HP OpenVMS Systems Documentation

前へ

次へ

目次

索引

ドメインのタイプにより， Advanced Server は，PDC，BDC，またはメンバ・サーバのいずれかとしてドメインに加わることができます。

Advanced Server が加わるドメインには，次の 3 つの種類があります。

• Windows NT ドメイン。このドメインには， Advanced Server はPDC，BDC，またはメンバ・サーバとして加わることができます。

• Windows 2000 混在モード・ドメイン。これは，Windows 2000ドメイン・コントローラおよびWindows NT または Advanced Server ドメイン・コントローラの両方を含むドメインであり， Advanced Server はBDCおよびメンバ・サーバとして加わることができます。

• Windows 2000 ネイティブ・モード (またはピュアWindows 2000 ドメインとも呼ぶ)。これは，すべてのドメイン・コントローラが Windows 2000 システムのドメインであり， Advanced Server はメンバ・サーバとしてのみ加わることができます。

• Windows 2003 暫定ドメイン。このドメインには， Windows 2003 ドメイン・コントローラおよび Windows NT あるいは HP Advanced Server ドメイン・コントローラが加わることができます。 Advanced Server は BDC およびメンバ・サーバとして加わることができます。

• Windows 2003 ドメイン。すべてのドメイン・コントローラが Windows 2003 システムです。 Advanced Server は，メンバ・システムとしてのみ加わることができます。 Windows 2003 ドメインには少なくとも 1 つのドメイン・コントローラが必要です。

「 表 3-3, 各ドメインのタイプにおけるサーバの役割 」に，各ドメインのタイプについてサーバがとることができる役割をリストします。

表 3-3 各ドメインのタイプにおけるサーバの役割

ドメイン・タイプ	Advanced Server がとることができる役割
	PDC	BDC	メンバ・サーバ
Windows NT	○	○	○
Windows 2000 混在モード		○	○
Windows 2000 ネイティブ・モード			○
Windows 2003 暫定		○	○
Windows 2003			○

各Windows NT ドメインには 1 つのPDCがなければなりません。 PDCはセキュリティ・アカウント・データベースのドメインのマスタ・コピーを保存します。

Advanced Server をインストールして新しい Windows NT ドメインを作成する場合，その新しいサーバはデフォルトの設定により PDC になります。サーバ・ソフトウェアをインストールし，既存のドメイン名を指定した場合，サーバは既存のドメインにBDC またはメンバ・サーバとしてのみ加わることができます。

ドメインには BDCがなくてもかまいませんが，1 つ以上の BDCを持つことを推奨します。 BDCは，ドメインのマスタ・セキュリティ・アカウント・データベースのコピーを保持します。 BDCに保持されているセキュリティ・アカウント・データベースのコピーは， PDCのマスタ・データベースと同期がとられます。 PDC および BDCは，ドメイン内のログオン要求を認証します。

メンバ・サーバは，ドメインのセキュリティ・アカウント・データベースのコピーを保持せず，ログオン要求を認証しません。メンバ・サーバは，ドメイン・コントローラに依存して，メンバ・サーバ共有へのアクセスを要求するユーザのクレデンシャルを認証します。 Advanced Server をメンバ・サーバとして構成することの利点を「 第 3.7.1 項,Advanced Server のメンバ・サーバとしての構成 」にリストしています。

OpenVMS Clusterでは，クラスタ上のすべてのノードは同じ役割を持たなくてはなりません。 1 つのノードの役割を変更すると，他のノードも自動的に同じ役割に変更されます。

