2011年6月5日日曜日

再起動可能なドメインコントローラ

Windows Server 2008では、ドメインコントローラを停止せずに(ディレクトリサービス復元モードで再起動しなくても)Active Directory関連サービスを停止できます。
このとき、他にドメインコントローラがいればメンバーサーバーとして振る舞います。つまり、ドメインのアカウントでログオンができます。
他にドメインコントローラがいない場合はスタンドアロンサーバーとして振る舞います。つまり、ワークグループ構成になります。
ところが、このとき、既定の設定では誰もログオンができません。そこで、ディレクトリサービス復元モードのパスワード(DSRMパスワード)でログオンできるように設定できます。
以下のレジストリキーを構成してください。
キー: HKLM\System\CurrentControlSet\Control\Lsa
値: DSRMAdminLogonBehavior
データ:
0...誰もログオンできない(既定値)
1...Active Directory停止中だけDSRMパスワードでログオン可能
2...常にDSRMパスワードを使ってログオン可能(推奨できない)
詳細は以下をご覧ください。
http://technet2.microsoft.com/windowsserver2008/en/library/caa05f49-210f-4f4c-b33f-c8ad50a687101033.mspx