、LDAP、または役割の転送エラー
を示すことがあります。
infrastructure FSMO の転送に失敗しました。強制処理 (seize) 中です...
サーバー "NS1" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
ドメイン - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
PDC - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
RID - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
インフラストラクチャ - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi

fsmo maintenance: seize domain naming master　……⑩

強制前に domain naming FSMO の安全転送を試みています。
ldap_modify_sW エラー 0x34(52 (利用できません).
Ldap_拡張エラーメッセージ 000020AF: SvcErr: DSID-03210333,problem 5002 (UNAVAILABLE), data 1753
Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。)
)
エラー コードにより、接続、LDAP、または役割の転送エラー
を示すことがあります。
domain naming FSMO の転送に失敗しました。強制処理 (seize) 中です...
サーバー "NS1" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
ドメイン - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
PDC - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
RID - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
インフラストラクチャ - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi

fsmo maintenance: seize schema master　……⑪

強制前　 schema FSMO の安全転送を試みています。
ldap_modify_sW エラー 0x34(52 (利用できません).
Ldap_拡張エラーメッセージ 000020AF: SvcErr: DSID-03210333,problem 5002 (UNAVAILABLE), data 1753
Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。)
)
エラー コードにより、接続、LDAP、または役割の転送エラー
を示すことがあります。
schema FSMO の転送に失敗しました。強制処理 (seize) 中です...
サーバー "NS1" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
ドメイン - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
PDC - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
RID - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi
インフラストラクチャ - CN=NTDS Settings,CN=NS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=mobi

fsmo maintenance: quit　……⑫
ntdsutil: quit　……⑬
ns1 から切断しています...

c:\>

コマンドプロンプトを閉じる。

★　つぎはグローバル カタログサーバーを正常稼動しているNS1へ移動させる

[管理ツール]
　[Active Directory サイトとサービス]を展開する。
　　[Site]
　　　[Default-First-Site-Name]
　　　　[Servers]
　　　　　[NS1] ※正常稼動しているほう
　　　　　　"NTDS Settings" を右クリック-プロパティを開く

全般タブにある"グローバル カタログ"にチェックを入れてOKをクリック

[管理ツール]
　[Active Directory サイトとサービス]を展開する。
　　[Site]
　　　[Default-First-Site-Name]
　　　　[Servers]
　　　　　[NS] ※壊れたサーバーのほう
　　　　　　"NTDS Settings" を右クリック-プロパティを開く

全般タブにある"グローバル カタログ"のチェックを外してOKをクリック
　　　　

★　次は壊れたサーバーのコンピュータ アカウントを削除。

[管理ツール]
　[Active Directory ユーザーとコンピュータ]を展開。
　　[nekoprint.mobi]
　　　[Domain Controllers] にある、NSを右クリック-"削除"をクリック

(このオブジェクトを削除しますか？)………"はい"をクリック。
(このオブジェクトを削除する理由は次のどれですか？)

このドメイン コントローラーは永久にオフラインで、
Active Directory インストール ウィザード(DCPROMO) を使って降格できない

にチェックをして"削除" をクリック

オブジェクト NS はほかのオブジェクトを含むコンテナです。NS とその中のオブジェクトを削除しますか？NS に多くのオブジェクトが含まれている場合、この操作は時間がかかることがあります。

"はい" をクリック

★　次は複製パートナーを削除する。

[管理ツール]
　[Active Directory サイトとサービス]を展開する。
　　[Site]
　　　[Default-First-Site-Name]
　　　　[Servers]
　　　　　[NS]
　　　　　　"NTDS Settings" -オブジェクト接続を削除する。
　　　　　[NS1]
　　　　　　"NTDS Settings" -オブジェクト接続を削除する。

これで[NS]-[NS1] 接続オブジェクトが削除できる。

★　次にドメインコントローラーとなるサーバーを再インストール
　　(注意)ユーザー名・PC名・パスワードはすべて以前と同じを推奨
　　ＤＣ昇格時は追加のドメインコントローラーでセットアップする。

★　ＤＣへ昇格したらDC情報を複製するのでしばらく待つ。１０分位？
　　※気の短いときは[Active Directory サイトとサービス] から複製
　　わたしは過去これで間違えたことがあったので待つことにしている




※　ここからは再インストールしたNS での作業。
-----------------------------------------------
★　５つの操作マスタを再インストールしたDCへ戻す作業をする。
-----------------------------------------------

[管理ツール]
　[Active Directory ユーザーとコンピュータ]を展開する。
　　[nekoprint.mobi] を右クリックし、"ドメイン コントローラーに接続" をクリック
　　　役割を転送したいドメイン コントローラーをクリックし、OK　をクリック

　　[nekoprint.mobi] を右クリックし、"操作マスタ" をクリック

・[RID] タブへ移動　…　"変更" をクリック
　　　　(操作マスタの役割を転送しますか?) … "はい"をクリック
　　　　(操作マスタの役割が正しく転送されました。) … "OK"をクリック

・[PDC] タブへ移動　…　"変更" をクリック
　　　　(操作マスタの役割を転送しますか?) … "はい"をクリック
　　　　(操作マスタの役割が正しく転送されました。) … "OK"をクリック

・[インフラストラクチャ] タブへ移動　…　"変更" をクリック
　　　　(操作マスタの役割を転送しますか?) … "はい"をクリック
　　　　(操作マスタの役割が正しく転送されました。) … "OK"をクリック

[管理ツール]
　[Active Directory ドメインと信頼関係]を展開する。
　　右クリックし、"ドメイン コントローラーに接続" をクリックする。
　　　役割を転送したいドメイン コントローラーを選択し、OK　をクリック

