Category: Active Directory

参加の操作を正しく完了できませんでした。これは、既存のXXという名前のコンピューター アカウントが以前、別の資格情報で作成された可能性があります。

  EC2をベースにしたWindows Server 2012 R2のサーバをドメイン参加させようとしたところ、 参加の操作を正しく完了できませんでした。これは、既存のXXという名前のコンピューター アカウントが以前、別の資格情報で作成された可能性があります。別のコンピューター名を使うか、管理者に連絡して、競合を発生している無効なアカウントを削除してもらって下さい。エラー: アクセスが拒否されました。 なるエラーが発生し、ドメイン参加に失敗した。 始めて使うサーバ名であるため、コンピューターアカウントが競合するはずはない。 EC2で作ったWindows Serverのゴールデンイメージからsysprepして作った環境のため、 sysprepの失敗か?とも一瞬思ったが、原因は全然違った。   単純に、ドメイン参加時に入力を求められたアカウントに権限がなかっただけだった。 Domain Adminsグループに所属するアカウントで再度試行し、うまくいった。   標準テキスト Windows Server 2012 R2 構築・運用・管理パーフェクトガイド posted with amazlet at 16.06.18 SBクリエイティブ (2015-03-02)売り上げランキング: 21,493 Amazon.co.jpで詳細を見る  

Excelやパワポが「編集のためロックされています」で開けない時、犯人を特定する

  ExcelやPowerPoint、Word等をファイルサーバで共有して編集する場合。 別の誰かが編集中なのは仕方ないとして、あまりにも長時間ロックされている場合、犯人に一声かける(または怒鳴りつける)必要がある。 Windowsのアカウントが”taro.yamada”や”tyamada”等なら誰が編集しているかすぐわかるのだが、 “emp1134″やら”654708″だと、犯人の特定に手間がかかる、または非常に困難となる。 そんな時、会社のWindows環境がActive Directoryで管理されているなら、ADに聞いてみましょう。 (ADの設定にもよるので、できない環境もあり得る) コマンドプロンプトを開き、以下を実行。”hogehoge1234″のところに、「編集のためロックされています」のダイアログ中の”使用者”のIDを入れる。 net user /domain hogehoge1234   クエリが成功すると、以下のような結果が表示されるはず。 C:\>net user /domain hogehoge1234 この要求はドメイン hogehoge.co.jp のドメイン コントローラーで処理されます 。 ユーザー名 hogehoge1234 フル ネーム 山田 太郎 コメント ユーザーのコメント 国コード 000 (システム既定) アカウント有効 Yes アカウントの期限 無期限 最終パスワード変更日時 2013/06/06 12:16:02 パスワード有効期間 2013/08/20 12:16:02 パスワード次回変更可能日時 2013/06/06 12:16:02 パスワードあり Yes ユーザーによるパスワード変更可能 Yes ログオン可能なワークステーション すべて ログオン.

ドメインコントローラの時刻同期

  PDCエミュレータの役割を持つドメインコントローラをセットアップすると、イベントログに以下のようなイベントID 12が記録される。 タイム プロバイダ NtpClient: このコンピュータは、ドメイン階層を使ってタイムソース を決定するように構成されていますが、フォレストのルートにあるドメイン用の PDC エミュレータであるため、ドメイン階層のその上にはタイム ソースとして使用する コンピュータがありません。ルート ドメインの信頼できるタイム サービスを構成するか、 または手動で PDC を構成して外部のタイム ソースと同期させることをお勧めします。 そうでない場合、このコンピュータはドメイン階層内の権限のあるタイム ソースとして 機能します。外部のタイム ソースが構成できない場合、またこのコンピュータで使用で きない場合は、NtpClient を無効にすることをお勧めします。 タイムサーバはデフォルトの「time.windows.com」を指定しているが、上記イベントが発生することから考えると、time.windows.comは「Client Mode」の要求しか受け付けないようだ。 ※もちろんタイムサーバはtime.windows.comじゃなくてもいい。むしろ、商用環境ではtime.windows.comじゃない方がいい。レスポンスがないことが多々ある・・。 設定方法はいろいろあるようだが、今回はドメインコントローラ上でレジストリの値を修正して対処した。 1、ドメインコントローラ上でregedit 2、HKEY_LOCAL_MACHINEの\SYSTEM\CurrentControlSet\Services\W32Time\ParametersのTypeの値を、NT5DSからALLSyncに修正 3、HKEY_LOCAL_MACHINEのSYSTEM\CurrentControlSet\Services\W32Time\ParametersのNtpServerの値を、time.windows.com,0x1からtime.windows.com,0x8に修正 ※末尾のフラグは0x1だと方式が「Symmetric Active/Passive Mode」、0x8だと「Client/Server Mode」となるらしい。ちなみに、0x2では時刻同期されなかった。http://network.station.ez-net.jp/report/servers/ntp/ntp-windows.asp 4、ドメインコントローラ上のプロンプトでnet stop w32time 5、ドメインコントローラ上のプロンプトでnet start w32time 6、ドメインコントローラ上のプロンプトでw32tm /resync 同期結果。 C:\>w32tm /resync 再同期のコマンドを送信: local computer… コマンドは正しく完了しました。