■グループポリシーの設定を最新の情報に更新
gpupdate
/target:{computer | user} ：コンピュータポリシー or ユーザポリシー
/force ：全てのポリシー適用
/Wait:{値} ：ポリシー処理完了までの待機時間の設定
/logoff ：ポリシー設定完了後にログオフ
/boot ：ポリシー設定完了後に再起動

■グループポリシー結果セットの表示
gpresult
/s {computer} ：リモートコンピュータまたはIPアドレス
/u {domain\user} ：コマンド実行ユーザ
/p {password} ：コマンド実行ユーザパスワード
/user {domain\user} ：RSOPを表示するユーザ
/scope{computer | user} ：コンピュータポリシー or ユーザポリシー
/v ：ポリシー情報の詳細表示
/z ：全てのポリシー情報の表示

■ActiveDirectoryに含まれるオブジェクトの識別名（DN）の検索方法

dsquery
computer ：ディレクトリに含まれるコンピューターを検索する。
contact ：ディレクトリに含まれる連絡先を検索する。
subnet ：ディレクトリに含まれるサブネットを検索する。
group ：ディレクトリに含まれるグループを検索する。
ou ：ディレクトリに含まれる組織単位（OU）を検索する。
site ：ディレクトリに含まれるサイトを検索する。
server ：ディレクトリに含まれるドメイン・コントローラを検索する。
user ：ディレクトリに含まれるユーザーを検索する。
quota ：ディレクトリのクォータ設定を検索する。
partition ：ディレクトリのパーティションを検索する。
* ：汎用LDAPのクエリーによって，ディレクトリのオブジェクトを検索する。
あらゆる種類のオブジェクトを照会できる。

� �数あり ※HELPを参照のこと

EX)ディレクトリに含まれる、PRODから始まる名前のDC
dsquery server -name PROD*

■DCの検索方法
Windows LocatorがDCを検索する際の動作手順

１．自分自身が存在するサイトから、DCを検索する。
DNS に対して、以下のようなドメイン名と所属するサイト名を付けたクエリーを送信しDCを検出する。

クエリの種類 ： SRV (Service locator resource record)
クエリ名 ： _LDAP._TCP.._sites.dc._msdcs.

この時、自分のサイトに複数のDCが存在する場合には、
それらのDCの IP アドレスのリストを取得する。
ActiveDirectory のインストールを実行しているコンピュータは、
それらのDCに順番に照会を行い（ICMPエコー／リプライを
利用して、最もネットワーク的に近いDCを判断する）、
使用できる適切なDCを検索する。

EX)
nslookup
> set type=all
> _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.test.domain.co.jp

２．自分の存在するサイトから適切なDCを検出できなかった場合（DCが存在しない場合や、
正常な応答のない場合）には、DNS に対して以下のようなクエリーを送信し、
ドメイン名でDCを検出する。

クエリの種類： SRV (Service locator resource record)
クエリ名 ： _LDAP._TCP.dc._msdcs.

複数のDCが存在する場合には、
DCの IP アドレスのリストを受け取り、
順番に照会を行い（ICMPエコー／リプライ）、
使用できる適切なDCを検索する。

EX)
nslookup
> set type=all
> _ldap._tcp.dc._msdcs.test.domain.co.jp

■DCが登録するリソースレコード（SRV）

_ldap._tcp..
LDAPサーバーを探索するために使用されるレコード。
すべてのDCは、この名前を登録する
_ldap._tcp.active.dsl.local. 600 IN SRV 0 100 389 AZ3.active.dsl.local.

_ldap._tcp.._sites..
サイト名とドメイン名を使用して、ドメイン内のLDAPサーバーを発見するために
使用されるレコード。
すべてのDCは、この名前を登録する
_ldap._tcp.Default-First-Site-Name._sites.active.dsl.local. 600 IN SRV 0 100 389 AZ3.active.dsl.local.

_ldap._tcp.dc._msdcs.
DCを発見するために使用されるレコード。
すべてのDCは、この名前を登録する
_ldap._tcp.dc._msdcs.active.dsl.local. 600 IN SRV 0 100 389 AZ3.active.dsl.local.

_ldap._tcp.._sites.dc._msdcs.
サイト名とドメイン名を使用して、ドメイン内のDCを
発見するために使用されるレコード。
すべてのDCはこの名前を登録する
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.active.dsl.local. 600 IN SRV 0 100 389 AZ3.active.dsl.local.