　　右クリックし、"操作マスタ" をクリックする。

・[ドメイン名前付け操作マスタ]　…　"変更" をクリック
　　(操作マスタの役割を別のコンピュータに転送しますか?)
　　　"はい"をクリックする。
　　(操作マスタを正しく転送しました。) … "OK"をクリック

------------------------------------
※　以下は正常稼働中のNS1 での作業
★　コマンドプロンプトを開き、以下を入力して実行
　　regsvr32 schmmgmt.dll
　

これで[Active Directory スキーマ]の設定が出来る。

★　続いてスキーマの設定変更
　　[ファイル名を指定して実行] - [mmc] を入力し"OK"をクリック
　　[ファイル]-[スナップインの追加と削除] をクリック
　　"追加" をクリック
　　"Active Directory スキーマ" スナップインを"追加" して
　　"閉じる" をクリック
　　"OK" をクリック

　　[コンソール ルート]
　　　-[Active Directory スキーマ] を右クリックして
　　"ドメイン コントローラーの変更" をクリック
　　"ドメイン コントローラーの変更"
　　　- DC の選択 -
　　[名前の指定] ボックスへ
　　再インストールした"ns.nekoprint.mobi" を入力し"OK" をクリック

　　[コンソール ルート]
　　　-[Active Directory スキーマ] を右クリックして
　　"操作マスタ" をクリック　　
　　(操作マスタを変更しますか?) …"はい"をクリック
　　(操作マスタは転送されました。) …"OK"をクリック

★　最後に"グローバル カタログ" サーバーを変更する。

[管理ツール]
　[Active Directory サイトとサービス]を展開する。
　　[Site]
　　　[Default-First-Site-Name]
　　　　[Servers]
　　　　　[NS]
　　　　　　"NTDS Settings" -右クリック
　　　　　　　-"グローバル カタログ" チェック入れる
　　　　　[NS1]
　　　　　　"NTDS Settings" -右クリック
　　　　　　　-"グローバル カタログ" チェック外す
　
　　
　　

　
　
　
　
=========================================================
Windowsd Server 2012 R2 以降向けに改訂
=========================================================
　
　　
★　まずは、正常に稼働中のほうである、"NS1" 側で操作。
　
※念のため、役割を確認する------------------------
　 　
①　コマンドプロンプトを開く。
②　"ntdsutil" と入力、実行
③　"roles" と入力、実行
④　"connections" と入力、実行
⑤　connect to domain nekoprint.net
⑥　q
⑦　select operation target
⑧　list roles for connected server
⑨　q
⑩　q
⑪　q　
---------------------------------------------
役割が5つとも正常動作のDCになければ以下を実行する。
このうちのいずれかのfsmoがあればそれは省略。GCがあるかどうかの確認へ。(dssite)
　
　
以下は、fsmoの役割を強制転送するコマンドプロンプトでの操作方法
　
①　コマンドプロンプトを開く。
②　"ntdsutil" と入力、実行
③　"roles" と入力、実行
④　"connections" と入力、実行
⑤　"connect to server ns1" と入力、実行
⑥　"quit" と入力、実行
⑦　"seize RID master" と入力、実行
　　役割の強制確認ダイアログがでたら、"はい" をクリック
⑧　"seize PDC" と入力、実行
　　役割の強制確認ダイアログがでたら、"はい" をクリック
⑨　"seize infrastructure master" と入力、実行
　　役割の強制確認ダイアログがでたら、"はい" をクリック
⑩　"seize naming master" と入力、実行
　　役割の強制確認ダイアログがでたら、"はい" をクリック
⑪　"seize schema master" と入力、実行
　　役割の強制確認ダイアログがでたら、"はい" をクリック
⑫　"quit" と入力、実行（q でもかまわない）
⑬　"quit" と入力、実行（q でもかまわない）
　
コマンドプロンプトを閉じる。
------------------------------------------------------------------
★　つぎはグローバル カタログサーバーを正常稼動しているNS1へ移動させる
　
[管理ツール]
　[Active Directory サイトとサービス]を展開する。
　　[Site]
　　　[Default-First-Site-Name]
　　　　[Servers]
　　　　　[NS1] ※正常稼動しているほう
　　　　　　"NTDS Settings" を右クリック-プロパティを開く
　
全般タブにある"グローバル カタログ"にチェックを入れてOKをクリック
　
[管理ツール]
　[Active Directory サイトとサービス]を展開する。
　　[Site]
　　　[Default-First-Site-Name]
　　　　[Servers]
　　　　　[NS] ※壊れたサーバーのほう
　　　　　　"NTDS Settings" を右クリック-プロパティを開く
　
全般タブにある"グローバル カタログ"のチェックを外してOKをクリック
　　　　
　
★　次は壊れたサーバーのコンピュータ アカウントを削除。
　
[管理ツール]
　[Active Directory ユーザーとコンピュータ]を展開。
　　[nekoprint.mobi]
　　　[Domain Controllers] にある、NSを右クリック-"削除"をクリック
　
(このオブジェクトを削除しますか？)………"はい"をクリック。
(このオブジェクトを削除する理由は次のどれですか？)
　
　
このドメイン コントローラーは永久にオフラインで、Active Directory インストール ウィザード(DCPROMO) を使って降格できないにチェックをして"削除" をクリック
　
　
　
オブジェクト NS はほかのオブジェクトを含むコンテナです。NS とその中のオブジェクトを削除しますか？NS に多くのオブジェクトが含まれている場合、この操作は時間がかかることがあります。
　
"はい" をクリック
　
　
★　次は複製パートナーを削除する。
　
[管理ツール]
　[Active Directory サイトとサービス]を展開する。
　　[Site]
　　　[Default-First-Site-Name]
　　　　[Servers]
　　　　　[NS]
　　　　　　"NTDS Settings" -オブジェクト接続を削除する。
　　　　　[NS1]
　　　　　　"NTDS Settings" -オブジェクト接続を削除する。
　
これで[NS]-[NS1] 接続オブジェクトが削除できる。
　
★　次にドメインコントローラーとなるサーバーを再インストール
　　(注意)ユーザー名・PC名・パスワードはすべて以前と同じを推奨。ＤＣ昇格時は追加のドメインコントローラーでセットアップする。
　
★　ＤＣへ昇格したらDC情報を複製するのでしばらく待つ。１０分位？
　　※間違えない自信があるなら[Active Directory サイトとサービス] から複製。
　　※わたしは過去これで間違えたことがあったので待つことにしている（笑）
　
　
　　
　
※　ここからは再インストールしたNS での作業。
-----------------------------------------------
★　５つの操作マスタを再インストールしたDCへ戻す作業をする。
-----------------------------------------------
　
[管理ツール]
　[Active Directory ユーザーとコンピュータ]を展開する。
　　[nekoprint.mobi] を右クリックし、"ドメイン コントローラーに接続" をクリック
　　　役割を転送したいドメイン コントローラーをクリックし、【OK】をクリック
　
　　[nekoprint.mobi] を右クリックし、"操作マスタ" をクリック
　
・[RID] タブへ移動　…　"変更" をクリック
　　　　(操作マスタの役割を転送しますか?) …【はい】をクリック
　　　　(操作マスタの役割が正しく転送されました。) …【OK
】をクリック
　
・[PDC] タブへ移動　…【変更】をクリック
　　　　(操作マスタの役割を転送しますか?) …【はい】をクリック
　　　　(操作マスタの役割が正しく転送されました。) …【OK】をクリック
　
・[インフラストラクチャ] タブへ移動　…【変更】 をクリック
　　　　(操作マスタの役割を転送しますか?) …【はい】をクリック
　　　　(操作マスタの役割が正しく転送されました。) …【OK】をクリック
　
　
[管理ツール]
　[Active Directory ドメインと信頼関係]を展開する。
　　右クリックし、"ドメイン コントローラーに接続" をクリックする。
　　　役割を転送したいドメイン コントローラーを選択し【OK】　をクリック
　
　　右クリックし、【操作マスタ】をクリックする。
　
・[ドメイン名前付け操作マスタ]　…【変更】をクリック
　　(操作マスタの役割を別のコンピュータに転送しますか?)
　　　【はい】をクリックする。
　　(操作マスタを正しく転送しました。) …【OK】をクリック
　
------------------------------------
※　以下は正常稼働中のNS1 での作業
★　コマンドプロンプトを開き、以下を入力して実行
　　regsvr32 schmmgmt.dll
　

