結果的に以下のポートをあけないと、クライアントのドメイン参加はできませんでした。
udp/88Kerberos
tcp/389LDAP
udp/53DNS
tcp/1025RPC?
tcp/135RPC

あと、ファイルとプリンタ共有とリモートデスクトップは
最初からあけておきました。
[ファイルとプリンタ共有]
tcp/139
tcp/445
udp/137
udp/138
[リモートデスクトップ]
tcp/3389

[2007/10/18更新]
いろいろやってると全然あけるポートが足りてなかった。
現在こんな具合。
tcp/53 DNS
udp/53 DNS
tcp/88 Kerberos
udp/88 Kerberos
udp/123 ntp
tcp/135 RPC
tcp/389 LDAP
udp/389 LDAP
tcp/1025 RPC?
tcp/3268 LDAP

クライアントをドメイン追加して、Active Directoryに追加したユーザでログインしようとしたら、
"このシステムのローカル ポリシーは、このユーザーが対話的にログオンすることを許可していません。"
というメッセージが出てログインできない。

Default Domain Controllers Policyで設定されていた。
[コンピュータの構成]-[Windosの設定]-[セキュリティの設定]-[ローカルポリシー]-[ユーザー権利の割り当て]
の中に[ローカル ログオンを許可する]という設定がある。
ここを右クリックして｢プロパティ｣を見ると許可されているグループやユーザが表示される。
デフォルトだと
Account Operators
Administrators
Backup Operators
Print Operators
Server Operators
というのがあった。

とりあえず新しいユーザにServer Operatorsというのを入れてみる。
あれ？リモートデスクトップユーザとして先に足してしまった。
まぁとりあえずこの辺がからんでいるのでしょう。

適当なユーザを作ろうとしたら怒られた。
先に進めない。
どっかで定義しているようだ。
2003だと初期設定が違うのかな。

コチラのページによると
｢ドメインのパスワード ポリシー設定は、ドメインのルート コンテナで定義する必要があります。｣
とのことです。

デフォルトのポリシーを開くと、[パスワードは、複雑さの要件を満たす必要がある]が有効になっていました。
なるほど。。。

2000の時を参考にしつつ。。。

・.[スタート] をクリックし、[管理ツール]-[DNS] をクリックします。

・表示されたウインドウの左側、ツリータブの中にマシン名が表示されているので、
その左にあるプラスマークをクリック。

・[前方参照ゾーン]、[逆引き参照ゾーン]、[イベントビューア]のフォルダが三個出てきます。
前方参照の方は前回設定したmikan.localというのが設定されている場所のようです。
逆引き参照の方に設定を加えます。
右クリックから[新しいゾーン]を選択します。

*nslookupをすると名前からIPはひけますが、IPから名前はひけない状態です。

・「新しいゾーン　ウィザードの開始」というウインドウが表示されるので
「次へ」をクリックします。

・「ゾーンの種類」　画面表示
[プライマリゾーン]、[セカンダリゾーン]、[スタブゾーン]の3種類から選択可能で、
[Active Directoryにゾーンを格納する]がチェックボックスで選べます。
今回は[プライマリゾーン]を選択、[Active Directoryにゾーンを格納する]をチェックして「次へ」をクリックしました。

・「Active Directory ゾーンレプリケーションスコープ」　画面表示
[Active Directory フォレストpeace.localのDNSサーバすべて]、
[Active Directory ドメインpeace.localのDNSサーバすべて]、
[Active Directory ドメインpeace.localのドメインコントローラすべて]の3種類から選択可能で、
コチラのページに「Windows Server 2003 ファミリの
Active Directory 統合 DNS ゾーンのレプリケーションの既定の設定」
と書いてあったので､[Active Directory ドメインpeace.localのDNSサーバすべて]を選びました。


・「逆引き参照ゾーン名」　画面表示
[ネットワークID]または[逆引き参照ゾーンの名前]を入力できます。
テスト環境が192.168.1.0/24なので、
前者に192.168.1と入力して「次へ」をクリックしました。

・「動的更新」　画面表示
[セキュリティで保護された動的更新のみを許可する(Active Directory用に推奨)]、
[非セキュリティ保護およびセキュリティ保護の両方による動的更新を許可する]、
[動的更新を許可しない]の3種類から選択可能で、
Active Directoryを使うので最初のやつにしました。


