のらねこ雑記帳

読み取り専用なSYSVOLをなんとかすべく

> dfsradmin membership set /RGName:"Domain System Volume" /RFName:"SYSVOL Share" 
    /MemName:"ドメイン名FQDN\サーバー名" /RO:false

とかやってみたけど、SYSVOLなので、ダメって言われてしまいました(T_T)

しょうが無く、再び、メンバーサーバーに降格して、再昇格。
DNSの設定更新を行い、その状態で元のサーバーで

> repadmin /syncall /P /e

として、新しいサーバーを再起動したところ、無事に普通のSYSVOLの同期状態になりました(^^)v
最初から、こうすれば良かったのかな？

この状態で、元のサーバーから権限をすべて移して、元のサーバーをshutdown。
その後、Windows 10 clientをドメイン参加させましたが、きちんと反映されたので、これで大丈夫そうです。
今日は、これでおしまい。
すっきりと、新年を迎えられそうです:-)

やれやれ、ギリギリセーフ:-p

---

人間贅沢な物で、なんでServerだと出来ないんだ？と思うわけです:-)
ま、そういうことやらせる物ではないので、出来なくてもしょうが無いんですが、できちゃうんです。

機能の追加から、ユーザーインターフェースとインフラストラクチャの中にある、デスクトップエクスペリエンスを選んで、インストールして再起動すると、デスクトップOSと同じように出来ます。
ついでにWindows StoreとかMedia Playerまでインストールされるのは迷惑だけど...

---

SYSVOLの同期がとれないので、まずは、ドメインコントローラーから一旦降格させて、再度復帰を試みることに。
と思ったら、いつの間にか証明書サービスがインストールされてやがる。というか、Essentialsの構成が完了すると追加されるんだろうな。なので、この辺をまず削除してから、降格。
再度昇格してもダメ...

じゃあしょうが無い。再構築するかってことで、参考にしたのは...
https://blog.putise.com/sysvolが壊れた！domain-system-volume-の再構築方法/
こちら。

最初読んだときは、なんのこっちゃ？と思いましたが、印刷して、よーく眺めてみました。

1. まず、元のサーバーのSYSVOLのバックアップを取る
   
   今回の場合、
   
   C:\Windows\SYSVOL_DFSR
   
   以下を、どっか安全そうなところにコピーします。


2. 元のサーバーも新しいサーバーもnet stop dfsrとして、サービスを落とす


3. 元のサーバーでadsiedit.mscを起動して[CN=SYSVOL Subscription]の値を変更する
   
   ADSIエディターが立ち上がったら、まずは「操作」から「接続」を選んで、まあ、そのまんまOKを押します。
   
   そうすると「既定の名前付けコンテキスト [ドメインコントロラー]」につながるはずなので、ディレクトリツリーを手繰っていきます。
   
   [DC=ドメイン名]⇒[OU=Domain Controllers]
   
   この下には、今回の場合、[CN=元のサーバー]と[CN=新しいサーバー]の２つがあるはずです。
   
   まずは[CN=元のサーバー]の方をいじります。
   
   [CN=元のサーバー]⇒[CN=DFSR-LocalSettings]⇒[CN=Domain System Volume]
   
   ここまで手繰ると[CN=SYSVOL Subscription]が出てきます。
   
   こいつをダブルクリックして属性msDFSR-EnabledとmsDFSR-optionsを変更します。
   
   msDFSR-Enabled=FALSE
   
   msDFSR-options=1
   
   さらに、新しいサーバーの方もいじります。
   
   [CN=新しいサーバー]⇒[CN=DFSR-LocalSettings]⇒[CN=Domain System Volume]
   
   こちらはmsDFSR-Enabledのみを変更します。
   
   msDFSR-Enabled=FALSE


4. 元のサーバーでrepadmin /syncall /P /eする


5. 元のサーバーでnet start dfsrしてDFSRサービスを再開


6. ADSIエディターで元のサーバーの[CN=SYSVOL Subscription]の属性msDFSR-Enabledを変更
   
   msDFSR-Enabled=TRUE


7. 元のサーバーでrepadmin /syncall /P /eする


8. 新しいサーバーでnet start dfsrしてDFSRサービスを再開


9. ADSIエディターで新しいサーバーの[CN=SYSVOL Subscription]の属性msDFSR-Enabledを変更
   
   msDFSR-Enabled=TRUE


10. 元のサーバーでrepadmin /syncall /P /eする

これで、同期できるはずなんですが、実は、エラーになっちゃいました。
単に、再昇格したときにDNSの設定更新を忘れていたので、新しいサーバーにRPC出来なかったのでした(^^;
これを修正して、再度実行したところ、DFSの管理でも読み取り専用として、新しいサーバーがメンバーとして追加され、実際にディレクトリの同期も行われました。