Advanced Server を始めて構成する場合，サーバがドメイン内で実行する役割を選択します。何度かサーバの役割を変更する必要があるかもしれません。サーバを変更する方法は，サーバの現在の役割と変更したい役割によって異なります。 BDC から PDCへ，またはその逆へサーバの役割を変更するには， ADMINISTER SET COMPUTER/ROLEコマンドを使用します。サーバを BDC からメンバ・サーバに変更するには，「 第 3.7.1 項,Advanced Server のメンバ・サーバとしての構成 」で説明しているPWRK$CONFIGを使用する必要があります。 PDC からメンバ・サーバに変更するには，まず，別の BDCを PDCに昇格します。すると，元 PDC が自動的に BDCに降格され，その後，PWRK$CONFIG を使用してそれをメンバ・サーバに変更することができます。メンバ・サーバを BDCに変更する場合にも PWRK$CONFIG を使用します (この制限は，Windows NTの制限に似ています。 Windows NTでは，ドメイン・コントローラをメンバ・サーバに変更したり，その逆を行う場合，オペレーティング・システムを再インストールする必要があります)。サーバを BDC から PDCへ変更したり，その逆の変更を行う方法についての詳細は，『 HP Advanced Server for OpenVMS Server Administrator's Guide 』を参照してください。 「 表 3-4, サーバの役割を変更する方法 」に，PWRK$CONFIGで許可されている役割の変更と許可されていない役割の変更を示します。

表 3-4 サーバの役割を変更する方法

変更前	変更後	方法
BDC	PDC	ADMINISTER SET COMPUTER/ROLE コマンドを使用して BDC を PDCへ昇格する
BDC	メンバ	PWRK$CONFIGを使用する
メンバ	PDC	PWRK$CONFIG を使用してこのサーバをBDCへ変更したのち，ADMINISTER SET COMPUTER/ROLE コマンドを使用して BDC を PDCへ昇格する
メンバ	BDC	PWRK$CONFIGを使用する
PDC	BDC	ADMINISTER SET COMPUTER/ROLE を使用して，ドメイン内のBDC を PDC に昇格すると，この昇格により，元の PDC が BDCに降格される
PDC	メンバ	ADMINISTER SET COMPUTER/ROLE を使用して，既存のBDC を PDCに昇格すると，この昇格により，PDC が BDC に降格され，PWRK$CONFIGを使用して，それをメンバ・サーバに変更することができる

Advanced Server を構成して，ドメインにメンバ・サーバとして加わるようにするには， PWRK$CONFIG.COM 構成プロシージャを使用します。 ADMINISTER SET COMPUTER/ROLE コマンドを使用して，日本語 Advanced Server for OpenVMS ドメイン・コントローラをメンバ・サーバの役割に変更したり，メンバ・サーバをドメイン・コントローラの役割に変更したりすることはできません。

Advanced Server が，動作中の PDC のある既存のドメインに加わっている場合，それをメンバ・サーバとして構成することができます。ドメインがネイティブ・モードの Windows 2000環境 (ピュア Windows 2000 ドメインとも呼ばれ，すべてのドメイン・コントローラがWindows 2000 システムであるドメイン) あるいは Windows 2003 ドメインの場合，すなわちすべてのドメイン・コントローラが Windows 2000 システムあるいは Windows 2003 システムであるドメインでは，まず，ドメインに少なくとも 1 つのドメイン・コントローラが含まれるようにする必要があり，その後 Advanced Server をメンバ・サーバとして構成できます。

次のような理由により，日本語 Advanced Server for OpenVMS を BDC (または PDC) ではなく，メンバ・サーバとして構成したいことがあります。

• メンバ・サーバはログオン要求の認証に時間を費やすことがありません。このため，この役割は，作業負荷の重いサーバや，非常に時間的制約の厳しいタスクを実行するサーバにとっては良い選択です。

• さらに重要なことは，1 つ以上のサーバをドメイン・コントローラではなくメンバ・サーバとして構成すると，ドメイン・コントローラがユーザ・データベースの複製を行ったり，ログオン要求の認証を行ったりすることにより通常生成されるネットワーク・トラフィックが排除されるため，ネットワーク負荷を削減するのに役立ちます。クライアントが要求を認証するログオン・サーバを見つけようとすると，すべてのドメイン・コントローラが要求に応答します。環境によっては，これがネットワーク上で深刻な負荷を生成することがあります。

• 日本語 Advanced Server for OpenVMS をメンバ・サーバとして構成すると，日本語 Advanced Server for OpenVMS はネイティブ・モードのWindows 2000 あるいは Windows 2003 環境を中断することなく，その環境に加わることができます。

