ねこ鯖 nekoserver 鯖缶はたいへんだニャーの巻

リモートプロシージャコール…つまり、別PC上のファイル共有等にアクセスできるか、をコマンドプロンプトを使って確認する。
　
設定条件：
DNS サーバ名「DC1」
DC1 のIP アドレス「192.168.0.1」
ドメイン名「nekoprint」
管理者名「administrator」
パスワード「nekopass」
　
net use \\DC1\ipc$ user:nekoprint\administrator nekopass
　　
　
もしくは、net share コマンドでSYSVOL共有／NETLOGON共有があるかどうかの確認を行う。
共有がない場合には、以下のリンクへ行って操作する。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/10.html
　
　
　
そうでなければ、以下の場所を見れば対策の参考にできるかも。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/131.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/151.html
　　
　　
　　
　　
☆主に考えられる原因　RPC エンドポイント マッパー
　
・名前解決でのトラブル　-> 経路上の障害
相手のPCに対して名前解決が出来ることを確認
　nslookup を使用してみる
　　-> DNS 参照ができているかどうか確認できる。Time Out しないか。
　
　Ping して、正しいホスト名になっているかどうかをみる（RPC エンドポイントマッパーを持つサーバーへ送る）
　　-> ping -a 192.168.0.1
　
　

・ファイアウォールが正常か。
名前解決もPing疎通も確認できているのにもかかわらずRPCエラーが出るのならポート開放の確認
　-> 135/tcp (RPC エンドポイント マッパー / 全 OS バージョン共通)
　-> 1024-5000/tcp,udp (RPC 動的ポート / Windows Server 2003, Windows XP の場合)
　49152-65535/tcp,udp (RPC 動的ポート / Windows Server 2008, Windows Vista の場合)
　
　
　　　
　
　
あと、DNS サービスもファイアウォールでちゃんと通過させているか。
TCP/UDP 53 だけじゃなく、特に RPC エンドポイント マッパーと、RPC 動的ポート。
要は、RPC で使う TCP 135 ポートと動的ポートだけの問題じゃないってこと。
　
　
　
　
また、Windows 2008 R2 以降でファイル複製サービスにFRSではなく、DFSRを使用している場合には、TCP 5722 ポートを追加する。
　
どうしてもポートがうまく解放されない場合は、一度ファイアウォールを無効化してから、目的の通信ポートを使用したサーバー間通信を行ってみるとよい。RPC サーバー間の通信ならたいてい5分以内に接続が再試行される。セキュリティが気になるなら、デフォゲを空白にして外部との通信は遮断したほうがより安全ではあるが・・・
ファイアウォールを無効にしたら通信しているのに、有効に戻したら通信できていないということは・・・。　　
無効にしても通信ができない場合は別の問題がある可能性。　
　
　
　
極端な話、画像のように　netstat コマンドで表示されるポート全てをファイアウォール等で通過させるように設定しているか。
　
　
　　
　　　
　
　

各ポートが何に使われているか詳細を知りたければ、Portqry ツールを使うといい。
　-> portqry -n dc1 -e 135　

この例では、TCP 135ポートがどんなサービス（エンドポイント）に直結しているかを見ている。
（実際にはもっと行数が表示される）
http://www.microsoft.com/downloads/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en　
　　
以下はエラーの例：
2012 R2・・・RPC query failed (6bf).　
2008 R2・・・TCP port 135 (epmap service): FILTERED
　
　

ただ、ポートの開放が多すぎるとそれもまたセキュリティ上の問題もでてくるので、ポートの使用範囲をIPSEC等を使って制限するようにしてもいいのではなかろうか。
※要は、ファイアウォールでRPC 用のポート受付はできるようにしておきながら、IPSECでポート受け入れをある程度制限するという、ね…
　
　
　
発信元のモザイクはクライアント側IPアドレス、宛先IPアドレスはDCのIPアドレスです。
こちらと同様に、RPC動的ポート（TCP49152-49158など）の設定も行うとよい。(Windows Server 2012 R2まで）
Windows 10の場合はTCP49664-49669　などを設定。　
　
　
　
セキュリティ確保のためにはもちろん、コレとは別に【All IP トラフィック】の全拒否の設定も行うこと。