・「新しいゾーンウィザードの完了」　画面表示
問題なければ[完了]をクリックします。

・再起動します。

・nslookupでIPから名前がひけるようになってます。たぶん大丈夫でしょう。

コチラのページを参照しました。
「DNSとActive Directoryを手動でインストールするには」ってところから。

2000の時と基本的な流れは一緒かなぁ。

1.[スタート] をクリックし、[ファイル名を指定して実行] をクリックします。
「DCPROMO」と入力し、[OK] をクリックします。

2.「Active Directoryのインストールウィザードの開始」　画面表示
[次へ]をクリックします。

3.「オペレーティングシステムの互換性」　画面表示
[次へ]をクリックします。

4.「ドメイン コントローラの種類」　画面表示
[新しいドメインのドメイン コントローラ]と
[既存のドメインの追加ドメイン コントローラ]が選択可
今回は新しく作ってみるので、前者を選択して[次へ]をクリックします。

5.｢新しいドメインの作成｣　画面表示
[新しいフォレストのドメイン]と
[既存のドメインツリーの子ドメイン]と
[既存のフォレストのドメインツリー]が選択可
今回は新しく作ってみるので、一個目を選択して[次へ]をクリックします。

6.「新しいドメイン名」　画面表示
任意のドメイン名を指定して[次へ]をクリックします。
今回は「peace.local」というドメイン名にしてみました。

*独自ドメインを取得している場合はそれに従い、
取得していない場合は「ドメイン名.local」とするのが慣習だそうです。

7.「NetBIOSドメイン名」　画面表示
通常は前の画面で指定したドメイン名の始めの部分を使用するそうなので
今回は「PEACE」を指定して[次へ]をクリックします。

*NetBIOS名は下位互換性のために設定するそうです

8.「データベースとログのフォルダ」　画面表示
今回はcドライブしかないので、2つともデフォルトの「C:\WINDOWS\NTDS」で[次へ]をクリックします。

*ドキュメントではログは別パーティションにするようになっていました。

9.「共有システムボリューム」　画面表示
別の場所を指定もできますが、今回はデフォルトの「C:\WINNT\SYSVOL」でいきます。
NTFSでフォーマットされている必要があるようです。

10.「DNS登録の診断」　画面表示

*診断の失敗と出ているけど、たぶん新しいドメインだからと思われます。

[このコンピュータに DNS サーバーをインストールして構成し、
この DNS サーバーを優先 DNS サーバーとして使用するように設定します] をクリックして[次へ] をクリックします。

11.｢アクセス許可｣　画面表示
[Windows 2000 または Windows Server 2003 OS とのみ
互換性があるアクセス許可] (既定) をオンのままにし、[次へ] をクリックします。

12.「ディレクトリサービス復元モードAdministratorパスワード」　画面表示
復元モードでの管理者パスワードを設定します。
システムと同じものをとりあえず登録して[次へ]をクリックします。

13.「概要」　画面表示
設定した内容が表示されます。
内容を確認して[次へ]をクリックします。
プロンプトが表示されたので、インストールCDをセットしました。

14.- 17.は起こりませんでした。

18.｢Active Directory のインストール ウィザード完了｣　画面表示
[完了]をクリックします。

19. [今すぐ再起動する] をクリックしてコンピュータを再起動します。

なんだかうまくActive Directory環境にアクセスできていないようだ。
イベントログを見ると

「ローカル システム の証明書の自動登録で、Active Directory (0x8007054b) に連絡できませんでした。指定されたドメインがないか、またはアクセスできません。」

って書いてあったので調べてみたらDNS登録を忘れていたようだ。
やれやれ。何度も再起動しちゃったよ。

コチラから

以前書いた内容は2000サーバ用みたい。
必要があれば再起動を強制したりすることもできるようです。
へー。

詳細はコチラより。

対象のOUなどを右クリックして「プロパティ」を選択。

「グループ　ポリシー」タブよりポリシーを編集する。

コンピュータの構成\管理者用テンプレート\システム\グループポリシー

と開いていく。

右側の窓に表示される「コンピュータのグループポリシーの更新間隔」を設定する。

その他にはクライアントは以下の場合にポリシーを要求するそうです。

・コンピュータが起動した際
・ユーザがログオンした際
・アプリケーションが更新を要求した際
・ユーザが更新を要求した際

どうりでね～

コマンドプロンプトで

secedit /refreshpolicy machine_policy

うーむ。使うのかな。。。

セキュリティテンプレート作成

[スタート]-[ファイル名を指定して実行]よりmmc.exeを指定して実行

[コンソール]-[スナップインの追加と削除]で新しいウインドウが開く

[スタンドアロン]タブ内の[追加]をクリックするとさらに新しいウインドウが開く

一覧より[セキュリティテンプレート]を選択して[追加]-[OK]とクリック

[コンソールルート]の下に[セキュリティテンプレート]、
さらにその下に[c:\WINNT\Security\Templates]さらにその下に一覧が表示される