_ldap._tcp.pdc._msdcs..
NTドメインで使用されるPDCを表すレコード。
ドメイン内に存在するPDCエミュレータが、この名前を登録する
_ldap._tcp.pdc._msdcs.active.dsl.local. 600 IN SRV 0 100 389 AZ3.active.dsl.local.

iPodにMP3ファイルを転送する方法については、

_ldap._tcp.gc._msdcs..
ドメイン内でグローバルカタログを提供しているサーバーを、
フォレスト名で発見するために使用される。
グローバルカタログを提供しているサーバーのみが、この名前を登録する
_ldap._tcp.gc._msdcs.active.dsl.local. 600 IN SRV 0 100 3268 AZ3.active.dsl.local.

_ldap._tcp.._sites.gc._msdcs..
ドメイン内でグローバルカタログを提供しているサーバーを、
サイト名とフォレスト名を使用して発見するために使用される。
グローバルカタログを提供しているサーバーのみが、この名前を登録する
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.active.dsl.local. 600 IN SRV 0 100 3268 AZ3.active.dsl.local.

_gc._tcp..
ドメイン内でグローバルカタログを提供しているサーバーを、
フォレスト名で発見するために使用される。
グローバルカタログを提供しているLDAPサーバーのみが、この名前を登録する
_gc._tcp.active.dsl.local. 600 IN SRV 0 100 3268 AZ3.active.dsl.local.

_gc._tcp.._sites..
ドメイン内でグローバルカタログを提供しているサーバーを、
サイト名とフォレスト名を使用して発見するために使用される。
グローバルカタログを提供しているLDAPサーバーのみが、この名前を登録する。
_gc._tcp.Default-First-Site-Name._sites.active.dsl.local. 600 IN SRV 0 100 3268 AZ3.active.dsl.local.

_ldap._tcp..domains._msdcs..
GUIDを用いてドメイン内でDCを発見するために使用される。
（フォレスト名は変更されず、ドメイン名のみ変更された場合などに使用される）
すべてのDCがこの名前を登録する
_ldap._tcp.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.domains._msdcs.active.dsl.local. 600 IN SRV 0 100 389 AZ3.active.dsl.local.

_kerberos._tcp.
ドメイン内に存在するKerberosの鍵配布機関
（Kerberos Key Distribution Center：KDC）を発見するために使用される。
KerberosのKDCサービスが動作しているすべてのDCは、
この名前を登録する
_kerberos._tcp.active.dsl.local. 600 IN SRV 0 100 88 AZ3.active.dsl.local.

_kerberos._udp.
_kerberos._tcp.と同様だが、TCPではなくUDPを使用する場合の
レコードである
_kerberos._udp.active.dsl.local. 600 IN SRV 0 100 88 AZ3.active.dsl.local.

_kerberos._tcp.._sites.
サイト名とドメイン名を使用して、KerberosのKDCサービスを発見するために
使用される。
KerberosのKDCサービスが動作しているすべてのDCは、
この名前を登録する
_kerberos._tcp.Default-First-Site-Name._sites.active.dsl.local. 600 IN SRV 0 100 88 AZ3.active.dsl.local.

_kerberos._tcp.dc._msdcs.
KerberosのKDCサービスが動作しているDCを発見するために
使用される。
KerberosのKDCサービスが動作しているすべてのDCは、
この名前を登録する
_kerberos._tcp.dc._msdcs.active.dsl.local. 600 IN SRV 0 100 88 AZ3.active.dsl.local.

_kerberos._tcp.._sites.dc._msdcs.
サイト名とドメイン名を使用して、KerberosのKDCサービスが動作している
DCを発見するために使用される。
KerberosのKDCサービスが動作しているすべてのDCは、
この名前を登録する
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.active.dsl.local. 600 IN SRV 0 100 88 AZ3.active.dsl.local.

_kpasswd._tcp.
ドメイン内に存在するKerberosのパスワード変更サーバーを発見するために使用される。
KerberosのKDCサービスが動作しているすべてのDCは、
この名前を登録する
_kpasswd._tcp.active.dsl.local. 600 IN SRV 0 100 464 AZ3.active.dsl.local.