現在稼動中のドメイン コントローラーで操作します。
　
ntdsutil
metadata cleanup
connections
connect to server ＜DC名＞
quit
select operation target　
list domains
select domain ＜list domains で表示されたドメイン番号＞
list sites
select site ＜list sites で表示されたドメイン番号＞
list servers in site
　※ここで現在のドメインコントローラーが一覧表示されます。
　撤去または降格したドメインコントローラーが一覧にないかチェックします。
　撤去または降格したDCがなければ
quit
quit
quit
　で ntdsutil を終了。
　
--------------------------------------------------------　
撤去または降格したDCがあれば以下のように実行する。
　
select server ＜削除対象のサーバー番号＞
quit
remove selected server
　※これで不要な metadata は削除できます。
quit
quit
quit
　ntdsutil を終了します。
　　
続いて Dsa を起動し、対象のコンピューター名を削除と、DsSite を起動し、複製パートナーを削除。
　
DNS 管理コンソール（dnsmgmt.msc）を起動。
【_msdcs.＜ドメイン名＞】 ゾーンにある撤去または降格した CNAME を削除します。
撤去または降格したドメイン コントローラーのAレコードやその他残存の DNS レコードを削除します。
DNS ゾーン内の【ネーム サーバー】タブに 撤去または降格した DNS サーバーがあれば削除する。
逆引き参照ゾーンにも撤去または降格したドメイン コントローラーのアドレスがあれば削除します。
　
　
　
　
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
おまけ　DC強制降格とメタデータクリーンアップ
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
通常降格に失敗したドメインコントローラーで操作
1.dcpromo/forceremoval

2.[OK] をクリック。

3.Active Directory のインストール ウィザードへようこそページで、次へをクリックします。

4.強制 Active Directory の削除] ページで次のようにクリックします。

5.管理者パスワードのパスワードと、ローカルの SAM データベースの管理者アカウントに割り当てるパスワードを入力、[次へ] をクリックします

6.要約すると[次へ]をクリックします。

7.フォレスト内に残っているドメイン コント ローラーの降格したドメイン コント ローラーのメタデータのクリーンアップを実行します。

------------------------------------------------------------------------------------
Metadata Cleanup 　コマンド
※ここでは、ns1 を削除対象として説明
正常に稼動しているＤＣで操作

ドメイン名: nekoprint.net
ドメイン コントローラー: ns.nekoprint.net および ns1.nekoprint.net の 2 台構成
FSMO の役割の所有者: ns.nekoprint.net
ドメインの構成: シングル フォレスト、シングル ドメイン
サイトの構成: Default-First-Site-Name のみ

ntdsutil
metadata cleanup
metadata cleanup: Connections
server connections: connect to server localhost
server connections: q

metadata cleanup: select operation target
select operation target: list domains

select operation target: list domains
1 個のドメインを検出しました
0 - DC=nekoprint,DC=net

select operation target: select domain 0

select operation target: select domain 0
現在のサイトがありません
ドメイン - DC=nekoprint,DC=net
現在のサーバーがありません
現在の名前付けコンテキストがありません

select operation target: list sites

select operation target: list sites
1 個のサイトを検出しました
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net

select operation target: select site 0

select operation target: select site 0
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net
ドメイン - DC=test,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません

select operation target: list server in site

select operation target: list server in site
2 個のサーバーを検出しました
0 - CN=ns,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net
1 - CN=ns1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net

select operation target: select server 1

select operation target: select server 1
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net
ドメイン - DC=nekoprint,DC=net
サーバー - CN=ns1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net
DSA オブジェクト - CN=NTDS Settings,CN=ns1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nekoprint,DC=net
DNS ホスト名 - ns1.nekoprint,DC=net
コンピュータ オブジェクト - CN=ns1,OU=Domain Controllers,DC=nekoprint,DC=net
現在の名前付けコンテキストがありません

select operation target: q

metadata cleanup:remove selected server
サーバーの削除確認ダイアログウィンドウが表示される。削除対象のＤＣであることを確認し、「はい」
------------------------------------------------------------------------------------
※"要素が見つかりません" などのメッセージが表示される可能性がありますが、最後に下記の太字のようなメッセージが表示されていれば、正常に削除ができたと判断できますので、 "quit" を入力し、Enter キーを 2 回押して ntdsutil ユーティリティを終了します。
metadata cleanup: remove selected server
選択されたサーバーから FSMO 役割を転送/強制処理しています。
選択されたサーバーのために FRS メタデータを削除しています。
"CN=DC02,OU=Domain Controllers,DC=test,DC=local" 下で FRS メンバを検索しています。

FRS メンバ "CN=DC02,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local" を削除しています。
"CN=DC02,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local" 下のサブツリーを削除しています。
"CN=DC02,OU=Domain Controllers,DC=test,DC=local" 下のサブツリーを削除しています。
CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local 上の FRS 設定の削除に失敗しました。原因は次のとおりです: "要素が見つかりません。";
メタデータのクリーンアップは続行されます。
"CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local" をサーバー "localhost"から削除しました

metadata cleanup: quit
ntdsutil: quit
localhost から切断しています...

