none
ドメインコントローラを追加後、追加したドメインコントローラ自身がログオンできない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。よろしくお願いいたします。

    server2008から2012R2へドメインを移行しようとしています。

    コンピュータ名とIPアドレスを新しいDCで使用したいので、1段階目として、別の2008をDCとして追加しました。

    FSMOを5つすべて転送を成功し、旧2008DCを降格しようとしたところ、ドメインコントローラと通信できないとのエラーがでて降格できませんでした。

    そこで、FRSのジャーナルラップエラーがでていてSYSVOLも空だったので復旧したところ上記エラーがなくなり降格しました。

    最後にDNS委託の削除でエラーが1つ出たのですが、ActiveDirectoryからいなくなったので、降格成功と判断しました。

    2段階目として、2012R2を降格したサーバー名とIPアドレスにしてDCに追加しました。すべてエラーもなくインストールできたのですが、最後に再起動すると、「サーバーのセキュリティデータベースにこのワークステーションの信頼関係に対するコンピュータアカウントがありません」

    でログオンできません。DCは成功しているのでローカルでもログインできないのでまったくなにもできません。

    どうしたらログインできるでしょうか?よろしくお願いいたします。

    • 移動 佐伯玲 2016年9月16日 6:56 Exchange Server 以前のバージョン から Active Directory へ
    2016年9月15日 6:08
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    あと1つは、降格後、コンピュータ名を変更した、元ドメインサーバーで、CN=XXXXXXO,CN=Comptuters,DC=xxxx,DC=JP・・・がでました。

    おそらくそのオブジェクト(元ドメインサーバー)に以前の名前のSPNが書かれているからだと思います。

    直す方法ですが、以下のようになります。

    1. [Active Directoryユーザーとコンピュータ]を開き、ドメインオブジェクト(ドメイン名のアイコン)を右クリック-[表示]-[拡張機能]をクリック
    2. [Computers]にある[XXXXXXO]アイコンを右クリックし、プロパティ-[属性エディター]タブを表示する
    3. 属性欄の[servicePrincipalName]をクリックし[編集]をクリックする
    4. 属性値のうち"xxxx/<重複したコンピュータ名>"および"xxxx/<重複したコンピュータ名.ドメイン名>"だけをすべて削除する(それ以外は削除しないでください)

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年10月4日 1:05
    • 回答としてマーク 佐伯玲 2016年10月11日 1:09
    2016年10月3日 9:39
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、追加ドメインコントローラ(Windows Server 2012 R2)を昇格時に、ドメインコントローラのアカウント情報が両方のドメインコントローラに行き渡っていない、つまり複製が完了していないためという可能性が高いです。

    ドメインコントローラ昇格時にはこのようなことが時々あります。直す方法としては、以下がよいのではないでしょうか?

    1. Windows Server 2012 R2をディレクトリ復元モードで起動させ、AD DSサービスをいったんアンインストールする(不可能ならOS再インストールの方が早いでしょう)
    2. Windows Server 2008のActive Directory上で、2012 R2ドメインコントローラに関する情報を手動で削除する
      https://support.microsoft.com/ja-jp/kb/216498
    3. Windows Server 2012 R2を再度ドメインコントローラとして追加する。以下の事前設定が必要。
      ・参照先DNS(優先)を2008ドメインコントローラに向ける
    4. Windows Server 2012 R2を再起動しログオン後、すぐに以下を実施する
      [Active Directoryサイトとサービス]で2008から自分自身にレプリケートを行う(できない場合は2008側のサイトとサービスから実施する)

    どうしても現状の状況(2012)を壊したくない、という場合はKDCサービスを無効にしてログオンし、再度有効にして複製を行う方法もあり得ますが、Active Directoryの知識が十分にないと難しいのでお奨めはできません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年9月20日 2:22
    2016年9月16日 3:18
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、h.tominaga さん
    フォーラムオペレータの佐伯 玲 です。

