Windows 2000 ドメイン コントローラのセットアップの推奨事例

文書翻訳 文書翻訳
文書番号: 216899 - 対象製品
この記事は、以前は次の ID で公開されていました: JP216899
すべて展開する | すべて折りたたむ

目次

概要

Windows 2000 ドメイン コントローラとメンバ サーバーを本番環境に移行する前に、システム管理者はサーバーの構成を検証する必要があります。この資料では、重点的に確認する必要のあるいくつかの領域について説明します。トピックによっては、この資料には記載されていない調査が必要なものもあります。

詳細

イベント ビューアでインストールとブート処理を確認する

イベント ビューア (Eventvwr.msc) で、インストールまたはブート処理に関連するエラーや警告が出力されていないかどうかを確認します。必要な場合は、コンポーネントやサービスに関連するイベントを解決します。

イベント ビューアのログ サイズと最大値に達したときの操作を設定する

業務やセキュリティの要件に合わせて、イベント ログのサイズとログ サイズが最大値に達したときの操作 (必要に応じてイベントを上書きする、n 日経過後にイベントを上書きする、手動でログを消去するのいずれか) を設定します。適切な構成を実現するシステム ポリシーのサイト レベル、ドメイン レベル、または組織単位レベルでの実装を検討します。

サービスのスタートアップの種類を確認する

コンピュータの管理スナップインの [サービス] で、[スタートアップの種類] が [自動] に設定されているすべてのサービスが開始され、ユーザーの操作や複数の再試行が不要であることを確認します。

不必要なサービスを無効にする

不必要なサービスまたは未使用のサービスの [スタートアップの種類] を [手動] に設定します。たとえば、以下のサービスについて検討します。
  • プリンタを共有せず、プリンタにアクセスしていないコンピュータの Print Spooler サービス。ただし、Active Directory のプリンタ オブジェクトの自動管理が適切に動作するためには、各サイトの少なくとも 1 台の DC で Print Spooler サービスが実行されている必要があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    246269 エンタープライズのディレクトリ サービス プリンタ プルーナが適切に機能するための要件
  • すべてのサーバーの Messenger サービスと Alerter サービス。
必要なサービス構成を実現するサイト レベル、ドメイン レベル、組織単位レベルでのシステム ポリシーの作成を検討します。

サーバーの最適化を設定する

コントロール パネルの [ネットワークとダイヤルアップ接続] で、組織内でのコンピュータの役割に応じてサーバーの最適化を設定します。特に、ドメインを統合した場合は、必要に応じて、コンピュータの役割をドメイン コントローラからメンバ サーバーに変更します。専用のターミナル サーバーまたは IIS サーバーでは、[最適化] を [ネットワーク アプリケーションのデータ スループットを最大にする] に設定します。

IP、DNS、WINS およびデフォルト ゲートウェイの設定を確認する

コマンド プロンプトから IPCONFIG /ALL と入力して、IP、DNS、WINS およびデフォルト ゲートウェイの設定が正しいことを確認します。WINS クライアントであり、同時に WINS Server サービスも実行している Windows 2000 サーバー (特にドメイン コントローラ) では、両方の WINS アドレスをそのコンピュータ自体のアドレスまたはリモート WINS サーバーのアドレスのどちらか一方にのみ設定して、WINS サーバーが相互に参照し合う状態を避ける必要があります。

Netdiag を実行してネットワーク接続と DNS\WINS の登録をテストする

コマンド プロンプトで、NETDIAG.EXE のあるディレクトリに移動し、netdiag /v >c:\netdiag.mmddyy.txt (mmddyy はこのコマンドの実行時の日付) と入力します。NETDIAG.EXE に出力されるテキスト ファイルを表示して、ネットワーク接続と DNS\WINS の登録が適切かどうかを確認します。すべてのサーバーのローカル フォルダにこのファイルを保存し、必要に応じて更新して、サーバー構成が変更された場合やネットワークの問題が発生した場合に常に確認できるようにしておきます。

完全修飾コンピュータ名を表示する

コマンド プロンプトから net config rdr と入力して、完全修飾コンピュータ名を表示します。結果と Active Directory 名とを比較して、意図したとおりに一致しているか (または異なっているか) を確認します。