------------------------------------------------------------------------------------
dssite.msc　 複製に使用する接続オブジェクトの削除
作業対象: 正常に稼働している任意のドメイン コントローラー 1 台

[Sites] - [<サイト名>] - [Servers] - [<ドメイン コントローラー名>] - [NTDS Settings] を選択します。

右ペインに [レプリケート元サーバー] が削除対象のドメイン コントローラーとなっているオブジェクトが存在していれば、左ペインの [NTDS Settings] を右クリックし、[すべてのタスク] - [レプリケーション トポロジの確認] をクリックします。

[レプリケーション トポロジの確認] というポップアップが表示されたら、[OK] をクリックします。

右ペインにて [最新の情報に更新] し、削除対象のドメイン コントローラーとのオブジェクトが削除されることを確認します。

手順 2 から手順 5 までの作業を [Sites] - [<サイト名>] - [Servers] の削除対象のドメイン コントローラーを除くすべてのドメイン コントローラーについて実施します。

7. 左ペインにて [Sites] - [<削除対象のドメイン コントローラーのサイト名>] - [Servers] - [<削除対象のドメイン コントローラー名>] を選択した状態で右クリックして表示されるメニューで [削除] をクリックします。

------------------------------------------------------------------------------------
dsa.msc　ドメインコントローラーのコンピューターオブジェクトの削除 (削除されているかの確認)
作業対象: 正常に稼働している任意のドメイン コントローラー 1 台

[Domain Controllers] 配下に存在する削除対象のドメイン コントローラーを削除します。(存在しない場合には、すでに削除されているため、次に進みます。

------------------------------------------------------------------------------------
adsiedit.msc　FRS のオブジェクトの削除 (削除されているかの確認)
作業対象: 正常に稼働している任意のドメイン コントローラー 1 台

左ペインのツリーを [Domain NC [<ドメイン名>]] - [<ドメインの DN>] - [CN=System] - [CN=File Replication Service] - [CN=Domain System Volume (SYSVOL share)] の順に展開します。

右ペインに [CN=<削除対象のドメイン コントローラー] が存在していれば削除し、次に進みます。

------------------------------------------------------------------------------------
[E] DNS レコードの削除 (削除されているかの確認)
作業対象: 正常に稼働している任意のドメイン コントローラー 1 台

dnsmgmt.msc

[前方参照ゾーン] - [_msdcs.<フォレスト ルート ドメイン>] 配下に、"データ" が削除対象のドメイン コントローラーとなっている CNAME レコードが存在すれば削除します。

[前方参照ゾーン] - [<削除したドメイン コントローラーが所属するドメイン>] ゾーン配下の NS レコードのプロパティを開きます。

[ネーム サーバー] タブで削除対象のドメイン コントローラーの FQDN が表示されていれば、そのエントリを選択し、[削除] をクリックし、[OK] をクリックします。

[前方参照ゾーン] - [<削除したドメイン コントローラーが所属するドメイン>] ゾーン配下に "名前" が削除対象のドメイン コントローラーとなっている A レコードが存在すれば削除します。

/////////////////////////////////////////////////////////////////////////////////////

以上で削除対象のドメイン コントローラーの情報の削除手順は終了です。

なぜか、XmailのSMTPアクセスに変な現象が起きた。

Return-Path: <xxx@xxx.net>
Received:From <xxx@xxx.net>
Delivered-To: <zzz@zzz.com>
Received:for <zzz@zzz.com>
Message-ID: <……@……>
From: 送信者の名前 <xxx@xxx.net>
・・・まではいい。だが、その後が問題だ。

To: <aaa@aaa.co.jp>

なんだこれは？　[ TO: <aaa@aaa.co.jp> ]の部分がわけわからん！
"なりすまし"っぽくないし、こんな事をして何の意味があるのだろうか。誰やねん、おまえはよ～。よくわからんことすんなって～の！誰に宛てたメールやねん。普通は<zzz@zzz.com>になるはずなんじゃないのか？こっちの設定ミスか？ただでさえいろいろあるのに全く関係ないドメイン宛てのメールを送り付けやがって。しかも何で到着すんねん？も～～～～！！！