    こちらは「Exchange Server 以前のバージョン」フォーラムですのでご質問の内容から「Active Directory」フォーラムへと私のほうで移動させていただきますね。
    チャブーンさんからのアドバイスもご確認いただけましたらご返信くださいませ。

    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2016年9月16日 6:55
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご返信をいただきありがとうございます。

    AD DSサービスをいったんアンインストールし、2008上の情報を手動で削除をやってみます。

    あと1点教えてもらいたいのですが、2008(現在のDC)上のログに「KDCは、Kerberos認証要求の処理中に重複する名前を検出しました。重複する名前はcifs/旧サーバー.ドメイン名(種類は、DS_SERVICE_PRINCIPAL_NAME)です。この結果、認証エラーまたはNTLMへのダウングレードが発生する可能性があります。この問題を防ぐには、Active Directoryで旧サーバー名.ドメイン名の重複するエントリを削除してください。」

    とあるのですが、これをActive Directoryより削除するとログインできたりするのでしょうか?旧サーバーの情報が残っていて重複といわれているのでしょうか?

    どうしても削除方法がわかりません。Active DirectoryにはComptersの一覧には新旧どちらの名前も出ていません。Domain Controllersには現在のDCと新サーバーDCの情報しかありません。

    よろしくお願い申し上げます。

    2016年9月16日 9:17
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。

    ありがとうございます。お手数をお掛けして申し訳ありません。

    2016年9月16日 9:19
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    DS_SERVICE_PRINCIPAL_NAMEの重複の件ですが、以下のスクリプトで探してみるといいかもしれません。

    Import-Module ActiveDirectory
Get-ADComputer -Filter * -Properties servicePrincipalName | Where {$_.servicePrincipalName -match "(重複しているコンピュータ名)"}

    これは上記のサービスプリンシパル名の一覧のうち、対象コンピュータ名を含む全コンピュータオブジェクトを検出するものです。ここで想定された自分自身のコンピュータ名以外のオブジェクトが検出された場合、そのオブジェクトのservicePrincipalNameから、該当するSPNだけを削除してください(オブジェクトが不要な場合はオブジェクトごと削除してください)

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年9月20日 2:22
    2016年9月16日 10:21
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。

    1.2012R2を修復モートで起動させ、強制降格を行いました。

    2.2008Active Directory上で2012R2ドメインコントローラに関する情報を手動で削除しました(ActiveDirectoryユーザーとコンピュータとサイトとサービスより)。

    3.参照先DNSを2008ドメインコントローラーに向け、ドメインコントローラとして追加(昇格)をおこないました。

    しかし、追加(昇格)の最後に「レプリケーションサービスが停止できませんでした」というエラーが出た後、自動再起動しました。

    起動してみると、ドメインコントローラにはなれずワークグループのままでした。

    何回やっても同じエラーでした。どうしたらよろしいいでしょうか?

    ドメインコントローラー側には、「コンピュータからのセッション設定を認証できませんでした。アクセスが拒否されました。」とか「KDCは、Kerberos認証要求の処理中に重複する名前を検出しました。・・・」のエラーがイベントビューアのシステムにでています。

    よろしくお願いいたします。

    2016年9月29日 1:18
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    問題が解決しない原因ですが、

    「KDCは、Kerberos認証要求の処理中に重複する名前を検出しました。重複する名前はcifs/旧サーバー.ドメイン名(種類は、DS_SERVICE_PRINCIPAL_NAME)です。この結果、認証エラーまたはNTLMへのダウングレードが発生する可能性があります。この問題を防ぐには、Active Directoryで旧サーバー名.ドメイン名の重複するエントリを削除してください。」

    の対応をしていないからだと思います。

    前に投稿したとおり、以下のPowerShellスクリプトで「SPNが重複しているオブジェクト」が何かを特定し、対応を行ってください。

    Import-Module ActiveDirectory
Get-ADComputer -Filter * -Properties servicePrincipalName | Where {$_.servicePrincipalName -match "(重複しているコンピュータ名)"}

