none
ADのユーザアカウント移行 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Win2000ADからWin2008ADへのユーザアカウント移行を行うべく,下記の設定を行いました.

    ・[既存AD] TCP/IPのプロパティで,代替DNSに,新規ADのIPを設定

    ・[新規AD] TCP/IPのプロパティで,代替DNSに,既存ADのIPを設定

     ・[新規AD] DNSサーバの設定変更として,新ドメインのゾーン転送を許可させ,既存ADのIPのみゾーン転送を可能にした

    ・[既存AD] DNSサーバに新規ドメインのセカンダリゾーンを作成

    ・[新規AD] DNSサーバに既存ドメインのセカンダリゾーンを作成

    以上の設定後,新旧サーバの外部信頼接続を行おうとすると,信頼関係設定ウィザードの最後で「操作に失敗しました.エラー:この操作は現在のドメインで実行できません」というエラーが発生し,信頼関係を構築できません.

    何が悪いのか見当も付かない状態です.

    どなたか,同一の現象を経験及びご解決された方はいらっしゃいますでしょうか?

    ちなみに,各サーバ機の概要は以下の通りです.

    既存AD

    Windows2000Server SP4
    当初,混在モードであったものを,移行作業前に,ネイティブモードに変更.(サーバの再起動せず) 

    新規AD

    Windows Server 2008 Standard Edition 64bit SP2
    フォレスト機能レベル:Windows2000
    ドメイン機能レベル:Windows2000

     

     

    2011年10月4日 13:02
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンです。 ドメインコントローラ間で信頼関係を結ぶときに参照する相手ドメインのDNS情報は、「条件付きフォワーダー」で行なってください。TCP/IPのプロパティでは相手ドメインコントローラを設定しないようにしてください。正しく設定すれば「セカンダリゾーン」でも対応できるのですが、ちゃんと設定されているか判断できません。「条件付きフォワーダー」はこのページを参考にしてください。http://www.atmarkit.co.jp/fwin2k/win2ktips/397dnsforw/dnsforw.html
    • 回答としてマーク 田中夢 2011年10月25日 5:54
    2011年10月5日 0:42
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    [新規AD] DNSサーバの設定変更として,新ドメインのゾーン転送を許可させ,既存ADのIPのみゾーン転送を可能にした

    とのことですが、新規AD側で既存ADのたとえばSRVレコードなどが正しく引けている(ゾーン転送が成功している)ことは確認していますか。

    同様に既存AD側でも同様に、新規ADとのゾーン転送はできていて、新規ADの名前解決ができることを確認していますか。

    ・[既存AD] TCP/IPのプロパティで,代替DNSに,新規ADのIPを設定 ・[新規AD] TCP/IPのプロパティで,代替DNSに,既存ADのIPを設定

    だと、単に名前解決を行った場合、プライマリのDNSで解決したのか、代替DNSで解決したのかわかりにくいので、nslookup コマンドなどで、明示的に問い合わせ先のDNSサーバを指定して確認してみることをお勧めします。

    • 回答としてマーク 田中夢 2011年10月25日 5:54
    2011年10月6日 15:11
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    遅くなりました。私が本当にいいたかったことは、たかはし もとのぶさんがおっしゃる内容になります。

    が、まず守っていただきたいのは

    ・[既存AD] TCP/IPのプロパティで,代替DNSに,新規ADのIPを設定
    ・[新規AD] TCP/IPのプロパティで,代替DNSに,既存ADのIPを設定

    うえのような設定は行わないでください。既存のDNS名前解決に問題が起こります。各どめいんにドメインコントローラが1台しかないなら

    ・[既存AD] TCP/IPのプロパティで,代替DNSは空欄
    ・[新規AD] TCP/IPのプロパティで,代替DNSは空欄

    としてください。

     

    • 回答としてマーク 田中夢 2011年10月25日 5:54
    2011年10月7日 3:35
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    返信できませんでしたが、Windows 2000 の DNS サーバーには「条件付きフォワーダー」の機能はなく、単なるフォワーダのみの機能しかありません。(フォワーダ先となる) Windows Server 2003 の DNS サーバーが外部に対して再帰、あるいはフォワーダしている環境なら、全てのドメインに関して名前解決を行ってくれるので、普通に設定するだけでいいでしょう。

    • 回答としてマーク 田中夢 2011年10月25日 5:54
    2011年10月13日 3:14
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンです。 ドメインコントローラ間で信頼関係を結ぶときに参照する相手ドメインのDNS情報は、「条件付きフォワーダー」で行なってください。TCP/IPのプロパティでは相手ドメインコントローラを設定しないようにしてください。正しく設定すれば「セカンダリゾーン」でも対応できるのですが、ちゃんと設定されているか判断できません。「条件付きフォワーダー」はこのページを参考にしてください。http://www.atmarkit.co.jp/fwin2k/win2ktips/397dnsforw/dnsforw.html
    • 回答としてマーク 田中夢 2011年10月25日 5:54
    2011年10月5日 0:42
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    返信ありがとうございます.