これで[Active Directory スキーマ]の設定が出来る。

★　続いてスキーマの設定変更
　　[ファイル名を指定して実行] - [mmc] を入力し【OK】をクリック
　　[ファイル]-[スナップインの追加と削除] をクリック
　　【追加】 をクリック
　　"Active Directory スキーマ" スナップインを【追加】して
　　【閉じる】 をクリック
　　【OK】 をクリック

　　[コンソール ルート]
　　　-[Active Directory スキーマ] を右クリックし、
　　【ドメイン コントローラーの変更】 をクリック
　　【ドメイン コントローラーの変更】
　　　- DC の選択 -
　　[名前の指定] ボックスへ
　　再インストールした"ns.nekoprint.mobi" を入力し【OK】をクリック

　　[コンソール ルート]
　　　-[Active Directory スキーマ] を右クリックして
　　【操作マスタ】 をクリック　　
　　(操作マスタを変更しますか?) …【はい】をクリック
　　(操作マスタは転送されました。) …【OK】をクリック

★　最後に"グローバル カタログ" サーバーを変更する。

[管理ツール]
　[Active Directory サイトとサービス]を展開する。
　　[Site]
　　　[Default-First-Site-Name]
　　　　[Servers]
　　　　　[NS]
　　　　　　"NTDS Settings" -右クリック
　　　　　　　-"グローバル カタログ" チェック入れる
　　　　　[NS1]
　　　　　　"NTDS Settings" -右クリック
　　　　　　　-"グローバル カタログ" チェック外す
　

コマンドプロンプトで以下を実行する。
ネットワークアダプタの設定でIPv6のチェックを外しただけでは、ね？
※Windows Vista/7 でも確認済み

メモ帳を開き、以下をコピー＆ペーストする。

netsh interface teredo set state disabled
netsh interface 6to4 set state state=disabled undoonstop=disabled
netsh interface isatap set state disabled

保存の際、適当に名前をつけてバッチファイルとして保存する。
例：IPv6_disabled.bat　

このバッチファイルを実行後にコマンドプロンプトで
「ipconfig/all」を実行して確認してみるとよい。
　
　
-------------------------------------------------------
無効にした IPv6 設定を有効化する場合の方法。
　
netsh interface teredo set state default
netsh interface 6to4 set state state=enabled undoonstop=enabled
netsh interface isatap set state enabled