    うえのスクリプトが実行できない(Windows Server 2008 (R2でない))場合は、別のコマンドを実行します。(コマンドの "<" および ">" 文字は不要ですが、"*" 文字は必要です)

    dsquery * domainroot -filter "(servicePrincipalName=*<重複したコンピュータ名>*)" -attr distinguishedName,servicePrincipalName

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。





    2016年9月29日 2:28
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。PowerShellが実行できませんでしたので、

    dsquery * domainroot -filter "(servicePrincipalName=*xxxxxx*)" -attr distinguishedName,servicePrincipalName を実行しました。

       distinguishedName,servicePrincipalName

    とかえってきます。存在したということでしょうか?

    すいません。このあと、具体的にどのように削除したらよろしいでしょうか?

    2016年9月29日 5:27
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    distinguishedName,servicePrincipalName

    とかえってきます。存在したということでしょうか?

    最低1つは存在します。が、内容を確認する必要があります。distinguishedNameのしたに、CN=xxxxxx,OU=Domain Controllers,DC=example,DC=com (example.comドメインなら)がありますか?CN=xxxxxxが追加したコンピュータ名なら、これは追加した自分自身なので当然の結果です。

    それ以外に、同じ形式(CN=xxxxxxで始まる)別のコンピュータ名の文字列はありますか?あればそれが重複したSPNを持つオブジェクトになりますので、まずはそれの有無を教えてください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年9月30日 12:54
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    distinguishedName,servicePrincipalName

    としかかえってきません。あとは空欄です。

    まったく関係ないサーバー名では上の文字列もかえってきません。まったくの空欄です。

    よろしくお願い申し上げます。

    2016年10月2日 23:46
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    あぁなるほど。コマンドにミスがあったようです。以下を試してみてください。-attrのセパレータはカンマではなく、半角スペースになります。

    dsquery * domainroot -filter "(servicePrincipalName=*<重複したコンピュータ名>*)" -attr distinguishedName servicePrincipalName

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年10月3日 1:50
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    気がつきませんですいませんでした。

    結果は、CN=XXXXXX,OU=Domain Controllers,DC=xxxxx.jp・・・・(たくさん文字列が続きます)が1つありました。

    あと1つは、降格後、コンピュータ名を変更した、元ドメインサーバーで、CN=XXXXXXO,CN=Comptuters,DC=xxxx,DC=JP・・・がでました。

    どうしたらよろしいでしょうか?よろしくお願いいたします。

    2016年10月3日 8:50
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    あと1つは、降格後、コンピュータ名を変更した、元ドメインサーバーで、CN=XXXXXXO,CN=Comptuters,DC=xxxx,DC=JP・・・がでました。

    おそらくそのオブジェクト(元ドメインサーバー)に以前の名前のSPNが書かれているからだと思います。

    直す方法ですが、以下のようになります。

    1. [Active Directoryユーザーとコンピュータ]を開き、ドメインオブジェクト(ドメイン名のアイコン)を右クリック-[表示]-[拡張機能]をクリック
    2. [Computers]にある[XXXXXXO]アイコンを右クリックし、プロパティ-[属性エディター]タブを表示する
    3. 属性欄の[servicePrincipalName]をクリックし[編集]をクリックする
    4. 属性値のうち"xxxx/<重複したコンピュータ名>"および"xxxx/<重複したコンピュータ名.ドメイン名>"だけをすべて削除する(それ以外は削除しないでください)

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年10月4日 1:05
    • 回答としてマーク 佐伯玲 2016年10月11日 1:09
    2016年10月3日 9:39
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。無事ドメインコントローラーに追加できました。

    このまま、ドメイン移行を続行しようと思います。本当にたすかりました。

    2016年10月7日 6:12
    |