あとは、ドメインコントローラを一旦新しい方に権限委任をして、元のサーバーを落とした状態で、ドメイン参加できることを確認してから、物理サーバーの再インストールをすれば、冬休みの宿題も完了になるはずです。

うまくいくかな？

---

まだSYSVOLの同期がとれてない状況ですが、Essentialsの構成は、なんとか無事に完了させられました。

今回、DNS ServerはWindows DNSに移行済みなので、ADと一緒にDNSも一緒に機能追加したのですが、落とし穴がありました。ドメインコントローラーへ機能昇格しても、新しいコントローラーの情報が登録されていませんでした。
後から立てたDNS Serverなので、権限の委任の関係で、うまくいってなさそうです。
これを、手動で登録して、再度実行。

あれ？進まない。
そのものずばりの回答が書いてあるものを見つけました。

https://wsbs.wordpress.com/2017/07/17/windows-server-essentials-の構成に失敗する/

えーと、Windows Server Essentials Management Serviceの起動アカウントが「FQDNなドメイン名\Administrator」だと起動できないので「NTドメイン名\Administrator」に書き換えるんだそうです。
パスワードはからにすると...

まあ、確かにこの状態にして、サービスを立ち上げてから、実行すると、１回目は何らかの理由でこけたけど、そのまま再実行したら、完了してくれました。

さて、のこるはSYSVOLの同期ですが、何をやっても同期してくれません。
DFSの管理で見ると、メンバーに新しいドメインコントローラーが追加されていないんだよなぁ～
これが原因なんだけど...

あ、そうそう、DNSのエントリー追加は

> dnscmd DNSサーバー名 /recordadd ドメイン名 
   以下INをとっぱらった\windows\system32\config\netlogon.dnsの各エントリー

ってすると、楽ちんなのでした:-)

---

Windows 10 1809上でTeaming出来なくなった頃から気がついていたけど、Windows Server 2012R2上では、Teamingは生きてるけど、構成を確認しようとすると「GetTeamInfoに失敗しました。」なんてダイアログが表示されて、何も出来なくなってる...

2018/12/6にリリースされたドライバーに入れ替えても、変わらず。
使えてるから、そのまま放置してたけど、気になったのでググってみたら、１年ぐらい前からの話らしい。

日本語のサイトで引っかかったのはNECのサイト。
https://www.support.nec.co.jp/View.aspx?id=3140106257
Windows Updateで「Intel-Net-[日時情報]-[バージョン情報]」こんなのがインストールされていたら、OSを再インストールしてくださいませ... と書いてある。

ん～

いた... orz

確かに、アンインストールできない。

しょうがない、またVM上に構築して、再インストールかな。
冬休みの宿題。

---

真面目にIPv6勉強し直し中(^^;

でもって、Windows Serverとかをname serverにAAAAアドレスを登録するには、何かしら固定されたIPアドレスを指定する必要があるわけで、IPv6だとfc00::/7がIPv4でいうプライベートアドレス空間らしい。

マスタリングTCP/IP IPv6編には、さらっと書いてあるだけだけどRFC4193には

http://www.02.246.ne.jp/~torutk/ipv6/uniquelocal.html

に記載されているようなことが書かれているらしい...
# って自分で読めよ(^^;

とてもじゃないが、覚えられるアドレスにはならんな...

---

漸く、物理サーバーに移行できたような気がします。

とにかく、追加したAD ServerにSYSVOLの情報がコピーされないので、新しいサーバーだけにすると、ドメイン参加が出来ませんでした。
ドメインの機能レベルが2003レベルだったのは気がついて2012R2までは引き上げてありましたが、それが影響したのかFRSのままだったSYSVOLがコピーされなかった模様。
ごそごそ調べていたら、フォレストの機能レベルも2003のまんま(^^;
すっかり忘れてました。
ということで、古い記事ですが、
http://www.atmarkit.co.jp/fwin2k/win2ktips/1169adfunclevup/adfunclevup.html
みて、レベルを引き上げます。

それからDFSRへ移行。ちなみにDFSの管理ツールが入っていないと、一部コマンドが使えません。
typoがありますが、
https://blogs.technet.microsoft.com/junichia/2008/01/24/windows-server-2008-sysvol-frs-dfsr-dfsrmig-exe-124/
の記事がわかりやすいかな。
まずは、元のサーバー１台だけの状態で実行です。