現在稼動中のドメイン コントローラーで操作します。
　
ntdsutil
metadata cleanup
connections
connect to server ＜DC名＞
quit
select operation target　
list domains
select domain ＜list domains で表示されたドメイン番号＞
list sites
select site ＜list sites で表示されたドメイン番号＞
list servers in site
　※ここで現在のドメインコントローラーが一覧表示されます。
　撤去または降格したドメインコントローラーが一覧にないかチェックします。
　撤去または降格したDCがなければ
quit
quit
quit
　で ntdsutil を終了。
　
--------------------------------------------------------　
撤去または降格したDCがあれば以下のように実行する。
　
select server ＜削除対象のサーバー番号＞
quit
remove selected server
　※これで不要な metadata は削除できます。
quit
quit
quit
　ntdsutil を終了します。
　　
続いて Dsa を起動し、対象のコンピューター名を削除と、DsSite を起動し、複製パートナーを削除。
　
DNS 管理コンソール（dnsmgmt.msc）を起動。
【_msdcs.＜ドメイン名＞】 ゾーンにある撤去または降格した CNAME を削除します。
撤去または降格したドメイン コントローラーのAレコードやその他残存の DNS レコードを削除します。
DNS ゾーン内の【ネーム サーバー】タブに 撤去または降格した DNS サーバーがあれば削除する。
逆引き参照ゾーンにも撤去または降格したドメイン コントローラーのアドレスがあれば削除します。
　
　
　
　
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
おまけ　DC強制降格とメタデータクリーンアップ
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
通常降格に失敗したドメインコントローラーで操作
1.dcpromo/forceremoval

2.[OK] をクリック。

3.Active Directory のインストール ウィザードへようこそページで、次へをクリックします。

4.強制 Active Directory の削除] ページで次のようにクリックします。

5.管理者パスワードのパスワードと、ローカルの SAM データベースの管理者アカウントに割り当てるパスワードを入力、[次へ] をクリックします

6.要約すると[次へ]をクリックします。

7.フォレスト内に残っているドメイン コント ローラーの降格したドメイン コント ローラーのメタデータのクリーンアップを実行します。

------------------------------------------------------------------------------------
Metadata Cleanup 　コマンド
※ここでは、ns1 を削除対象として説明
正常に稼動しているＤＣで操作

ドメイン名: nekoprint.net
ドメイン コントローラー: ns.nekoprint.net および ns1.nekoprint.net の 2 台構成
FSMO の役割の所有者: ns.nekoprint.net
ドメインの構成: シングル フォレスト、シングル ドメイン
サイトの構成: Default-First-Site-Name のみ

ntdsutil
metadata cleanup
metadata cleanup: Connections
server connections: connect to server localhost
server connections: q

metadata cleanup: select operation target
select operation target: list domains

select operation target: list domains
1 個のドメインを検出しました
0 - DC=nekoprint,DC=net

select operation target: select domain 0

select operation target: select domain 0
現在のサイトがありません
ドメイン - DC=nekoprint,DC=net
現在のサーバーがありません
現在の名前付けコンテキストがありません

select operation target: list sites

select operation target: list sites
1 個のサイトを検出しました
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net

select operation target: select site 0

select operation target: select site 0
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net
ドメイン - DC=test,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません

select operation target: list server in site

select operation target: list server in site
2 個のサーバーを検出しました
0 - CN=ns,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net
1 - CN=ns1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net

select operation target: select server 1

select operation target: select server 1
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net
ドメイン - DC=nekoprint,DC=net
サーバー - CN=ns1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net
DSA オブジェクト - CN=NTDS Settings,CN=ns1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net
DNS ホスト名 - ns1.nekoprint,DC=net
コンピュータ オブジェクト - CN=ns1,OU=Domain Controllers,DC=nekoprint,DC=net
現在の名前付けコンテキストがありません

select operation target: q

metadata cleanup:remove selected server
サーバーの削除確認ダイアログウィンドウが表示される。削除対象のＤＣであることを確認し、「はい」
------------------------------------------------------------------------------------
※"要素が見つかりません" などのメッセージが表示される可能性がありますが、最後に下記の太字のようなメッセージが表示されていれば、正常に削除ができたと判断できますので、 "quit" を入力し、Enter キーを 2 回押して ntdsutil ユーティリティを終了します。
metadata cleanup: remove selected server
選択されたサーバーから FSMO 役割を転送/強制処理しています。
選択されたサーバーのために FRS メタデータを削除しています。
"CN=DC02,OU=Domain Controllers,DC=test,DC=local" 下で FRS メンバを検索しています。

FRS メンバ "CN=DC02,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local" を削除しています。
"CN=DC02,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local" 下のサブツリーを削除しています。
"CN=DC02,OU=Domain Controllers,DC=test,DC=local" 下のサブツリーを削除しています。
CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local 上の FRS 設定の削除に失敗しました。原因は次のとおりです: "要素が見つかりません。";
メタデータのクリーンアップは続行されます。
"CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local" をサーバー "localhost"から削除しました

metadata cleanup: quit
ntdsutil: quit
localhost から切断しています...