_kpasswd._udp.
_kpasswd._tcp.と同様だが、TCPではなくUDPを使用する場合の
レコードである
_kpasswd._udp.active.dsl.local. 600 IN SRV 0 100 464 AZ3.active.dsl.loca

■グローバルカタログを有効または無効にする方法
１．GUI
（１）Active Directory サイトとサービスを開く。

（２）コンソールツリーで、グローバルカタログを有効または無効にするDCをクリックする。
場所：Active Directory サイトとサービス/Sites/無効または有効にするDCが含まれているサイト
/Servers/DC

（３）詳細ペインで、[NTDS Settings] を右クリックし、[プロパティ] をクリックする。

（４）グローバルカタログを有効にするには、[グローバルカタログ] チェックボックスをオンにする。
グローバルカタログを無効にするには、このチェックボックスをオフにする。

２．CLI

あなたがものをダウンロードできるサイト

GUIが利用不可な場合等に使用。
dsmod server "" -isgc yes | no

EX)グローバルカタログを有効にする。
dsmod server "CN=host01,CN=Servers,CN=Default-First-Site-Name,
CN=Sites,CN=Configuration,DC=test,DC=domain,DC=co,DC=jp" -isgc yes

■FSMOの確認方法
１．GUI (DCサーバにてMMCを実施)

（１）[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリック。

（２）dsa.msc と入力し、[OK] をクリックする。

（３）左側のウィンドウの上部で、選択したドメイン オブジェクトを右クリックし[操作マスタ] をクリックする。

（４）[PDC] タブをクリックすると、PDC マスタの役割を持つサーバーが表示される。

（５）[インフラストラクチャ] タブをクリックすると、インフラストラクチャマスタの役割を持つサーバーが表示される。

（６）[RID] タブをクリックすると、RID マスタの役割を持つサーバーが表示される。

２．CLI (DCサーバにて以下のコマンドを実施)

（１）スキーママスタの検索
dsquery server -forest -hasfsmo schema

（２）ドメイン名前付けマスタの検索
dsquery server -forest -hasfsmo name

（３）RIDマスタの検索
dsquery server -forest -hasfsmo rid

（４）PDCエミュレータマスタの検索
dsquery server -forest -hasfsmo pdc

（５）インフラストラクチャマスタの検索
dsquery server -forest -hasfsmo infr

■FSMO機能を他のDCに転送する方法
グローバルカタログが他のDCに存在することを確認の上、実施すること。
また、[Active Directory スキーママスタ スナップイン]を使用する場合は、
事前に、Schmmgmt.dll ファイルの登録が必要。

１．スキーママスタの役割を転送する

（１）[スタート]、[ファイル名を指定して実行] を順にクリックする。

（２）[名前] ボックスに regsvr32 schmmgmt.dll と入力して [OK] をクリックする。

（３）操作が成功したことを示すメッセージが表示されたら、[OK] をクリックする。

（４）[スタート] をクリックし、[ファイル名を指定して実行] をクリックする。
[名前] ボックスに mmc と入力して [OK] をクリックする。

（５）[ファイル] メニューの [スナップインの追加と削除] をクリックする。

（６）[追加] をクリックする。

（７）[Active Directory スキーマ] をクリックして [追加] をクリックする。
次に [閉じる] をクリックして [OK] をクリックする。

（８）コンソール ツリーで [Active Directory スキーマ] を右クリックし[DCの変更] をクリックする。

（９）[名前の指定]をクリックし、新しい役割の所有者とするDCの名前を入力して [OK] をクリックする。

（10）コンソールツリーで、[Active Directory スキーマ] を右クリックし[操作マスタ] をクリックする。

（11）[変更] をクリックする。

（12）[はい] をクリックして役割の転送を確認し、[閉じる] をクリックする。

２．ドメイン名前付けマスタの役割を転送する

（１）[スタート] をクリックし、[管理ツール] をポイントして
[Active Directory ドメインと信頼関係] をクリックする。

（２）[Active Directory ドメインと信頼関係] を右クリックし、[DCに接続] をクリックする。
※役割転送先のDC以外で操作している場合、この手順を実行する必要がる。
役割を転送するDCに既に接続している場合は不要。

