none
dpromo実行時に必要となるネットワーク資格情報について RRS feed

  • 質問

  • お世話になっております。

    ActiveDirectoryのインストールウィザード内の[ネットワーク資格情報]の入力内容についてご教授をお願いいたします。


    現在の環境は以下のとおりです。

    [nnn.com(win2000)]
         |
         [aaa.nnn.com(win2000)]

    上記環境の[aaa.nnn.com]ドメインに追加のDC(win2003)を配置する予定です。
    AD構築ウィザードの[ネットワーク資格情報]のユーザ情報は以下のどのユーザに
    あたりますでしょうか。

    1.フォレストルートドメイン(nnn.com)の管理者ユーザ
    2.ドメイン名前付けマスタを保持しているDCの所属するドメインの管理者ユーザ



    以上、ご教授のほど宜しくお願いいたします。

    2009年3月27日 2:04

回答

  • チャブーンです。

    これですけれど、Active Directory で子ドメインを追加する場合、ドメインの名前を設定するだけでなく、スキーマにも新しいドメインの情報を設定することになります。ですから、フォレストルートの「エンタープライズ管理者権限」が必要になるはずですよ。

    どういう事情で子ドメイン?のドメインコントローラにドメイン名前付けマスタを移したのはわかりませんが、こういう運用は避けた方がいいかな、と思います。本来、ドメイン名前付けマスタとスキーママスタは同一のドメインコントローラ上で展開する必要があります。また、Windows Server 2003フォレストレベル以上でなければドメイン名前付けマスタとグローバルカタログは同一のドメインコントローラでなくてはいけません。

    うえのような作法は、このページに書いてありますので、読まれてみてはどうでしょう?
    2009年3月29日 8:55
    モデレータ
  • チャブーンです。

    Enterprise Admins グループですが、これはフォレストルートドメインで定義されるグループです。

    ですから 「子ドメインのエンタープライズ管理者」 というグループはありません。フォレスト内全部を管理できるから Enterpriose Admins なのですから。 
    2009年4月3日 3:08
    モデレータ
  • チャブーンです。

    こちらですが、質問内容をもう一度見直したところ、内容を読み違えていたようです。いまさら感になってしまうでしょうが、申し訳なかったです。

    私は「新規に別の子ドメインを作る」、と思っていたのですが、これは「既存の子ドメイン」にドメインコントローラを追加する、ということなんですね。そういうことであれは、子ドメインのDomain Adminsでドメインコントローラの追加自体は可能です(Enterprise Adminsは必要ない)。

    ただし、ここではadprepを使ったスキーマのアップデートを行ってから、dcpromo作業が必要でしょう。adprepを利用する際、親ドメインコントローラのスキーママスタ上でSchema Adminsと、子ドメインコントローラのインフラストラクチャマスタ上でDomain Admins(子ドメイン)を使って、フォレストとドメインをアップデートします。
    2009年4月13日 3:00
    モデレータ

すべての返信

  • チャブーンです。

    これですけれど、Active Directory で子ドメインを追加する場合、ドメインの名前を設定するだけでなく、スキーマにも新しいドメインの情報を設定することになります。ですから、フォレストルートの「エンタープライズ管理者権限」が必要になるはずですよ。

    どういう事情で子ドメイン?のドメインコントローラにドメイン名前付けマスタを移したのはわかりませんが、こういう運用は避けた方がいいかな、と思います。本来、ドメイン名前付けマスタとスキーママスタは同一のドメインコントローラ上で展開する必要があります。また、Windows Server 2003フォレストレベル以上でなければドメイン名前付けマスタとグローバルカタログは同一のドメインコントローラでなくてはいけません。

    うえのような作法は、このページに書いてありますので、読まれてみてはどうでしょう?
    2009年3月29日 8:55
    モデレータ
  • チャブーンさん


    ご回答ありがとうございます。
    リンクのページで確認しました。

    環境の設計の経緯は分かりかねますが、確かにフォレストルートで
    フォレスト管理でのFSMOなどを保持する方がよさそうですね。

    参考程度にご教授頂きたく。
    仮にスキーママスタとドメイン名前付けマスタがフォレストルートドメインでなく、
    子ドメインで保持されている場合は子ドメインのEnterprise管理者名が必要という
    ことでしょうか。

    宜しくお願いします。
    2009年4月1日 9:06
  • チャブーンです。

    Enterprise Admins グループですが、これはフォレストルートドメインで定義されるグループです。

    ですから 「子ドメインのエンタープライズ管理者」 というグループはありません。フォレスト内全部を管理できるから Enterpriose Admins なのですから。 
    2009年4月3日 3:08
    モデレータ
  • チャブーンです。

    こちらですが、質問内容をもう一度見直したところ、内容を読み違えていたようです。いまさら感になってしまうでしょうが、申し訳なかったです。

    私は「新規に別の子ドメインを作る」、と思っていたのですが、これは「既存の子ドメイン」にドメインコントローラを追加する、ということなんですね。そういうことであれは、子ドメインのDomain Adminsでドメインコントローラの追加自体は可能です(Enterprise Adminsは必要ない)。

    ただし、ここではadprepを使ったスキーマのアップデートを行ってから、dcpromo作業が必要でしょう。adprepを利用する際、親ドメインコントローラのスキーママスタ上でSchema Adminsと、子ドメインコントローラのインフラストラクチャマスタ上でDomain Admins(子ドメイン)を使って、フォレストとドメインをアップデートします。
    2009年4月13日 3:00
    モデレータ
  • こんにちは、フォーラムオペレーターの鈴木裕子です(^O^)/

    チャブーン さん、回答ありがとうございました!

    前畑 さん、その後いかがでしたか?
    その後の状況が気になるところですが、同様の情報を探している方には、チャブーン さんの回答が大変参考になるのではと思い、ひとまず私のほうで[回答としてマーク]をつけさせていただきました(最初の回答についても、環境が合致した場合は、わかりやすくて参考になるのではーと思いました)。
    ただ、もし不適当と思われた場合は、遠慮なくチェック解除してください。

    よろしければ、その後の状況も教えていただけると嬉しいです(^-^)
    これからも、皆様の情報交換の場としてForumをご活用くださいね!
    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    2009年4月23日 2:03
    モデレータ