･･･てなわけで設定見直し変更箇所が以下。

クライアントドメインの逆引き (SMTP-RDNSCheck)　無効→有効
クライアントドメインをチェック (CheckMailerDomain)　無効→有効

他、関連の設定方法は以下。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/71.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/25.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/54.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/104.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/62.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/112.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/144.html

XmailCFG 2.31 と K4_0.89e を設定してみました！
結果は何にも変わらず…
K4_0.89e用のActivePerl 5.8 対応拡張モジュールの[ config.cgi ]909行目～と [ login.cgi ]48行目～の編集し、文字化け対策やらログイン対策をしても変化がなかった。限界なのか？別のメールサーバーを使えってことなのか？めんどくさいなあ。

文字化け対策やログイン時のe510エラー対策などの設定方法は以下

https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/62.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/71.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/54.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/25.html
https://www.nekoprint.jp/cgi-in/nekonekodiary/archives/112.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/86.html
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/104.html

　
上記画像のように赤い↓矢印が出て、マイ コンピュータのプロパティ表示ができない場合には、以下の対策を実施する。
　
①　コマンド プロンプト を、管理者権限にて開く
　
②　以下を入力し、実行する
　　　net stop msdtc
　
③　以下を入力し、実行する
　　　cd /d %windir%\system32
　　　msdtc -uninstall
　
　
④　レジストリエディタを起動し、以下のレジストリキーがないことを確認する
　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC
　

　
　　
⑤　MSDTCのログファイルを削除する
　
　　　場所：C:\Windows\System32\Msdtc
　
　
　
　
⑥　コマンド プロンプト を、管理者権限にて開く
　
⑦　以下を入力し、実行する
　　　　
　　　cd /d %windir%\system32
　　　msdtc -install
　
　
⑧　Windows ファイアウォール を構成する（Windows ファイアウォール構成環境の場合のみ）
　　　・Windows ファイアウォール 「設定の変更」　を展開する
　　　・「例外」タブをクリック
　　　・「プログラムの追加」ボタンをクリック
　　　・「参照」ボタンをクリック
　　　・【C:\Windows\System32\msdtc.exe】を選択し、「開く」をクリック
　　　・「スコープの変更」ボタンをクリックし、ユーザーの環境に合わせ、「OK」をクリック
　　　・プログラムの追加ウィンドウに戻る。「OK」をクリック
　　　・例外に追加されているかを確認し、「OK」をクリック
　

　
　
⑨　コマンド プロンプト を、管理者権限にて開く
　
⑩　以下を入力し、実行する
　　　net start msdtc
　
　
　
　
※　上記の対策でもだめな場合には、セキュリティの構成ウィザードまたは、サービスの状態を確認する

COM+ Event System
　開始　自動
COM+ System Application
　開始(停止でも可)　手動
Distributed Transaction Coordinator
　開始　自動

ポートが開放されているにもかかわらず、Windows 2000 server から server 2003 へアップグレードした場合に発生する、リモートデスクトップ接続ができない(使えない)場合の解決方法がコレだ。

こんな方は要チェック！！
ターミナル サービス構成スナップイン (Tscc.msc) を使用すると、トランスポート (RDP-Tcp) が存在し、機能しているように見えます。ただし、ターミナル サービス マネージャ (Tsadmin.exe) を使用してトランスポートを表示すると、RDP-TCP リスナが "Down 65536" と表示されます。

★★対策方法はコチラ！(画像あり)★★

必要条件
Business/Professional 以上のバージョン（Home～エディションは不可能）
リモート サービス管理
Remoteregistry サービス（両方のPCで設定する）
ドメイン環境を想定
　

＜RemoteRegistry サービス＞　　
起動していない場合には、次のコマンドを入力し、実行する
sc \\対象のリモートPC名 start remoteregistry
　
起動しているかを確認する場合
sc \\対象のリモートPC名 query remoteregistry
　
================================================　
リモートデスクトップ接続を許可する場合の編集箇所
　
■全OS共通　　　　
＜レジストリの編集場所＞　
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Terminal Server
　
値の名前
fDenyTSConnections
　
値の種類　
REG_DWORD
　
値のデータ
1→許可しない（デフォルト）
0→許可する
　
　
■Windows Vista 以降はこちらも設定
＜レジストリの編集場所＞　
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
　
値の名前
UserAuthentication
　
値の種類　
REG_DWORD
　
値のデータ
0 = リモートデスクトップを実行しているコンピュータからの
　　接続を許可する(セキュリティのレベルは低くなります)
1 = ネットワーク レベル認証でリモート デスクトップを実行している
　　コンピュータからのみ接続を許可する(セキュリティのレベルは高くなります)
　　
　
■ポート番号を変えたい場合には以下の場所を編集する　
　
全OS共通
＜レジストリの編集場所＞　
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
　　
値の名前
PortNumber
　
値の種類　
REG_DWORD
　
値のデータ
変更したい任意の番号を入力
　
　
　　
---------------------------------------------------------------
※Windowsファイアウォールが有効な場合の対処