ページング ファイルのサイズと配置

メモリのサイズとサーバーの使用量に応じてページング ファイルのサイズと配置を設定します。ページング ファイルのサイズは、RAM サイズ + 12 MB から RAM * 2 までの値に設定できます。ミッション クリティカルなサーバーでは、RAM サイズと等しいかそれより大きなページング ファイルをオペレーティング システムと同じパーティションに配置して、クラッシュ ダンプを記録できるようにします。パフォーマンスをさらに向上させるため、ページング ファイルを Windows NT ファイルが保存されているドライブとは別の専用の物理ドライブ、ハードウェア ドライブ アレイに配置するか、または 利用可能な領域がなくなるまで読み取りと書き込みが "ラウンドロビン" に似た方式で行われる複数の物理ドライブに配置する方法があります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
197379 最適化と回復用にページ ファイルを設定する

Boot.ini ファイルに /DEBUG スイッチを追加してデバッグする

Boot.ini ファイルに /DEBUG スイッチを追加して、サーバーの事後検証デバッグを有効にします。デバッグ スイッチを有効にすると、サーバーのパフォーマンスが 2 〜 3% 低下しますが、クラッシュの発生時にデバッガをフックして事後検証デバッグを行うことができます。詳細については、「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料を参照してください。
121543 リモート デバッグのセットアップ
サーバー上のコア オペレーティング システム、Service Pack、および修正プログラムに対応するシンボル ファイルを常に保持してください。

FSMO の割り当て

Windows NT では、各役割が最初にドメイン コントローラに割り当てられます。このデフォルトの割り当て方法は、ドメイン コントローラの数が少ない環境では多くの場合に適切ですが、ディレクトリ内のドメイン コントローラの数が多い環境ではネットワークにとって最適でない可能性があります。FSMO の役割の割り当てについてはこの資料では説明しませんが、以下の一般的なルールがあります。
  • スキーマ マスタまたはドメイン ネーミング マスタの役割は、使用頻度が低く、また密接に制御する必要があるため、同じドメイン コントローラに割り当てます。
  • RID マスタと PDC エミュレータの役割を持つドメイン コントローラがグローバル カタログ (GC) サーバーでもある場合は、そのドメイン コントローラにインフラストラクチャ マスタを割り当てないようにします。最も重要なのは、管理コンソール (Dsa.msc、Ntdsutil.exe など) の 1 つを使用して FSMO のすべての役割を管理できるようにすることです。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
223346 Windows 2000 ドメイン コントローラ上への FSMO の配置と最適化

ディレクトリ サービスと主要サービスのバックアップを実行する

Windows 2000 バックアップのシステム状態または同等のオプションを有効にして、システムをバックアップします。ディレクトリ サービスとすべての重要なサービスのバックアップ プロセスを開発して維持します。

本番のネットワーク インフラストラクチャと速度、能力およびハードウェアの面で同等のテスト環境を使用して、コンピュータ全体の回復や、ディレクトリ サービスと個々のサービスの権限ある回復と権限のない回復の練習を行います。

Ntbackup.exe、または Windows 2000 Active Directory と互換性のある別のバックアップ ユーティリティを使用して、システム状態をバックアップします。バックアップ イメージのコピーを昇格済みの各ドメイン コントローラのローカル ドライブに保存し、さらに敷地外の場所にも保管します。コンピュータ アカウント、NTDS 設定オブジェクト、およびシステム ポリシーの Active Directory とファイル システムの部分は、いったん削除されると、作成し直すことができません。重要なオブジェクトが削除されていることに気付いた場合は、レプリカ ドメイン コントローラ (特に、ネットワーク経由で削除の内容がまだ複製されていない可能性のあるリモート サイトのレプリカ ドメイン コントローラ) を削除して、権限ある回復を実行できるようにします。マイクロソフトでは、以下のバックアップを推奨します。
  • フォレストのルート ドメインのドメイン コントローラ
  • 子ドメインを持つドメイン内のドメイン コントローラ
  • フォレスト内のすべてのドメイン コントローラのコンピュータ アカウント オブジェクト
  • フォレスト内のすべてのドメインの Active Directory と SYSVOL 共有に存在するデフォルト ドメイン ポリシーとデフォルト ドメイン コントローラ ポリシー

EFS 回復ポリシー

暗号化ファイル システム (EFS) 証明書の保存と回復の計画を作成します。計画では、証明書が必要な時間帯でのセキュリティと担当者のアクセスを考慮します。通常、サーバーは、最初の配置から 6 〜 36 か月後のオフピーク時に再構築されます。

オフライン SAM パスワード ポリシー

このトピックについては、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。
223301 オフライン SAM 内の管理者アカウントの保護

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 216899 (最終更新日 2004-12-10) を基に作成したものです。

プロパティ

文書番号: 216899 - 最終更新日: 2007年10月26日 - リビジョン: 4.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Datacenter Server
キーワード:?
kbinfo kbproductlink KB216899
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com