（３）次のいずれかの手順を実行する。

（Ａ）[別のDCの名前を入力してください] ボックスに、新しい役割の所有者とするDCの名前を入力して[OK] をクリックする。

（Ｂ）[またはDCを選択してください] 一覧で、新しい役割の所有者とするDCを選択して[OK] をクリックする。

（４）コンソール ツリーで [Active Directory ドメインと信頼関係] を右クリックして、[操作マスタ] をクリックする。

（５）[変更] をクリックする。

（６）[はい] をクリックして役割の転送を確認し[閉じる] をクリックする。

３．RID マスタ、PDC エミュレータ、およびインフラストラクチャマスタの役割を転送する

（１）[スタート] をクリックし、[管理ツール] をポイントして
[Active Directory ユーザーとコンピュータ] をクリックする。

（２）[Active Directory ユーザーとコンピュータ] を右クリックして[DCに接続] をクリックする。
※役割転送先のDC以外で操作している場合、この手順を実行する必要がある。
役割を転送するDCに既に接続している場合は不要。

（３）次のいずれかの手順を実行する。

（Ａ）[別のDCの名前を入力してください] ボックスに、
新しい役割の所有者とするDCの名前を入力して[OK] をクリックする。

どのように私はマイドキュメントが表示調整しない

（Ｂ）[またはDCを選択してください] 一覧で、新しい役割の所有者とするDCを選択して
[OK] をクリックする。

（Ｄ）コンソールツリーで [Active Directory ユーザーとコンピュータ]を
右クリックし、[すべてのタスク] をポイントして [操作マスタ] をクリックする。

（Ｅ）転送する役割に該当するタブ([RID]、[PDC]、または[インフラストラクチャ])を
クリックして [変更] をクリックする。

（Ｆ）[はい] をクリックして役割の転送を確認し、[閉じる] をクリックする。

■FSMO機能の強制転送方法
通常のFSMO機能の転送が不可の場合に使用。
※実施に当たっては不測の事態における原状回復目的として
DCのフルバックアップを取得すること。
また、実施にはDCに Windows Server 2003 SupportTools のインストールが必要。

１．FSMO の役割の強制転送先のDC上でコマンドプロンプトを起動する。

２．コマンド プロンプトで ntdsutil と入力する。

３．roles と入力し、Enter キーを押する。

４．connections と入力し、Enter キーを押する。

５．connect to server と入力し、Enter キーを押する。
※ servername には、FSMO 転送先 DC(HENRY) を指定する。

６．server connections: プロンプトで q と入力し Enter キーを押する。

７．seize と入力する。 role には強制する役割を指定する。

（１）Seize domain naming master

（２）Seize infrastructure master

（３）Seize PDC

（４）Seize RID master

（５）Seize schema master
※ 作業中にメッセージ「サーバー "Server_Name"の Role_Name 役割を次の値に強制しますか？」が表示されたら "はい" を選択する。
※ 他に強制できる役割のリストを表示するには、 Fsmo maintenance: プロンプトで? と入力し、Enter キーを押する。

８．すべての role を強制転送したら、q をクリックしコマンドプロンプトを閉じる。

■DCを強制的に降格する方法
DCの通常降格が不可の場合に使用。
併せて次項の「DCの情報を削除」と併用すること。
※実施に当たっては不測の事態における原状回復目的として
DCのフルバックアップを取得すること。

該当のDCにて、以下のコマンドを実施。
dcpromo /forceremoval

■ActiveDirectoryからDCの情報を削除する方法
DCを強制的に降格させた後や、実機として存在しないが、ActiveDirectory上に
情報が残っている場合等に使用。
※実施に当たっては不測の事態における原状回復目的としてDCのフルバックアップを取得すること。
また、実施にはDCにWindows Server 2003 SupportTools のインストールが必要。

（１）DCのコマンドプロンプトにて、ntdsutilを実行。

（２）ntdsutil: と表示されたら、metadata cleanup と入力しEnter

（３）metadata cleanup：と表示されたら、connections と入力しEnter

（４）server connections：と表示されたら、connect to server DCサーバ名と入力しEnter

（５）下記メッセージが表示されたら、quit と入力しEnter
---------------------------------------------
DCサーバ名 に結合しています...
ローカルでログオンしているユーザーの資格情報を使って DCサーバ名 に接続しました
---------------------------------------------