    条件付フォワーダーとするとの事ですが,2000,2008双方のDNSサーバ設定で,フォワーダーの設定を行うという事でしょうか?

    ちなみに,当初の設定の参考としたものは,富士通の作成された下記の資料なのですが・・・

    http://primeserver.fujitsu.com/primergy/technical/construct/pdf/win2008-active-directory03.pdf

    http://primeserver.fujitsu.com/primergy/technical/construct/pdf/win2008-active-directory01.pdf


    • 編集済み csa065 2011年10月5日 2:22
    2011年10月5日 1:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    [新規AD] DNSサーバの設定変更として,新ドメインのゾーン転送を許可させ,既存ADのIPのみゾーン転送を可能にした

    とのことですが、新規AD側で既存ADのたとえばSRVレコードなどが正しく引けている(ゾーン転送が成功している)ことは確認していますか。

    同様に既存AD側でも同様に、新規ADとのゾーン転送はできていて、新規ADの名前解決ができることを確認していますか。

    ・[既存AD] TCP/IPのプロパティで,代替DNSに,新規ADのIPを設定 ・[新規AD] TCP/IPのプロパティで,代替DNSに,既存ADのIPを設定

    だと、単に名前解決を行った場合、プライマリのDNSで解決したのか、代替DNSで解決したのかわかりにくいので、nslookup コマンドなどで、明示的に問い合わせ先のDNSサーバを指定して確認してみることをお勧めします。

    • 回答としてマーク 田中夢 2011年10月25日 5:54
    2011年10月6日 15:11
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    遅くなりました。私が本当にいいたかったことは、たかはし もとのぶさんがおっしゃる内容になります。

    が、まず守っていただきたいのは

    ・[既存AD] TCP/IPのプロパティで,代替DNSに,新規ADのIPを設定
    ・[新規AD] TCP/IPのプロパティで,代替DNSに,既存ADのIPを設定

    うえのような設定は行わないでください。既存のDNS名前解決に問題が起こります。各どめいんにドメインコントローラが1台しかないなら

    ・[既存AD] TCP/IPのプロパティで,代替DNSは空欄
    ・[新規AD] TCP/IPのプロパティで,代替DNSは空欄

    としてください。

     

    • 回答としてマーク 田中夢 2011年10月25日 5:54
    2011年10月7日 3:35
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    返信ありがとうございます.

    情報が足りませんでしたね.

    ちなみに,nslookupでの名前解決に関しては確認しております.

    新旧サーバにて,問合せ先DNSを指定し,お互いのドメイン(旧ADでは新ADを,新ADでは旧AD)の名前解決が正しく行われている事を確認しています.

    信頼関係接続の設定時に,相手サーバの管理者ID,パスワードを入力(今回は,新ADで設定しましたので,旧ADの管理者ID・パスワードを入力)しますが,そこでの認証は正常に行われているようですので,最低限の通信環境や名前解決には問題ないのでは無いかと思っています.

    最終的に表示されるメッセージが,あまりにも抽象的すぎて,原因が特定できないので投稿したしだいなのですが・・・

    2011年10月7日 6:13
    |
  • Question
    サインインして投票
    0
    サインインして投票

    すいません.返信が遅くなりました.

    たかはし もとのぶさんへの返信の通り,名前解決には問題はありませんでした.(双方のADで,明示的にサーバを指定し,名前解決できています)

    また,条件付フォワーダーの設定は,2003移行のサーバでは出来るのですが,2000では単純なフォワーダー設定しか出来ません.
    これは,新(2008)から旧(2000)への設定だけのことなのでしょうか? 

    2011年10月7日 6:18
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    返信できませんでしたが、Windows 2000 の DNS サーバーには「条件付きフォワーダー」の機能はなく、単なるフォワーダのみの機能しかありません。(フォワーダ先となる) Windows Server 2003 の DNS サーバーが外部に対して再帰、あるいはフォワーダしている環境なら、全てのドメインに関して名前解決を行ってくれるので、普通に設定するだけでいいでしょう。

    • 回答としてマーク 田中夢 2011年10月25日 5:54
    2011年10月13日 3:14
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは。
    フォーラム オペレーターの田中夢です。
     
    チャブーン さん、たかはしもとのぶ  さん
    いつも参考になるアドバイスをいただきありがとうございます。
     
    csa065 さん、
    最後に投稿されてから少し経ちましたが、その後チャブーン さんの投稿はご覧になっていただけましたでしょうか?
     
    csa065 さんの現在の状況が気になるところではあるのですが、今回、たかはしもとのぶ さんと チャブーン さんの投稿が、
    同じ現象に遭遇した方にも有効な情報となるのではないかと思われますので、勝手ながら私のほうで一旦 [回答としてマーク
    とさせていただきますね。
     
     
    また何かありましたら、TechNetフォーラムをご活用くださいね。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢
    2011年10月25日 5:54
    |