------------------------------------------------------------------------------------
dssite.msc　 複製に使用する接続オブジェクトの削除
作業対象: 正常に稼働している任意のドメイン コントローラー 1 台

[Sites] - [<サイト名>] - [Servers] - [<ドメイン コントローラー名>] - [NTDS Settings] を選択します。

右ペインに [レプリケート元サーバー] が削除対象のドメイン コントローラーとなっているオブジェクトが存在していれば、左ペインの [NTDS Settings] を右クリックし、[すべてのタスク] - [レプリケーション トポロジの確認] をクリックします。

[レプリケーション トポロジの確認] というポップアップが表示されたら、[OK] をクリックします。

右ペインにて [最新の情報に更新] し、削除対象のドメイン コントローラーとのオブジェクトが削除されることを確認します。

手順 2 から手順 5 までの作業を [Sites] - [<サイト名>] - [Servers] の削除対象のドメイン コントローラーを除くすべてのドメイン コントローラーについて実施します。

7. 左ペインにて [Sites] - [<削除対象のドメイン コントローラーのサイト名>] - [Servers] - [<削除対象のドメイン コントローラー名>] を選択した状態で右クリックして表示されるメニューで [削除] をクリックします。

------------------------------------------------------------------------------------
dsa.msc　ドメインコントローラーのコンピューターオブジェクトの削除 (削除されているかの確認)
作業対象: 正常に稼働している任意のドメイン コントローラー 1 台

[Domain Controllers] 配下に存在する削除対象のドメイン コントローラーを削除します。(存在しない場合には、すでに削除されているため、次に進みます。

------------------------------------------------------------------------------------
adsiedit.msc　FRS のオブジェクトの削除 (削除されているかの確認)
作業対象: 正常に稼働している任意のドメイン コントローラー 1 台

左ペインのツリーを [Domain NC [<ドメイン名>]] - [<ドメインの DN>] - [CN=System] - [CN=File Replication Service] - [CN=Domain System Volume (SYSVOL share)] の順に展開します。

右ペインに [CN=<削除対象のドメイン コントローラー] が存在していれば削除し、次に進みます。

------------------------------------------------------------------------------------
[E] DNS レコードの削除 (削除されているかの確認)
作業対象: 正常に稼働している任意のドメイン コントローラー 1 台

dnsmgmt.msc

[前方参照ゾーン] - [_msdcs.<フォレスト ルート ドメイン>] 配下に、"データ" が削除対象のドメイン コントローラーとなっている CNAME レコードが存在すれば削除します。

[前方参照ゾーン] - [<削除したドメイン コントローラーが所属するドメイン>] ゾーン配下の NS レコードのプロパティを開きます。

[ネーム サーバー] タブで削除対象のドメイン コントローラーの FQDN が表示されていれば、そのエントリを選択し、[削除] をクリックし、[OK] をクリックします。

[前方参照ゾーン] - [<削除したドメイン コントローラーが所属するドメイン>] ゾーン配下に "名前" が削除対象のドメイン コントローラーとなっている A レコードが存在すれば削除します。

/////////////////////////////////////////////////////////////////////////////////////

以上で削除対象のドメイン コントローラーの情報の削除手順は終了です。

XmailCFG 2.31 と K4_0.89e を設定してみました！
結果は何にも変わらず…
K4_0.89e用のActivePerl 5.8 対応拡張モジュールの[ config.cgi ]909行目～と [ login.cgi ]48行目～の編集し、文字化け対策やらログイン対策をしても変化がなかった。限界なのか？別のメールサーバーを使えってことなのか？めんどくさいなあ。

文字化け対策やログイン時のe510エラー対策などの設定方法は以下

https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/62.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/71.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/54.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/25.html
https://www.nekoprint.jp/cgi-in/nekonekodiary/archives/112.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/86.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/104.html

　
上記画像のように赤い↓矢印が出て、マイ コンピュータのプロパティ表示ができない場合には、以下の対策を実施する。
　
①　コマンド プロンプト を、管理者権限にて開く
　
②　以下を入力し、実行する
　　　net stop msdtc
　
③　以下を入力し、実行する
　　　cd /d %windir%\system32
　　　msdtc -uninstall
　
　
④　レジストリエディタを起動し、以下のレジストリキーがないことを確認する
　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC
　

　
　　
⑤　MSDTCのログファイルを削除する
　
　　　場所：C:\Windows\System32\Msdtc
　
　
　
　
⑥　コマンド プロンプト を、管理者権限にて開く
　
⑦　以下を入力し、実行する
　　　　
　　　cd /d %windir%\system32
　　　msdtc -install
　
　
⑧　Windows ファイアウォール を構成する（Windows ファイアウォール構成環境の場合のみ）
　　　・Windows ファイアウォール 「設定の変更」　を展開する
　　　・「例外」タブをクリック
　　　・「プログラムの追加」ボタンをクリック
　　　・「参照」ボタンをクリック
　　　・【C:\Windows\System32\msdtc.exe】を選択し、「開く」をクリック
　　　・「スコープの変更」ボタンをクリックし、ユーザーの環境に合わせ、「OK」をクリック
　　　・プログラムの追加ウィンドウに戻る。「OK」をクリック
　　　・例外に追加されているかを確認し、「OK」をクリック
　

　
　
⑨　コマンド プロンプト を、管理者権限にて開く
　
⑩　以下を入力し、実行する
　　　net start msdtc
　
　
　
　
※　上記の対策でもだめな場合には、セキュリティの構成ウィザードまたは、サービスの状態を確認する

COM+ Event System
　開始　自動
COM+ System Application
　開始(停止でも可)　手動
Distributed Transaction Coordinator
　開始　自動

ポートが開放されているにもかかわらず、Windows 2000 server から server 2003 へアップグレードした場合に発生する、リモートデスクトップ接続ができない(使えない)場合の解決方法がコレだ。

こんな方は要チェック！！
ターミナル サービス構成スナップイン (Tscc.msc) を使用すると、トランスポート (RDP-Tcp) が存在し、機能しているように見えます。ただし、ターミナル サービス マネージャ (Tsadmin.exe) を使用してトランスポートを表示すると、RDP-TCP リスナが "Down 65536" と表示されます。

★★対策方法はコチラ！(画像あり)★★

必要条件
Business/Professional 以上のバージョン（Home～エディションは不可能）
リモート サービス管理
Remoteregistry サービス（両方のPCで設定する）
ドメイン環境を想定
　