Windows Server 2003以下の場合
＜ドメイン構成時＞
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\GloballyOpenPorts\List
　
値の名前
3389:TCP
　
値の種類
REG_SZ
　
値のデータ
3389:TCP:*:Enabled:ポート 3389 TCP　
　
スコープは"*"（全てのネットワーク）か、IPアドレス、またはIPアドレス/サブネットを入力してもよい。
例：
3389:TCP:192.168.0.1:Enabled:ポート 3389 TCP　
3389:TCP:192.168.0.0/24:Enabled:ポート 3389 TCP　
　
　
＜ワークグループ構成時＞
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\List
　
値の名前
3389:TCP
　
値の種類
REG_SZ
　
値のデータ
Enabled　→TCPポート3389番の着信を許可
Disabled　→TCPポート3389番の着信を許可しない（デフォルト）
　
　
Windows VISTA 以降の場合
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\FirewallRules
　
値の名前
RemoteDesktop-In-TCP
　
値の種類
REG_SZ
　
値のデータ　※OSによって違う…
v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Domain|Profile=Private|Profile=Public|LPort=3389|App=System|Name=@FirewallAPI.dll,-28753|Desc=@FirewallAPI.dll,-　28756|EmbedCtxt=@FirewallAPI.dll,-28752|Edge=FALSE|
　
　
Windows Firewall　サービス停止のコマンド
sc \\対象のリモートPC名 stop mpssvc
　　
　　
　
こちらも参考に。
　
解決方法 : リモート デスクトップ 接続ができない場合
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/49.html
　
解決方法 ： [システムのプロパティ] に [リモート] タブが表示されない
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/12.html

[ セキュリティの構成ウィザード ] を使用してポートの開放を行う。基本的に server 2003 と同じ。
ファイアウォール の設定を自分でちまちま設定するよりはるかに便利で楽である。
自分で使いたいと思っている特定のポートも手動で開放でき、また普段何を開放していればいいのかも自動で設定してくれる。

続きはこちらをクリック！(写真がいっぱいあるねん、重いねん…)

ここでは、2000 Server（test.localドメイン）をServer 2008へリプレイスするための手順を表示している。
　
====================
行おうとしている内容は以下のとおり。
・2000ドメインを2008ドメインへとリプレイス
・2000DCのIPアドレスとコンピュータ名を2008へ同じ設定で引き継ぐ
・2000サーバーは降格後、撤去予定
　
====================
想定している環境は以下のとおり。
★移行前　
ドメイン名:test.local
DVDドライブ:Q
　　
＜2000DC＞
IPアドレス:192.168.0.1
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.0.254
ホスト名（コンピュータ名）:DC1
　
～～～～～～～～～～～
★移行後
＜2008DC＞
IPアドレス:192.168.0.1(仮IPアドレス:192.168.0.11)
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.0.254
ホスト名（コンピュータ名）:DC1(仮コンピュータ名:2008DC1)

=================
前提条件
2000DC側
・ドメインのモードをネイティブモードにしておくこと
　
2008側
・ドメインに参加しておくこと
・DNSは、まだインストールしない（後でインストールします）
・ドメインの管理者としてログオンしておく
・仮IPアドレス・仮コンピュータ名でドメインに参加する

大まかな手順は以下。
　
-> (2000)他のDCへの複製の無効化
-> (2000)フォレストのアップグレード
-> (2000)ドメインのアップグレード
-> (2000)他のDCへの複製の有効化
-> (2008)ドメインコントローラーにする
-> (2000)スキーママスタと操作マスタの変更
-> (2000)その他の役割の転送
-> (2000)ドメインコントローラーの降格
-> (2008)旧ドメインコントローラー情報の削除
-> (2008)ドメイン･フォレストの機能レベルを上げる
-> (2008)IPアドレスの変更
-> (2008)コンピュータ名の変更
-> (2008)複製の有効化

