- PR -

Windows2000のDC化について

1
投稿者投稿内容
noraM
会議室デビュー日: 2004/12/02
投稿数: 2
投稿日時: 2004-12-06 13:35
質問させてください。

現在、Windows2003ドメインにおいて、Windows2000SVをメンバーサーバ
として使用しています。そのWindows2000SVをDC化したいと考えています。
Windows2000SVでは、IISとが稼動しています。

そこで質問ですが、Windows2000SVをDC化した際、IISに影響があるでしょ
うか?

ドメインの機能レベルは「Windows2000混在」ですのでDC化はできると思う
のですが、メンバ→DCにするとローカルアカウントが無くなる等の問題があ
ると聞いたもので心配になっています。

申し訳ありませんがよろしくお願いいたします。

Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2004-12-06 13:56
引用:

そこで質問ですが、Windows2000SVをDC化した際、IISに影響があるでしょ
うか?


追加DCとして構築する場合、
引用:

メンバ→DCにするとローカルアカウントが無くなる等の問題があ
ると聞いたもので心配になっています。

となります。
追加DCはすべてのアカウントが削除された上で、ドメインのユーザ/グループアカウントが複製されます。
新規にDCを構築する際は、ローカルアカウントがドメインアカウントへ変換されます。
いずれにしても、DCが保持するSAMはドメインのものだけであり、ローカルSAMは存在しません。

正確には、ディレクトリ復元モード時に利用するローカルAdministratorだけは
ローカルユーザとして存在し続け、そのためだけにローカルSAMが存在し続けます。


そのため、そのままでは匿名認証用のユーザが存在しない状態になり、匿名認証を行えなくなります。


で、そのときの対処法なんですが、何が正しいのか、むしろ一度伺ってみたい気がしてます。
うちでは、
・IIS稼動マシンはDC化しない
を最優先で考えた上で、それが不可能な場合、
・匿名認証用のドメインユーザを作成し、ログオン先を該当DCのみに限定させた上で、
 IIS側の設定で匿名ユーザの設定を変更する。
という方法を取ってます。

引用:

ドメインの機能レベルは「Windows2000混在」ですのでDC化はできると思う
のですが

これはその通りです。
noraM
会議室デビュー日: 2004/12/02
投稿数: 2
投稿日時: 2004-12-06 19:03
Mattunさん
ありがとうございます。

IISが稼動しているサーバはDCにしないほうが賢明なようですね。


引用:
-----------------------------------------------------------------------
正確には、ディレクトリ復元モード時に利用するローカルAdministratorだけ
は ローカルユーザとして存在し続け、そのためだけにローカルSAMが存在し続
けます。
-----------------------------------------------------------------------
ということはバックアップソフト(ARCserveなど)でAdministratorローカルアカウント
を使用してバックアップしている場合なども機能しなくなるということですよね。

やはり既存サーバをDC化するよりは新たにDC用のサーバを立てたほうがよさそうですね。

Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2004-12-06 19:22
引用:

ということはバックアップソフト(ARCserveなど)でAdministratorローカルアカウント
を使用してバックアップしている場合なども機能しなくなるということですよね。

そうですが、IISの場合にしても、すでにドメインが存在してる状態なんですから、
各アプリケーション/サーバ用のドメインユーザを作成しておいて、
各アプリケーション/サーバ用がそのドメインユーザで動作するように設定し、
検証してした後でDCへ昇格すれば、問題は起きないでしょう。
zousan
大ベテラン
会議室デビュー日: 2004/11/09
投稿数: 129
投稿日時: 2004-12-06 19:29
IISやARCserveなら、DC化しても大した問題にはならないでしょう。

各サービス共有の事項としては、DC後のサービスアカウントに気をつけることで、ほとんどの場合はサービスのプロパティのアカウント再設定で解決します。あとは個別のローカルアカウントに設定していたNTFSアクセス権(もしあればですが)に注意。everyoneなどの特殊グループは関係しません。

元々ローカルシステムアカウントのサービスは、ドメインのシステムアカウントに自動変換されます。これがDBのようにDB内レコードに記述しているようなものは一考慮必要なのですが。もしだめなら、そのサーバアプリだけ再インストールです。例えばノートンゴーストなど。ARCserveはどうだったかなー?すんなり行ったかもしれません。

ちなみにIISの匿名アカウント(IUSR_コンピュータ名)は、ドメインアカウントで自動再作成されます。
1

スキルアップ/キャリアアップ(JOB@IT)