＜RemoteRegistry サービス＞　　
起動していない場合には、次のコマンドを入力し、実行する
sc \\対象のリモートPC名 start remoteregistry
　
起動しているかを確認する場合
sc \\対象のリモートPC名 query remoteregistry
　
================================================　
リモートデスクトップ接続を許可する場合の編集箇所
　
■全OS共通　　　　
＜レジストリの編集場所＞　
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Terminal Server
　
値の名前
fDenyTSConnections
　
値の種類　
REG_DWORD
　
値のデータ
1→許可しない（デフォルト）
0→許可する
　
　
■Windows Vista 以降はこちらも設定
＜レジストリの編集場所＞　
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
　
値の名前
UserAuthentication
　
値の種類　
REG_DWORD
　
値のデータ
0 = リモートデスクトップを実行しているコンピュータからの
　　接続を許可する(セキュリティのレベルは低くなります)
1 = ネットワーク レベル認証でリモート デスクトップを実行している
　　コンピュータからのみ接続を許可する(セキュリティのレベルは高くなります)
　　
　
■ポート番号を変えたい場合には以下の場所を編集する　
　
全OS共通
＜レジストリの編集場所＞　
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
　　
値の名前
PortNumber
　
値の種類　
REG_DWORD
　
値のデータ
変更したい任意の番号を入力
　
　
　　
---------------------------------------------------------------
※Windowsファイアウォールが有効な場合の対処

Windows Server 2003以下の場合
＜ドメイン構成時＞
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\GloballyOpenPorts\List
　
値の名前
3389:TCP
　
値の種類
REG_SZ
　
値のデータ
3389:TCP:*:Enabled:ポート 3389 TCP　
　
スコープは"*"（全てのネットワーク）か、IPアドレス、またはIPアドレス/サブネットを入力してもよい。
例：
3389:TCP:192.168.0.1:Enabled:ポート 3389 TCP　
3389:TCP:192.168.0.0/24:Enabled:ポート 3389 TCP　
　
　
＜ワークグループ構成時＞
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\List
　
値の名前
3389:TCP
　
値の種類
REG_SZ
　
値のデータ
Enabled　→TCPポート3389番の着信を許可
Disabled　→TCPポート3389番の着信を許可しない（デフォルト）
　
　
Windows VISTA 以降の場合
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\FirewallRules
　
値の名前
RemoteDesktop-In-TCP
　
値の種類
REG_SZ
　
値のデータ　※OSによって違う…
v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Domain|Profile=Private|Profile=Public|LPort=3389|App=System|Name=@FirewallAPI.dll,-28753|Desc=@FirewallAPI.dll,-　28756|EmbedCtxt=@FirewallAPI.dll,-28752|Edge=FALSE|
　
　
Windows Firewall　サービス停止のコマンド
sc \\対象のリモートPC名 stop mpssvc
　　
　　
　
こちらも参考に。
　
解決方法 : リモート デスクトップ 接続ができない場合
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/49.html
　
解決方法 ： [システムのプロパティ] に [リモート] タブが表示されない
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/12.html

[ セキュリティの構成ウィザード ] を使用してポートの開放を行う。基本的に server 2003 と同じ。
ファイアウォール の設定を自分でちまちま設定するよりはるかに便利で楽である。
自分で使いたいと思っている特定のポートも手動で開放でき、また普段何を開放していればいいのかも自動で設定してくれる。

続きはこちらをクリック！(写真がいっぱいあるねん、重いねん…)

ここでは、2000 Server（test.localドメイン）をServer 2008へリプレイスするための手順を表示している。
　
====================
行おうとしている内容は以下のとおり。
・2000ドメインを2008ドメインへとリプレイス
・2000DCのIPアドレスとコンピュータ名を2008へ同じ設定で引き継ぐ
・2000サーバーは降格後、撤去予定
　
====================
想定している環境は以下のとおり。
★移行前　
ドメイン名:test.local
DVDドライブ:Q
　　
＜2000DC＞
IPアドレス:192.168.0.1
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.0.254
ホスト名（コンピュータ名）:DC1
　
～～～～～～～～～～～
★移行後
＜2008DC＞
IPアドレス:192.168.0.1(仮IPアドレス:192.168.0.11)
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.0.254
ホスト名（コンピュータ名）:DC1(仮コンピュータ名:2008DC1)

=================
前提条件
2000DC側
・ドメインのモードをネイティブモードにしておくこと
　
2008側
・ドメインに参加しておくこと
・DNSは、まだインストールしない（後でインストールします）
・ドメインの管理者としてログオンしておく
・仮IPアドレス・仮コンピュータ名でドメインに参加する

大まかな手順は以下。
　
-> (2000)他のDCへの複製の無効化
-> (2000)フォレストのアップグレード
-> (2000)ドメインのアップグレード
-> (2000)他のDCへの複製の有効化
-> (2008)ドメインコントローラーにする
-> (2000)スキーママスタと操作マスタの変更
-> (2000)その他の役割の転送
-> (2000)ドメインコントローラーの降格
-> (2008)旧ドメインコントローラー情報の削除
-> (2008)ドメイン･フォレストの機能レベルを上げる
-> (2008)IPアドレスの変更
-> (2008)コンピュータ名の変更
-> (2008)複製の有効化