• 将来，日本語 Advanced Server for OpenVMS サーバを異なるドメインに移動する場合，それをメンバ・サーバとしてドメインから別のドメインに移動する方が簡単です。

以降の項で， Advanced Server をメンバ・サーバとして構成する方法について説明します。

3.7.1.1 Advanced Server をメンバ・サーバとして構成するタイミングに関する検討

Advanced Server をアクティブ・ディレクトリでメンバ・サーバとして構成する場合は，次のような項目を検討する必要があります。

• どのコンピュータを PDC エミュレータとして機能させるかを判断します。はっきりしない場合は次のような手順で決定します。

  1. Active Directory Users and Computers を起動して，ドメイン名を右クリックし， Operations Masters を選択します。

  2. PDC タブを選択して，どのドメイン・コントローラが PDC エミュレータであるか確認します。

  3. Advanced Server 構成プロシージャが PDC の名前についてのプロンプトを表示したら，PDC エミュレータの NetBIOS 名 (pre-Windows 2000 名とも呼ばれます) を入力します。

• 構成中にユーザ名とパスワードを提供することを管理者が選択する限りは， Advanced Server は正しくドメインに参加できます。しかし，認証情報を提供しないことを管理者が選択した場合 (たとえば既にそのコンピュータ・アカウントが存在する場合など)，処理が失敗する可能性があります。この場合は，以下のセキュリティ・ポリシが Windows Server 2003 PDC エミュレータで有効であること (デフォルトは無効) を確認してください (このポリシは Windows 2000 には存在しません)。

  Network access: Allow anonymous SID/Name translation

  
  PDC エミュレータでこのポリシが無効になっている場合は，ドメインに参加する際 Advanced Server は SAM データベース・ファイルの作成に失敗します。構成中に次のようなエラーが表示されます。

  Creating SAM datafiles... %PWRK-F-SAMCHECK, error creating SAM databases PWRK-I-RESTORE, restoring original settings @SYS$UPDATE:PWRK$CONFIG must be executed again. The Advanced Server configuration is incomplete and cannot continue.

• PDC エミュレータのセキュリティ・ポリシ "Network security: LAN Manager authentication level" の現在の設定を確認します。
  このポリシはレジストリ値 LmCompatibilityLevel の設定 (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa の下のキー) を制御します
  LmCompatibilityLevel の設定は，可能な限りすべてのシステムで同じであるべきです。 Windows セキュリティ・ポリシの設定 "Network security: LAN Manager authentication level" はレジストリ値 LmCompatibilityLevel に次のようにマップされます。

  Network security: LAN Manager authentication level LmCompatibilityLevel Send LM & NTLM responses 0 Send LM & NTLM 1 Send NTLM response only 2 Send NTLMv2 response only 3 Send NTLMv2 response only/refuse LM 4 Send NTLMv2 response only/refuse LM & NTLM 5

  
  デフォルトでは， LmCompatibilityLevel レジストリ・パラメータは Advanced Server for OpenVMS のレジストリには存在しません。デフォルトは LmCompatibilityLevel = 0 (Send LM & NTLM responses) となります。 Advanced Server で LmCompatibilityLevel が 0，1，あるいは 2 と定義されている場合，セキュリティ・ポリシ "Network security: LAN Manager authentication level" が PDC エミュレータで "Send NTLMv2 response only\Refuse LM and NTLM" と定義されていないことを確認してください。
  PDC エミュレータでセキュリティ・ポリシが "Send NTLMv2 response only\Refuse LM and NTLM" に設定されている場合， Advanced Server でレジストリ・パラメータ LmCompatibilityLevel を 3，4，あるいは 5 に修正してください。この修正は，Advanced Server for OpenVMS サーバをドメインに参加させる前に実行する必要があります。
  Advanced Server で LmCompatibilityLeve の設定を最初に変更するためには，最初に次のように作成しておくことが必要です。

  $ regutl :== $sys$system:pwrk$regutl.exe $ regutl set parameter lsa LmCompatibilityLevel <desired level> /create

