none
Computersコンテナの挙動について RRS feed

  • 質問

  • 現在、ADの勉強中でして、Computersコンテナの挙動について疑問点がございますので、

    ご存じの方おられましたらご教示お願い致します。

    シングルフォレスト・シングルドメイン環境(Contoso.comドメイン)を前提とします。

    ★CONTOSOドメインの子ドメイン(Example.aeon.localドメイン)を新しく構築する際、対象のコンピュータAをCONTOSOドメインに参加させてからdcpromoを実行し、ADに昇格させました。

    -疑問点-

    AD昇格後、CONTOSOドメインのComputersコンテナからコンピュータAのレコードが消えず、下矢印マークのアイコンで、残ったままである。手動で削除しても、親ドメイン(CONTOSO)や子ドメイン(EXAMPLEドメイン)に影響はでないのか?Computersコンテナから対象のレコードを問題なく消せる方法が知りたい。

    ●参考

    CONTOSOドメインに2台目以降のDCを構築する際、対象のコンピュータをCONTOSOドメインに参加させてからdcpromoを実行し、ADに昇格させた場合は、CONTOSOドメインのComputersコンテナから対象コンピュータのレコードがDomainControllersコンテナに移動し、消えている。

    一方、CONTOSOドメインに一度参加したコンピュータAがCONTOSOドメインからはずれた際(コンピュータA側の設定で、WORKGROUPへ変更を実施)、CONTOSOドメインのComputersコンテナには下矢印マークのアイコンとなり、レコードが残ったままである。

     

    2010年12月29日 4:49

回答

  • チャブーンです。

    普通、子ドメインのドメインコントローラを新規に作成するときには、「ワークグループ」状態でdcpromoを動作させ、フォレストへのアクセス資格情報にフォレストルートドメインのAdministratorを指定する、というかたちをとるはずです。

    試してないからわからないのですが、ドメインに参加した状態で「別ドメインのドメインコントローラ」に昇格してしまったということで、以前のドメイン内にコンピュータアカウントが残存して無効の状態(矢印がしたのアイコン)になっている可能性がありますね。

    これですが、結論からいうと、以前のドメインにあるコンピュータアカウントは削除したほうがいいでしょう。なぜかというと、コンピュータアカウントのKerberos認証の動作でサービスプリンシパル名というものを検索したとき、重複する可能性があるためです。この場合、適切なコンピュータの認証はできなくなります。普通にActive Directory ユーザーとコンピューターコンソールから削除できるはずです。

    2010年12月29日 5:07
    モデレータ

すべての返信

  • チャブーンです。

    普通、子ドメインのドメインコントローラを新規に作成するときには、「ワークグループ」状態でdcpromoを動作させ、フォレストへのアクセス資格情報にフォレストルートドメインのAdministratorを指定する、というかたちをとるはずです。

    試してないからわからないのですが、ドメインに参加した状態で「別ドメインのドメインコントローラ」に昇格してしまったということで、以前のドメイン内にコンピュータアカウントが残存して無効の状態(矢印がしたのアイコン)になっている可能性がありますね。

    これですが、結論からいうと、以前のドメインにあるコンピュータアカウントは削除したほうがいいでしょう。なぜかというと、コンピュータアカウントのKerberos認証の動作でサービスプリンシパル名というものを検索したとき、重複する可能性があるためです。この場合、適切なコンピュータの認証はできなくなります。普通にActive Directory ユーザーとコンピューターコンソールから削除できるはずです。

    2010年12月29日 5:07
    モデレータ
  • チャブーンさん、毎度、ご回答ありがとうございました。

    2010年12月29日 8:06