======================
詳細は次のとおり。

-> (2000)他のDCへの複製の無効化
これは、現在の状態がドメインコントローラーへ複製されないようにするために行う。
　
①　コマンドプロンプトを開く
②　repadmin /options DC1.test.local +disable_outbound_repl
　
簡単です。次はフォレストの準備
------------------------------
-> (2000)フォレストのアップグレード
　
コマンドプロンプトから、以下を入力
①　Q:\sources\adprep\adprep /forestprep
　
少しお待ちを…以下の内容が表示されます。
～～～～～～～～～～～～～～～　
ADPREP の警告:

adprep を実行する前に、フォレスト内のすべての Windows 2000 Active Directory ドメイン コントローラを Windows 2000 Service Pack 4 (SP4) 以降にアップグレードする必要があります。

[ユーザーによる操作]
既存の Windows 2000 Active Directory ドメイン コントローラのすべてがこの要件を満たす場合は、C キーを押してから Enter キーを押して続行してください。中止するには、その他のキーを押してから Enter キーを押してください。
　
～～～～～～～～～～～～～～～　
②　よければキーボードの「C」キーを押します
　　…終了したら、以下の内容が表示されます。しばしお待ちを。
　
「Adprep はフォレスト全体の情報を正しく更新しました。」
　
簡単ですね。では次は、ドメインの準備を行います。
------------------------------
-> (2000)ドメインのアップグレード　
　
コマンドプロンプトから以下を入力
①　Q:\sources\adprep\adprep /domainprep /gpprep
　
…終了したら、以下の内容が表示されます。
　
「Adprep はドメイン全体の情報を正しく更新しました。」
　
つぎは無効にした複製動作を有効に戻しておきます。
------------------------------
-> (2000)他のDCへの複製の有効化
　
コマンドプロンプトから以下を入力･実行
①　repadmin /options DC1.test.local -disable_outbound_repl

ここまでは、2000DC1側での操作です。同様にDC2も行います。
　
================================
ここからは、2008メンバーサーバ側での操作です。
================================
-> (2008)ドメインコントローラーにする
　
上記の前提条件を確認して以下のとおりに実行します。
　
コマンドプロンプトを開き、以下を入力･実行する
①　dcpromo
②　「詳細モード インストールを使用する(A)」チェックせず「次へ」
③　オペレーティング システムの互換性
　　「次へ(N)>」
④　展開の構成の選択
　　「既存のフォレスト(E)」を選択
　　「既存のドメインにドメイン コントローラを追加する(A)」選択
　　「次へ(N)>」
⑤　ネットワーク資格情報
　　このドメイン コントローラをインストールするフォレスト内のドメイン名を入力してください(T)
　　「test.local」が入力されているかを確認
　　インストールを実行するために使用するアカウントの資格情報を指定してください
　　「現在のログオン資格情報(test\administrator)(C)」を選択
　　「次へ(N)>」
⑥　ドメインの選択
　　ドメイン(D)「test.local(フォレスト ルート ドメイン)」を選択しているはずなので、そのまま「次へ(N)>」
⑦　["adprep /rodcprep" がまだ実行されていないため、このドメインに読み取り専用ドメイン コントローラをインストールできません。　続行しますか?]
　　「はい(Y)」
⑧　サイトの選択
　　サイト(S)「Default-First-Site-Name」を選択しているはずなので、そのまま「次へ(N)>」
⑨　追加のドメイン コントローラ オプション
　　このドメイン コントローラの追加オプションを選択しください
　　　以下をチェック入れる
　　　　■DNS サーバー(D)
　　　　■グローバル カタログ(G)
　　「次へ(N)>」
⑩　[権限のある親ゾーンが見つからないか、あっても Windows DNS サーバーが実行されていないため、この DNS サーバーの委任を作成できません。ドメイン test.local 外からの名前解決が確実に行われるように、、親ゾーンでこの DNS サーバーへの委任を手動で作成してください。　続行しますか?]
　　「はい(Y)」
⑪　データベース、ログ ファイル、および SYSVOL の場所（任意）
　　データベースのフォルダ(D)
　　　C:\Windows\NTDS
　　ログ ファイルのフォルダ(L)
　　　D:\Windows\NTDS
　　SYSVOL フォルダ(S)
　　　C:\Windows\SYSVOL
　　「次へ(N)>」
⑫　ディレクトリ サービス復元モード Administrator パスワード
　　パスワード(P)「」
　　パスワードの確認入力(C)「」
⑬　概要
　　「次へ(N)>」　
　
…しばらく時間がかかります。
⑭　ドメインコントローラになった後、再起動します