  
  最初にこのように設定したら，設定の修正に /create 修飾子を使用する必要はありません。

• すべての Windows 2000 ドメイン・コントローラで，セキュリティ・ポリシ "Additional restrictions for anonymous connections" が "No access without explicit anonymous permissions" に設定されていないことを確認してください。その他の設定であれば問題ありません。この要件は Windows Server 2003 ドメイン・コントローラには適用されません。設定が変更されたらシステムのリブートが必要です。ただし，リブートの前にポリシのリフレッシュが行なわれるまで待ってください。そうしないと再度リブートが必要になります。ドメイン・コントローラは，デフォルトでは，5 分毎にポリシをリフレッシュします。次のコマンドを使用すると，強制的にポリシをリフレッシュすることができます。

  SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE

  
  このポリシが "No access without explicit anonymous permissions" に設定されている場合，ドメインに参加しようとしたときに認証情報が提供されていないと Advanced Server の構成プロシージャは処理に失敗します。ドメインに参加しようとしたときに認証情報が提供されている場合は，構成プロシージャは正しく処理を行います。しかし Advanced Server はその後の NETLOGON サービスの起動に失敗し，システム・イベント・ログに次のようなメッセージを送ります ($ ADMIN SHOW EVENTS)。

  Events in System Event Log on server "MYSRV": T Date Time Source Category Event User Computer -------- ----------- --------- -------- ------ ---- --------- E 01/31/06 11:00:57 AM NETLOGON None 3210 N/A MYSRV Failed to authenticate with W2KDC, a domain controller for domain MYDOM. Data:0000: 22 00 00 c0 00 00 00 00 "..?....

  
  さらに，NETLOGON サービスを起動しようとすると次のようなエラーが表示されます。

  $ ADMIN START SERVICE NETLOGON %PWRK-I-SVCOPWAIT, attempting to start the "NETLOGON" service on "MYSRV"%PWRK-E-SVCOPFAILED, start of service "NETLOGON" on "MYSRV" failed-LM-E-UIC_INTERNAL, an internal error occurred

  
  このエラーにより，システム・イベント・ログに次のようなメッセージが出力されます。

  T Date Time Source Category Event User Computer - -------- ----------- ------ --------- ----- ---- --------- W 02/02/06 10:31:57 AM NETLOGON None 5701 N/A MYSRV The Netlogon service failed to update the domain trust list. The following error occurred: %5 Data:0000: 22 00 00 c0 00 00 00 00 "..?....

  
  ネットワーク・トレースは，Advanced Server が IPC$ 共有に匿名接続を試みて拒否されたことを示します (0xC0000022)。

• Advanced Server コンピュータのアカウント名とそのアカウントの作成方法を決定します。前述したように，Advanced Server を OpenVMS Cluster 環境で実行している場合，クラスタ全体で単一のコンピュータ・アカウントが使用されます。このコンピュータ・アカウントは，Advanced Server クラスタ別名と同一でなければなりません。 Advanced Server クラスタ別名は，Advanced Serverの構成時に設定できます。
  Advanced Server システムが OpenVMS Cluster のメンバでない場合，そのコンピュータ・アカウント名は Advanced Server のコンピュータ名と同一でなければなりません。デフォルトでは，そのコンピュータ名は SYSGEN SCSNODE パラメータと同一ですが， Advanced Server の構成時に変更されているかもしれません。コンピュータ・アカウントは，次のように Advanced Server の構成前あるいは構成時に作成できます。

  • Advanced Server の構成前
    Active Directory Users and Computers でアカウントを作成します。

    注意 このアカウントは pre-Windows 2000 コンピュータを指定したものでなければなりません。

    
    Windows 2000 Active Directory Users and Computers で， Allow pre-Windows 2000 computers オプションを選択してアカウントを作成します。 Windows Server 2003 Active Directory Users and Computers では， Assign this computer account as a pre-Windows 2000 computer オプションを選択します。
    アカウントは Organizational Unit (OU) あるいは Computers コンテナに作成されます。

  • Advanced Server の構成時
    管理者アカウントのユーザ名とパスワードを使用します。構成プロシージャは，Computers コンテナにコンピュータ・アカウントを作成します。作成したアカウントは必要に応じて OU に移動することができます。

前へ

次へ

目次

索引