======================
詳細は次のとおり。

-> (2000)他のDCへの複製の無効化
これは、現在の状態がドメインコントローラーへ複製されないようにするために行う。
　
①　コマンドプロンプトを開く
②　repadmin /options DC1.test.local +disable_outbound_repl
　
簡単です。次はフォレストの準備
------------------------------
-> (2000)フォレストのアップグレード
　
コマンドプロンプトから、以下を入力
①　Q:\sources\adprep\adprep /forestprep
　
少しお待ちを…以下の内容が表示されます。
～～～～～～～～～～～～～～～　
ADPREP の警告:

adprep を実行する前に、フォレスト内のすべての Windows 2000 Active Directory ドメイン コントローラを Windows 2000 Service Pack 4 (SP4) 以降にアップグレードする必要があります。

[ユーザーによる操作]
既存の Windows 2000 Active Directory ドメイン コントローラのすべてがこの要件を満たす場合は、C キーを押してから Enter キーを押して続行してください。中止するには、その他のキーを押してから Enter キーを押してください。
　
～～～～～～～～～～～～～～～　
②　よければキーボードの「C」キーを押します
　　…終了したら、以下の内容が表示されます。しばしお待ちを。
　
「Adprep はフォレスト全体の情報を正しく更新しました。」
　
簡単ですね。では次は、ドメインの準備を行います。
------------------------------
-> (2000)ドメインのアップグレード　
　
コマンドプロンプトから以下を入力
①　Q:\sources\adprep\adprep /domainprep /gpprep
　
…終了したら、以下の内容が表示されます。
　
「Adprep はドメイン全体の情報を正しく更新しました。」
　
つぎは無効にした複製動作を有効に戻しておきます。
------------------------------
-> (2000)他のDCへの複製の有効化
　
コマンドプロンプトから以下を入力･実行
①　repadmin /options DC1.test.local -disable_outbound_repl

ここまでは、2000DC1側での操作です。同様にDC2も行います。
　
================================
ここからは、2008メンバーサーバ側での操作です。
================================
-> (2008)ドメインコントローラーにする
　
上記の前提条件を確認して以下のとおりに実行します。
　
コマンドプロンプトを開き、以下を入力･実行する
①　dcpromo
②　「詳細モード インストールを使用する(A)」チェックせず「次へ」
③　オペレーティング システムの互換性
　　「次へ(N)>」
④　展開の構成の選択
　　「既存のフォレスト(E)」を選択
　　「既存のドメインにドメイン コントローラを追加する(A)」選択
　　「次へ(N)>」
⑤　ネットワーク資格情報
　　このドメイン コントローラをインストールするフォレスト内のドメイン名を入力してください(T)
　　「test.local」が入力されているかを確認
　　インストールを実行するために使用するアカウントの資格情報を指定してください
　　「現在のログオン資格情報(test\administrator)(C)」を選択
　　「次へ(N)>」
⑥　ドメインの選択
　　ドメイン(D)「test.local(フォレスト ルート ドメイン)」を選択しているはずなので、そのまま「次へ(N)>」
⑦　["adprep /rodcprep" がまだ実行されていないため、このドメインに読み取り専用ドメイン コントローラをインストールできません。　続行しますか?]
　　「はい(Y)」
⑧　サイトの選択
　　サイト(S)「Default-First-Site-Name」を選択しているはずなので、そのまま「次へ(N)>」
⑨　追加のドメイン コントローラ オプション
　　このドメイン コントローラの追加オプションを選択しください
　　　以下をチェック入れる
　　　　■DNS サーバー(D)
　　　　■グローバル カタログ(G)
　　「次へ(N)>」
⑩　[権限のある親ゾーンが見つからないか、あっても Windows DNS サーバーが実行されていないため、この DNS サーバーの委任を作成できません。ドメイン test.local 外からの名前解決が確実に行われるように、、親ゾーンでこの DNS サーバーへの委任を手動で作成してください。　続行しますか?]
　　「はい(Y)」
⑪　データベース、ログ ファイル、および SYSVOL の場所（任意）
　　データベースのフォルダ(D)
　　　C:\Windows\NTDS
　　ログ ファイルのフォルダ(L)
　　　D:\Windows\NTDS
　　SYSVOL フォルダ(S)
　　　C:\Windows\SYSVOL
　　「次へ(N)>」
⑫　ディレクトリ サービス復元モード Administrator パスワード
　　パスワード(P)「」
　　パスワードの確認入力(C)「」
⑬　概要
　　「次へ(N)>」　
　
…しばらく時間がかかります。
⑭　ドメインコントローラになった後、再起動します