ここまでで、いったん2008側の操作は、ひと休みします。
　
===============================
ここからは2000DC側での操作を行います。
===============================
-> (2000)スキーママスタと操作マスタの変更
　
コマンドプロンプトを開き、以下を入力･実行
①　regsvr32 schmmgmt.dll「Enter」
②　「OK」クリック
以下を入力･実行
③　mmc「Enter」
④　「コンソール(C)」クリック
⑤　「スナップインの追加と削除(M)」クリック
⑥　「スタンドアロン」タブ選択
⑦　「追加(D)」クリック
⑧　「Active Directory スキーマ」選択後、「追加(A)」クリック
⑨　「閉じる」クリック
⑩　「ＯＫ」クリック
　
コンソール ルートで操作
⑪　「Active Directory スキーマ」を右クリック
⑫　「ドメインコントローラの変更」クリック
⑬　「名前の指定(S)」2008DC1.test.local選択し、「OK」
⑭　「Active Directory スキーマ」を右クリック
⑮　「操作マスタ」クリック
⑯　　スキーマ マスタの変更「変更(C)」クリック
⑰　　操作マスタを変更しますか?「OK」クリック
⑱　　操作マスタは転送されました。「OK」クリック
⑲　「キャンセル」で戻る
⑳　コマンドプロンプトを閉じる
------------------------------------
-> (2000)その他の役割の転送…1/2
　
①　管理ツール「Active Directory ドメインと信頼関係」展開
②　「Active Directory ドメインと信頼関係」右クリック後、
　　　「ドメインコントローラに接続…」クリック
③　「2008DC1.test.local」選択し、「ＯＫ」をクリック
④　「Active Directory ドメインと信頼関係」右クリック後、
　　　「操作マスタ…」クリック
⑤　「変更(H)」クリック
⑥　「ＯＫ」クリック
⑦　「ＯＫ」クリック
⑧　「ドメイン名前付け操作マスタ」変更されているかを確認してから
　　　「閉じる(C)」クリック
⑨　「Active Directory ドメインと信頼関係」終了
------------------------------------
-> (2000)その他の役割の転送…2/2
　
①　管理ツール「Active Directory ユーザーとコンピュータ」展開
②　「Active Directory ユーザーとコンピュータ」右クリック
　　　「ドメインコントローラに接続(C)」クリック
③　「2008DC1.test.local」選択し、「ＯＫ」クリック
④　「Active Directory ユーザーとコンピュータ」右クリック
　　　「操作マスタ(M)」クリック
⑤　「インフラストラクチャ」タブ選択後、「変更(C)」クリック
⑥　「はい(Y)」クリック
⑦　「ＯＫ」クリック
⑧　「インフラストラクチャ」変更されているかを確認し「ＯＫ」
⑨　「PDC」タブ選択後、「変更(C)」クリック
⑩　「はい(Y)」クリック
⑪　「ＯＫ」クリック
⑫　「PDC」変更されているかを確認し「ＯＫ」
⑬　「RID」タブ選択後、「変更(C)」クリック
⑭　「はい(Y)」クリック
⑮　「ＯＫ」クリック
⑯　「RID」変更されているかを確認し「ＯＫ」
⑰　「Active Directory ユーザーとコンピュータ」を終了
　
-------------------------------
-> (2000)ドメインコントローラーの降格

①　「dcpromo」
　　　「Enter」
②　「次へ(N)>」
③　「ＯＫ」
④　「このサーバーはドメインの最後のドメインコントローラです(T)」
　　　「チェック」なし
　　　「次へ(N)>」
⑤　パスワード「DC復元モードのパスワード」入力し、「次へ(N)>」
⑥　「次へ(N)>」
⑦　「完了」
⑧　「再起動する(R)」
　
※2000サーバーのDNSを残す場合、またはドメインコントローラにある
共有ファイルの移行を新サーバへ行いたい場合などは、
降格が完了するまでにFSMTやコマンドなどで行う。
　
※2000DC1に移動プロファイルの格納先フォルダがある場合には、
必ずファイルサーバーの移行を行い、
移動ユーザーのプロファイルパスの変更を必ず行うこと。
　
※DHCPサーバがある場合、先に2008DCへDHCPを立ててから
「承認の解除」を行う。
また、RISが動作している場合は、撤去後、使用できなくなることを念頭に入れておく。
　
また、撤去せずにメンバーサーバにしてRISを動作させる場合は、
「BINL」「DHCP Server」「TFTP」サービスを使用したいときにだけ
サービス開始できるようにして、普段は無効状態にしておく。

これらの場合、すべての作業完了後、降格し、再起動してから
IPアドレスとコンピュータ名を変更してドメインに再参加する。
　
　
===============================
-> (2008)旧ドメインコントローラー情報の削除
===============================
もう一息、がんばろう
　
　
①　管理ツール「Active Directory サイトとサービス」展開
②　「Site」
　　　「Default-First-Site-Name」
　　　　「Servers」
　　　　　「2000DC1」右クリック
　　　「削除(D)」
④　「はい(Y)」
⑤　「2000DC1」がなくなったことを確認し、
　　「Active Directory サイトとサービス」終了
　
------------------------------------
-> (2008)ドメイン･フォレストの機能レベルを上げる
これは変更を元には戻せないので慎重に行うようにすること。　
　
変更は、管理ツール「Active Directory ドメインと信頼関係」　
------------------------------------
-> (2008)IPアドレスの変更
　
ネットワーク接続の管理、またはネットワークと共有センターから
ローカルエリア接続のプロパティを開き、変更する。

-> (2008)コンピュータ名の変更
　
システムのプロパティを開き、「コンピュータ」タブ-「変更」をクリックして変更し、再起動する。
　
再起動後、DNSサーバー情報が変更されているかを確認する。
　
----------------------------------
-> (2008)複製の有効化
※機能レベルを2008にまで上げた場合には必要である。

①　コマンドプロンプト
②　「dfsrmig /GetGlobalState」
③　「dfsrmig /SetGｌobalState 0」
④　「dfsrmig /GetGlobalState」
⑤　「dfsrmig /GetMigrationState」
⑥　「dfsrmig /SetGlobalState 1」
⑦　イベントビューア
　　　イベントID 8010（移行準備開始）
　　　イベントID 8014（移行準備完了）
　　　　が表示されることを確認
⑧　「dfsrmig /GetMigrationState」
⑨　「dfsrmig /SetGlobalState 2」
⑩　イベントビューア
　　　イベントID 8015（リダイレクト処理開始）
　　　イベントID 8017（リダイレクト処理完了）
　　　　が表示されることを確認
⑪　「dfsrmig /SetGlobalState 3」
⑫　イベントビューア
　　　イベントID 8018（削除済み開始）
　　　イベントID 8019（削除済みリダイレクト処理完了）
　　　　が表示されることを確認
⑬　「dfsrmig /GetMigrationState」で状態を確認する。