none
Windows2000とWindows2008間の信頼関係 RRS feed

  • 質問

  • オカムラと申します。

     

    Windows 2000上のActive DirectoryとWindows 2008上のActive Directoryの信頼関係を結び、信頼関係のプロパティにある「検証」を行ってみましたが、

    Windows 2000→Windows 2008の「検証」で「ドメインxxxのプライマリドメインコントローラから情報を取得できません。理由:RPCサーバーを利用できません。PDCが機能していることを確認してから再実行してください」というエラーが表示されます。

    ※逆のWindows 2008→Windows 2000は問題ないです。」

    サービスの「リモート管理(RPC)」は稼働しており、通信の妨げになるWindows ファイアウォール、ウィルスソフトを切っても状況は変わりません。

    気になる点としては、それぞれのサーバでDNSを立てており、Windows 2008からはWindows 2000にフォワードしているのですが、Windows 2000からWindow s2008にフォワードするわけにはいかないので、そこが問題なのかな?と考えております。

    ドメインの情報をDNSに追加したいのですが、手動でWindows2008ドメインの情報を追加する方法はあるのでしょうか?

    また、他にも問題がありそうな点があればご指摘ください。

     

    2010年10月4日 13:11

回答

  • >そこが問題なのかな?と考えております。

    ほぼその通りだと存じます。

    >ドメインの情報をDNSに追加したいのですが、手動でWindows2008ドメインの情報を追加する方法はあるのでしょうか?

    Windows 2000側に、セカンダリとしてWindows 2008ドメインの前方参照ゾーンを作ってはいかがでしょうか。
    どうしても手動で追加したいということであれば、Windows Server 2008側の%windir%\system32\config\netlogon.dnsの内容をDNSに登録していってください。(あまり現実的とは思えません^^;)

    2010年10月5日 3:50
    モデレータ
  • 一度、%windir%\system32\config\netlogon.dnsのファイルをご覧ください。単にマシン名が解決できるだけではダメで、前述のファイルに書かれているドメイン情報がDNSに登録されていないとダメです。

    >アクティブディレクトリセットアップと同時にDNSを構築した場合、複数のレコードが作成されますが、それが無いことが問題なのかな?とも考えています。

    具体的に何をさしているのかわからないのですが、アンダーバーで始まるフォルダを指しているのであれば、まさに前述のファイルと同等のものです。これらは、DNSがドメインのサービスをどのサーバが行っているのかを返すため必要なレコードです。ドメインコントローラーが起動時に、netlogonサービスが自身の提供しているサービスの一覧を前述のファイルに吐きだすとともにDNSに動的な登録を行います。
    例:_msdcs.hogehoge.local←まさに、マイクロソフト ドメイン コントローラの一覧が記述されているゾーンです。これがないとりゾルバ(DNSのクライアントみたいなもの)はドメインコントローラを見つけることができません。

    >手動で、アクティブディレクトリセットアップと同時にDNSを構築した場合と同様のレコードを作成することはできないのでしょうか

    最初の回答の通り、%windir%\system32\config\netlogon.dnsと同じ10数行を手で追加していってください。基本的に変わらないのですが、ドメイン側で変わったら、DNSの設定も変更する必要があります。

     

    2010年10月7日 12:50
    モデレータ

すべての返信

  • >そこが問題なのかな?と考えております。

    ほぼその通りだと存じます。

    >ドメインの情報をDNSに追加したいのですが、手動でWindows2008ドメインの情報を追加する方法はあるのでしょうか?

    Windows 2000側に、セカンダリとしてWindows 2008ドメインの前方参照ゾーンを作ってはいかがでしょうか。
    どうしても手動で追加したいということであれば、Windows Server 2008側の%windir%\system32\config\netlogon.dnsの内容をDNSに登録していってください。(あまり現実的とは思えません^^;)

    2010年10月5日 3:50
    モデレータ
  • オカムラです。

    返事が遅くなりすみません。

    Chukiさんありがとうございます。

    書き忘れていましたが、hostsで名前解決はできるようにしています。

    ただ、ドメインコントローラは2台あるので、片方のドメインコントローラしか名前解決できない状態はどうなのかな?

    というのと、アクティブディレクトリセットアップと同時にDNSを構築した場合、複数のレコードが作成されますが、

    それが無いことが問題なのかな?とも考えています。

    手動で、アクティブディレクトリセットアップと同時にDNSを構築した場合と同様のレコードを作成することはできないのでしょうか?

    2010年10月7日 11:14
  • 一度、%windir%\system32\config\netlogon.dnsのファイルをご覧ください。単にマシン名が解決できるだけではダメで、前述のファイルに書かれているドメイン情報がDNSに登録されていないとダメです。

    >アクティブディレクトリセットアップと同時にDNSを構築した場合、複数のレコードが作成されますが、それが無いことが問題なのかな?とも考えています。

    具体的に何をさしているのかわからないのですが、アンダーバーで始まるフォルダを指しているのであれば、まさに前述のファイルと同等のものです。これらは、DNSがドメインのサービスをどのサーバが行っているのかを返すため必要なレコードです。ドメインコントローラーが起動時に、netlogonサービスが自身の提供しているサービスの一覧を前述のファイルに吐きだすとともにDNSに動的な登録を行います。
    例:_msdcs.hogehoge.local←まさに、マイクロソフト ドメイン コントローラの一覧が記述されているゾーンです。これがないとりゾルバ(DNSのクライアントみたいなもの)はドメインコントローラを見つけることができません。

    >手動で、アクティブディレクトリセットアップと同時にDNSを構築した場合と同様のレコードを作成することはできないのでしょうか

    最初の回答の通り、%windir%\system32\config\netlogon.dnsと同じ10数行を手で追加していってください。基本的に変わらないのですが、ドメイン側で変わったら、DNSの設定も変更する必要があります。

     

    2010年10月7日 12:50
    モデレータ
  • こんにちは、フォーラムオペレーターの三沢健二です。

    Chuki さん、アドバイスありがとうございます。

    案内いただいた内容が参考になられたのではないかと思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。
    よろしければその後の状況などをお知らせいただければと思います。

    - 参考情報
    ドメイン間で信頼関係を確立しようとするとエラー メッセージ "RPC サーバーを利用できません。" が表示される
    http://support.microsoft.com/kb/329705/ja


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年10月15日 9:38
    モデレータ