ここまでで、いったん2008側の操作は、ひと休みします。
　
===============================
ここからは2000DC側での操作を行います。
===============================
-> (2000)スキーママスタと操作マスタの変更
　
コマンドプロンプトを開き、以下を入力･実行
①　regsvr32 schmmgmt.dll「Enter」
②　「OK」クリック
以下を入力･実行
③　mmc「Enter」
④　「コンソール(C)」クリック
⑤　「スナップインの追加と削除(M)」クリック
⑥　「スタンドアロン」タブ選択
⑦　「追加(D)」クリック
⑧　「Active Directory スキーマ」選択後、「追加(A)」クリック
⑨　「閉じる」クリック
⑩　「ＯＫ」クリック
　
コンソール ルートで操作
⑪　「Active Directory スキーマ」を右クリック
⑫　「ドメインコントローラの変更」クリック
⑬　「名前の指定(S)」2008DC1.test.local選択し、「OK」
⑭　「Active Directory スキーマ」を右クリック
⑮　「操作マスタ」クリック
⑯　　スキーマ マスタの変更「変更(C)」クリック
⑰　　操作マスタを変更しますか?「OK」クリック
⑱　　操作マスタは転送されました。「OK」クリック
⑲　「キャンセル」で戻る
⑳　コマンドプロンプトを閉じる
------------------------------------
-> (2000)その他の役割の転送…1/2
　
①　管理ツール「Active Directory ドメインと信頼関係」展開
②　「Active Directory ドメインと信頼関係」右クリック後、
　　　「ドメインコントローラに接続…」クリック
③　「2008DC1.test.local」選択し、「ＯＫ」をクリック
④　「Active Directory ドメインと信頼関係」右クリック後、
　　　「操作マスタ…」クリック
⑤　「変更(H)」クリック
⑥　「ＯＫ」クリック
⑦　「ＯＫ」クリック
⑧　「ドメイン名前付け操作マスタ」変更されているかを確認してから
　　　「閉じる(C)」クリック
⑨　「Active Directory ドメインと信頼関係」終了
------------------------------------
-> (2000)その他の役割の転送…2/2
　
①　管理ツール「Active Directory ユーザーとコンピュータ」展開
②　「Active Directory ユーザーとコンピュータ」右クリック
　　　「ドメインコントローラに接続(C)」クリック
③　「2008DC1.test.local」選択し、「ＯＫ」クリック
④　「Active Directory ユーザーとコンピュータ」右クリック
　　　「操作マスタ(M)」クリック
⑤　「インフラストラクチャ」タブ選択後、「変更(C)」クリック
⑥　「はい(Y)」クリック
⑦　「ＯＫ」クリック
⑧　「インフラストラクチャ」変更されているかを確認し「ＯＫ」
⑨　「PDC」タブ選択後、「変更(C)」クリック
⑩　「はい(Y)」クリック
⑪　「ＯＫ」クリック
⑫　「PDC」変更されているかを確認し「ＯＫ」
⑬　「RID」タブ選択後、「変更(C)」クリック
⑭　「はい(Y)」クリック
⑮　「ＯＫ」クリック
⑯　「RID」変更されているかを確認し「ＯＫ」
⑰　「Active Directory ユーザーとコンピュータ」を終了
　
-------------------------------
-> (2000)ドメインコントローラーの降格

①　「dcpromo」
　　　「Enter」
②　「次へ(N)>」
③　「ＯＫ」
④　「このサーバーはドメインの最後のドメインコントローラです(T)」
　　　「チェック」なし
　　　「次へ(N)>」
⑤　パスワード「DC復元モードのパスワード」入力し、「次へ(N)>」
⑥　「次へ(N)>」
⑦　「完了」
⑧　「再起動する(R)」
　
※2000サーバーのDNSを残す場合、またはドメインコントローラにある
共有ファイルの移行を新サーバへ行いたい場合などは、
降格が完了するまでにFSMTやコマンドなどで行う。
　
※2000DC1に移動プロファイルの格納先フォルダがある場合には、
必ずファイルサーバーの移行を行い、
移動ユーザーのプロファイルパスの変更を必ず行うこと。
　
※DHCPサーバがある場合、先に2008DCへDHCPを立ててから
「承認の解除」を行う。
また、RISが動作している場合は、撤去後、使用できなくなることを念頭に入れておく。
　
また、撤去せずにメンバーサーバにしてRISを動作させる場合は、
「BINL」「DHCP Server」「TFTP」サービスを使用したいときにだけ
サービス開始できるようにして、普段は無効状態にしておく。