（６）metadata cleanup：と表示されたら、select operation target と入力しEnter

（７）select operation target：と表示されたら、list domains と入力しEnter

（８）下記メッセージが表示されたら、select domain 0 と入力し、Enter
※環境により番号が異なる為、tmx.localが記載されている番号を選択
---------------------------------------------
1 個のドメインを検出しました
0 - DC=test,DC=local
---------------------------------------------

（９）下記メッセージが表示されたら、list sites と入力しEnter
---------------------------------------------
現在のサイトがありません
ドメイン - DC=test,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
---------------------------------------------

（10）下記メッセージが表示されたら、select site 0 と入力しEnter
※環境により番号が異なる
---------------------------------------------
1 個のサイトを検出しました
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=domain,DC=co,DC=jp
---------------------------------------------

（11）下記メッセージが表示されたら list servers in site と入力しEnter
---------------------------------------------
サイト -
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=domain,DC=co,DC=jp
ドメイン - DC=test,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
---------------------------------------------

（12）下記メッセージが表示されたら、select server 0 と入力しEnter
※削除するサーバに対応する番号を選択すること！！！
---------------------------------------------
2 個のサーバーを検出しました
0 -
CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=domain,DC=co,DC=jp
1 -
CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=domain,DC=co,DC=jp
---------------------------------------------

（13）下記メッセージが表示されたら、quit と入力しEnter
---------------------------------------------
サイト -
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=domain,DC=co,DC=jp
ドメイン - DC=test,DC=domain,DC=co,DC=jp
サーバー -
CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=domain,DC=co,DC=jp
DSA オブジェクト - CN=NTDS
Settings,CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=domain,DC=co,DC=jp
DNS ホスト名 - DC01.test.domain.co.jp
コンピュータ オブジェクト - CN=DC01,OU=Domain Controllers,DC=test,DC=domain,DC=co,DC=jp
現在の名前付けコンテキストがありません
---------------------------------------------

（14）[metadata cleanup] メニューが表示されたら、remove selected server と入力しEnter

（15）下記のサーバー削除確認ダイアログが表示されたら、選択肢「はい」を選択
---------------------------------------------
サーバーオブジェクトCN=DC01,CN=Servers,CN=Default-First-Site-Name,
CN=Sites,CN=Configuration,DC=test,DC=domain,DC=co,DC=jp を削除しますか？

これはドメイン"DC=test,DC=domain,DC=co,DC=jp、"の最後のサーバーではありません。
警告:問題のサーバーは完全にオフラインになっている必要がありサービスを
再開することはできません。
このサーバーがオンラインになった場合、サーバーオブジェクトは復元されます。
---------------------------------------------

■DCを同期させる方法
複製元DCから複製先DCに向かって、
DC=Example,DC=comドメイン・パーティション上の差分情報を複製する。
repadmin /replicate 複製先DC名 複製元DC名 DC=test,DC=domain,DC=co,DC=jp

パーティション内のすべての情報を複製させたい場合は、以下のように/fullオプションを加えて実行する。
repadmin /replicate 複製先DC名 複製元DC名 DC=test,DC=domain,DC=co,DC=jp /full

■既存ドメイン環境への新サイト追加手順

１．新サイトオブジェクトの作成
「ActiveDirectoryサイトとサービス」コンソールから、
「Sites」オブジェクトを右クリックし「新しいサイト」より作成。
・サイト名及びサイトリンクオブジェクトを指定。
サイトリンクオブジェクトは Default、なければ未指定も可。

２．新サブネットオブジェクトの割当
「ActiveDirectoryサイトとサービス」コンソールから、
「Sites」-「subnets」オブジェクトを右クリックし「新しいサブネット」より作成。
・IPセグメントを入力し適用するサイトオブジェクトを指定。

３．既存サイト − 新サイトリンクオブジェクトの作成
「ActiveDirectoryサイトとサービス」コンソールから、
「Sites」-「Inter-Site Transports」-「IP」オブジェクトを右クリックし
「新しいサイトリンク」より作成。
・サイトリンク名及び定義するサイトを指定。

４．新サイトのIPアドレスにてDCを構築
通常のDC追加手順にて作成。

・DC構築後、該当するIPネットワークのサイトに自動的に同DCが割り当てられる。
尚、ディレクトリやDNSの一部の情報はDC構築時点で同期されるが、ゾーン情報等は
レプリケーションが完了（デフォルト180分）するまで反映されない模様。