コマンド的には...
# dfsrmig /GetGlobalState
# dfsrmig /GetMigrationState
# dsrmig /CreateGlobalObjects
# dfsrmig /SetGlobalState 1
ここでちょいと立ち止まります。
通常FSRなSYSVOLはc:\Windows\system32\SYSVOLなはずです。
/SetGlobalState 1で、c:\Windows\system32\SYSVOL_DFSRが作成されてコピーされるはずです。
15分から１時間ぐらいの間で実行されるようですが... 待てないので
# dfsrdiag pollad
これやって、「成功しました」って出てきたら、c:\Windows\system32\SYSVOL_DFSRが出来て、その下にSYSVOLのコピーが出来ていることを確認しましょう。
ここで
# dfsrmig /GetMigrationState
を叩いて、整合性のとれた状態になっていれば、次の状態に進めます。

# dfsrmig /SetGlobalState 2
ここでも
# dfsrdiag pollad
# dfsrmig /GetMigrationState
して、整合性のとれた状態になるのを積極的にpolladして突きながら待ちます:-)
整合性が取れたら最後のステージに進みます。もう後戻りできません。

# dfsrmig /SetGlobalState 3
# dfsrdiag pollad
# dfsrmig /GetMigrationState
これで整合性が取れたときにはc:\Windows\system32\SYSVOLは消えています。

これでDFSRへの移行は完了。
次に、ドメインコントローラーの移行に備えて、念のため、ディレクトリサービス復元モード管理者のパスワードを初期化して、追加するドメインコントローラーでセットアップするパスワードと一致させておきます。
元ネタページは
https://support.microsoft.com/ja-jp/help/322672/how-to-reset-the-directory-services-restore-mode-administrator-account
です。
# ntdsutil
ntdsutil: set dsrm password
Reset DSRM Administrator password: reset password on server パスワードを変更するサーバーのFQDN
DS 復元モードの管理者アカウントのパスワードを入力してください: ********************
新しいパスワードの確認を入力してください: ********************
パスワードは正しく設定されました。

Reset DSRM Administrator password: q
ntdsutil: q

ここまで来たら、新しいドメインコントローラーを追加しますが、その前にDFSの管理をインストールしておきます。
これに関しては
https://blog.engineer-memo.com/2014/07/27/sysvol-共有の複製を-dfs-の管理コンソールで確認-2012-r2/
が参考になります。

さらに、ドメインコントローラーとして追加する場合のSYSVOLのレプリケート先を「忘れずに」SYSVOL_DFSRにしておきます。

ドメインコントローラーを追加したら、手動でDNS Serverのエントリーをコントロールしている場合はc:\Windows\system32\config\netlogon.dnsの内容を反映させます。
この時点ではPDCは移管されていないしので「_ldap._tcp.pdc._msdcs.ドメイン名」のエントリーは書き換えずに、他のエントリーのみ追加します。

DNS Serverの情報を更新した後、ドメインコントローラーとして、ドメインに参加後にPDC側で次のコマンドを叩いて、強制的に同期を取ります。
# dfsrdiag syncnow /RGName:”Domain System Volume” /Partner:新しいドメインコントローラーのFQDN /Time:15 /v
# dfsrdiag pollad
複製先の新しいドメインコントローラー側のSYSVOL_DFSRディレクトリの下に、きちんと複製があれば、大丈夫です。

あとは、新しいドメインコントローラーを昇格させます。
https://docs.microsoft.com/en-us/windows-server-essentials/migrate/step-2--install-windows-server-essentials-as-a-new-replica-domain-controller
の通りで（日本語ページだと訳わからず...）
# ntdsutil
ntdutils: activate instance NTDS
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server 新しいドメインコントローラーのFQDN
server connections: q
fsmo maintenance: transfer pdc
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer infrastructure master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer naming master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer rid master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer schema master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: q
ntdsutil: q
# netdom query fsmo
して、新しいドメインコントローラーに責務が移ったのを確認。

この状態で、DNSの設定で「_ldap._tcp.pdc._msdcs.ドメイン名」のエントリーを新しいドメインコントローラーに変更して、漸く完了。

評価用ライセンスがあるウチに、もう一つVM上にインストールして、新しいドメインコントローラーだけが動いている状態にして、ドメイン参加できることを確認して終了です。

残るはDNS Serverの移行かな...

---