これらの場合、すべての作業完了後、降格し、再起動してから
IPアドレスとコンピュータ名を変更してドメインに再参加する。
　
　
===============================
-> (2008)旧ドメインコントローラー情報の削除
===============================
もう一息、がんばろう
　
　
①　管理ツール「Active Directory サイトとサービス」展開
②　「Site」
　　　「Default-First-Site-Name」
　　　　「Servers」
　　　　　「2000DC1」右クリック
　　　「削除(D)」
④　「はい(Y)」
⑤　「2000DC1」がなくなったことを確認し、
　　「Active Directory サイトとサービス」終了
　
------------------------------------
-> (2008)ドメイン･フォレストの機能レベルを上げる
これは変更を元には戻せないので慎重に行うようにすること。　
　
変更は、管理ツール「Active Directory ドメインと信頼関係」　
------------------------------------
-> (2008)IPアドレスの変更
　
ネットワーク接続の管理、またはネットワークと共有センターから
ローカルエリア接続のプロパティを開き、変更する。

-> (2008)コンピュータ名の変更
　
システムのプロパティを開き、「コンピュータ」タブ-「変更」をクリックして変更し、再起動する。
　
再起動後、DNSサーバー情報が変更されているかを確認する。
　
----------------------------------
-> (2008)複製の有効化
※機能レベルを2008にまで上げた場合には必要である。

①　コマンドプロンプト
②　「dfsrmig /GetGlobalState」
③　「dfsrmig /SetGｌobalState 0」
④　「dfsrmig /GetGlobalState」
⑤　「dfsrmig /GetMigrationState」
⑥　「dfsrmig /SetGlobalState 1」
⑦　イベントビューア
　　　イベントID 8010（移行準備開始）
　　　イベントID 8014（移行準備完了）
　　　　が表示されることを確認
⑧　「dfsrmig /GetMigrationState」
⑨　「dfsrmig /SetGlobalState 2」
⑩　イベントビューア
　　　イベントID 8015（リダイレクト処理開始）
　　　イベントID 8017（リダイレクト処理完了）
　　　　が表示されることを確認
⑪　「dfsrmig /SetGlobalState 3」
⑫　イベントビューア
　　　イベントID 8018（削除済み開始）
　　　イベントID 8019（削除済みリダイレクト処理完了）
　　　　が表示されることを確認
⑬　「dfsrmig /GetMigrationState」で状態を確認する。

イベントの種類:警告
イベント ソース:WinRM
イベント カテゴリ:なし
イベント ID:10154
日付:****/**/**
時刻:*:*:**
ユーザー:N/A
コンピュータ:DC1
説明:
WinRM サービスは次の SPN を作成できませんでした: WSMAN/DC1.nekoprint.mobi、WSMAN/DC1。

追加データ
受信したエラーは 8344: この操作を実行するのに十分なアクセス権がありません。 。

ユーザー操作
SPN は管理者が setspn.exe ユーティリティを使用して作成できます。
　
　
------------------------------------------
上記警告の対処方法
（ここでは、イベント発生した対象のPCとして、"dc1"　とした。）
　
①　コマンドプロンプト開く
②　現在の状態を確認する。以下のコマンドを入力する。
　
setspn -l dc1
　
-------下のように表示される--------
Registered ServicePrincipalNames for CN=DC1,OU=Domain Controllers,DC=nekoprint,DC=mobi:
　　ldap/dc1.nekoprint.mobi/ForestDnsZones.nekoprint.mobi
　　ldap/dc1.nekoprint.mobi/DomainDnsZones.nekoprint.mobi
　　GC/dc1.nekoprint.mobi/nekoprint.mobi
　　HOST/dc1.nekoprint.mobi/nekoprint.mobi
　　HOST/dc1.nekoprint.mobi/NEKOPRINT
　　ldap/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx._msdcs.nekoprint.mobi
　　ldap/dc1.nekoprint.mobi/NEKOPRINT
　　ldap/DC1
　　ldap/dc1.nekoprint.mobi
　　ldap/dc1.nekoprint.mobi/nekoprint.mobi
　　DNS/dc1.nekoprint.mobi
　　xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/nekoprint.mobi
　　NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/dc1.nekoprint.mobi
　　HOST/DC1
　　HOST/dc1.nekoprint.mobi　
　
③　setspn -a wsman/dc1.nekoprint.mobi dc1　を入力し、エンター
　　　このコマンドで、wsman/dc1.nekoprint.mobi　が登録できる。
　
④　setspn -a wsman/dc1 dc1
　　　このコマンドで、wsman/dc1　が登録できる。
　
※作成できているかを確認するには、以下のコマンドを実行する。
setspn -l dc1
　
今度は、②で取得したリスト内に以下の部分に表示が追加されている。
wsman/dc1
wsman/dc1.nekoprint.mobi