この私が、Windowsの記事をまとめることになるとは、驚きだろう。
私も驚きだ。
Windows Server を勉強すると企業インフラでは欠かせなくなってきている機能がある。
それはActiveDirectoryだ。
認証ならOpenLDAPでいいかと思うのだが、
ActiveDirectoryにはグループポリシーという
クライアントに対して制限をかけることができたりする(レジストリを設定してるだけだけど)
これはクライアント端末がWindowsな企業の管理者なら大喜びの機能だ。
まあWindowsServerでActiveDirectoryとかの役割追加の仕方とかは書かない。
コマンドとかの覚書だけにしとこう。
IP address の設定(意外と便利)
netsh -f ファイル名
↓ファイルの中身↓
pushd interface ip
set address name="ローカル エリア接続" source=static addr=172.168.1.9 mask=255.255.255.0
set address name="ローカル エリア接続" gateway=172.168.1.1 gwmetric=none
set dns name="ローカル エリア接続" source=static addr=172.168.1.2 register=PRIMARY
set wins name="ローカル エリア接続" source=static addr=none
popd
↓ファイルの中身↓
pushd interface ip
set address name="ローカル エリア接続" source=static addr=172.168.1.9 mask=255.255.255.0
set address name="ローカル エリア接続" gateway=172.168.1.1 gwmetric=none
set dns name="ローカル エリア接続" source=static addr=172.168.1.2 register=PRIMARY
set wins name="ローカル エリア接続" source=static addr=none
popd
ActiveDirectory基本操作
# OU作成
dsadd ou ou=TestOU,dc=csmemo,dc=local
#Userの作成(1人だけ登録する場合)パスワードも一緒に登録できる。
dsadd user cn=test01,ou=TestOU,dc=csmemo,dc=local -pwd test-01
#複数同時登録 csvファイルであらかじめユーザ情報を入れておく。
csvde -i -f TestOU.csv
↓ファイルの中身↓
DN,objectClass,sAMAccountName
"CN=test07,OU=TestOU,DC=csmemo,DC=local",user,test07
#OU内のユーザへパスワードを一括指定する
dsquery user OU=TestOU,DC=csmemo,Dc=local -disabled|dsmod user -pwd test-00 -mustchpwd yes -disabled no
#現在の登録ユーザをエクスポートする。
csvde -d "OU=TestOU,DC=csmemo,DC=local" -r "(objectClass=user)" -f test.csv
# グループポリシー即時適用 (クライアント側で操作)
gpupdate /force
※再起動が必要なら(Y/N)がでる
#サーバ起動モード変更
次回起動時dsrepairモードで動いてくれる
bcdedit /set safeboot dsrepair
shutdown -t 0 -r
#通常起動モードにもどす
bcdedit /deletevalue safeboot
#ActiveDirectoryデータベースの移動
まずはActiveDirectoryサービスを停止しなきゃいけない。
WinServer2003は起動時に「F8」ディレクトリ復元モードで起動する。
WinServer2008は以下サービスを止める。
・Active Directory Domain Services ※これを停止すると下のやつも停止しようとしてくれる
・Kerberos Key Distribution Center
・Intersite Messaging
・DNS Server
・DFS Replication
サービスの停止を確認したら「ntdsutil」という対話形式のNTDSユーティリティツールを使う。(そのまま)
使い方は膨大なので調べてくれ。
ntdsutil
Files この操作により、プロンプトが「Files」に切り替わる
info
ディスクの空き容量を分析・報告してレジストリの読み取りを行い、
データベースとログのサイズを報告する
#データベースを移動するには、
move DB to <移動先フォルダのパス>
#ログを移動するには、
move logs to <移動先フォルダのパス>
#データベース圧縮(余分なレコードを削除)
compact to <パス名> 圧縮したditを一時的に保存する場所を指定
上書きコピーコマンドを表示してくれるからコピペ
#セマンティクス分析
ntdsutil
Semantic database analysis
go
スキャン開始、ログはカレントディレクトリ
#ログの内容をデータベースへ書き込む(メンテナンス前に実行しとくべき)
ntdsutil
files
recover
#データベース整合性チェック
integrity
#重複SID解決
ntdsutil
security account management
connect to server <サーバのDNS名>
check duplicate SID //有無を確認
重複を確認した場合
cleanup duplicate sid
ログファイルはDupsid.log
dsadd ou ou=TestOU,dc=csmemo,dc=local
#Userの作成(1人だけ登録する場合)パスワードも一緒に登録できる。
dsadd user cn=test01,ou=TestOU,dc=csmemo,dc=local -pwd test-01
#複数同時登録 csvファイルであらかじめユーザ情報を入れておく。
csvde -i -f TestOU.csv
↓ファイルの中身↓
DN,objectClass,sAMAccountName
"CN=test07,OU=TestOU,DC=csmemo,DC=local",user,test07
#OU内のユーザへパスワードを一括指定する
dsquery user OU=TestOU,DC=csmemo,Dc=local -disabled|dsmod user -pwd test-00 -mustchpwd yes -disabled no
#現在の登録ユーザをエクスポートする。
csvde -d "OU=TestOU,DC=csmemo,DC=local" -r "(objectClass=user)" -f test.csv
# グループポリシー即時適用 (クライアント側で操作)
gpupdate /force
※再起動が必要なら(Y/N)がでる
#サーバ起動モード変更
次回起動時dsrepairモードで動いてくれる
bcdedit /set safeboot dsrepair
shutdown -t 0 -r
#通常起動モードにもどす
bcdedit /deletevalue safeboot
#ActiveDirectoryデータベースの移動
まずはActiveDirectoryサービスを停止しなきゃいけない。
WinServer2003は起動時に「F8」ディレクトリ復元モードで起動する。
WinServer2008は以下サービスを止める。
・Active Directory Domain Services ※これを停止すると下のやつも停止しようとしてくれる
・Kerberos Key Distribution Center
・Intersite Messaging
・DNS Server
・DFS Replication
サービスの停止を確認したら「ntdsutil」という対話形式のNTDSユーティリティツールを使う。(そのまま)
使い方は膨大なので調べてくれ。
ntdsutil
Files この操作により、プロンプトが「Files」に切り替わる
info
ディスクの空き容量を分析・報告してレジストリの読み取りを行い、
データベースとログのサイズを報告する
#データベースを移動するには、
move DB to <移動先フォルダのパス>
#ログを移動するには、
move logs to <移動先フォルダのパス>
#データベース圧縮(余分なレコードを削除)
compact to <パス名> 圧縮したditを一時的に保存する場所を指定
上書きコピーコマンドを表示してくれるからコピペ
#セマンティクス分析
ntdsutil
Semantic database analysis
go
スキャン開始、ログはカレントディレクトリ
#ログの内容をデータベースへ書き込む(メンテナンス前に実行しとくべき)
ntdsutil
files
recover
#データベース整合性チェック
integrity
#重複SID解決
ntdsutil
security account management
connect to server <サーバのDNS名>
check duplicate SID //有無を確認
重複を確認した場合
cleanup duplicate sid
ログファイルはDupsid.log
0 件のコメント:
コメントを投稿