none
DNS プライマリ サーバーを Active Directory 統合に変換する方法について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    DNSサーバーを先に作ってしまったので、ADに統合したいと思っています。

    https://support.microsoft.com/ja-jp/help/816101/how-to-convert-dns-primary-server-to-active-directory-integrated

    を参考にして行いました。

    現在の DNS サーバー上で、DNS マネージャを起動します。

    と言う部分は行いました。

    次のすぐにレプリケーションを実行する

    と言う部分に進みました。

    [NTDS Settings] を展開します。右側のウィンドウに 1 つ以上のオブジェクトが表示されます。これらのオブジェクトの 1 つが対象のドメイン コントローラへのリンクです。

    と言う部分がありますが、何もオブジェクトが表示されません。(別添画像の通り)

    書籍ではADを構成するときにDNSを設定すれば良かったのですが、先にDNSを設定してしまいました。

    なので、ADの設定ができずPCがドメインに参加できません。書籍では、このイレギュラーな事は書かれていません。

    よろしくお願いいたします。


    2017年11月21日 9:40
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    はじめまして。

    質問文から以下 2 つの問題がある認識ですので、それぞれ回答します。

    <問題>
    1. [NTDS Settings] 選択後、何もオブジェクトが表示されない(画像2つめ)
    2. クライアント端末がドメインに参加できない原因

    1 についてですが、こちらの画面にはドメインコントローラ(DC)が同一ドメイン内に複数台存在する場合に、同期先のDCが表示されます。
    しかし、質問文を見る限りDCは 1 台のみ構築されているように見え、この場合 AD はインストール直後のことから、AD は正常な可能性が高いと思います。
    2 についてですが、私が経験した限り、以下のケースでクライアントがドメイン参加に失敗することがありました。こちらを参考に対処いただくと事象が解消する可能性があるかと思います。

    <ケース>
    a. クライアント端末の優先DNSサーバのIPアドレスとして、DCのIPアドレスが設定されていない。
    b. クライアント端末とDC間で、ネットワーク通信が正常に行われていない(※)
    c. DCの優先DNSサーバのIPアドレスとして、自分自身のIPアドレス(127.0.0.1) が設定されていない。

    ※ DCへの通信にて開放する必要のあるポートは以下参照

    ドメイン環境で使用されるポートについて
    https://blogs.technet.microsoft.com/jpntsblog/2009/03/03/563/

    以上、上記回答が参考になれば幸いです。

    2017年11月21日 18:01
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、ざあますさんから答えが出ているように、「接続オブジェクトがない」はドメインコントローラーが1台しかないので、それで正常です。接続オブジェクトは複製元=2台のドメインコントローラー、があって初めて機能するので、1台の場合は存在しません。

    で、クライアントがドメイン参加できない、件ですが、もしかしたらDNSゾーン自体が適切に構成されていないのかもしれません。[DNSの管理]コンソールを開いて、どんなDNSゾーンが存在するのか確認してください。何もなければ、設定されていません。

    DNSゾーンが何もない場合、[前方参照ゾーン]からDNSゾーンを作成します。Active Directory DNSドメイン名の前章参照ゾーンを「Active Directory統合ゾーン」として作成してください。そのあとNetlogonサービスを再起動すると、DNSゾーンにレコードが作成されると思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年11月23日 7:56
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。

    ><ケース>
    >a. クライアント端末の優先DNSサーバのIPアドレスとして、DCのIPアドレスが設定されていない。
    >b. クライアント端末とDC間で、ネットワーク通信が正常に行われていない(※)
    >c. DCの優先DNSサーバのIPアドレスとして、自分自身のIPアドレス(127.0.0.1) が設定されていない。

    ありがとうございます。

    aは設定されていました。

    bはサーバーのファイアウォールを見たところ許可されていました。

    cも自分自身のIPアドレスが設定されています。

    そこで、再度参加させようとしたら”ネットワークパスが見つかりません ”とエラーになります。

    困りました。WINSサーバーの問題と検索したら出て来ました。この問題でしょうか?

    2017年11月23日 14:38
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。Netlogonサービスを再起動すると、DNSゾーンにレコードが作成されると思います。

    別添の図の様になりました。

    2017年11月23日 14:45
    |
  • Question
    サインインして投票
    1
    サインインして投票

    akira567jp さん

    ざあますです。

    通常のドメインコントローラには前方参照ゾーンに "_msdcs.<ドメイン>" ゾーンが存在しますが、上記画像を見たところ当該DNSゾーンが存在しないために、問題が発生している可能性があるかと思います。前方参照ゾーンの正しい構成については、以下webの画面1が参考になります。

    DNSサーバーはなぜ必要なのか
    http://www.atmarkit.co.jp/ait/articles/1408/07/news015.html

    そのため、不足しているDNSゾーンやレコードを個別に再作成する方法もありますが、それよりは以下WebにあるようにDNS を一旦削除して再インストールするほうが、容易に対応できる可能性が高いと思います。

    前方参照ゾーンにドメイン サブフォルダが不足している
    https://support.microsoft.com/ja-jp/help/310568/domain-subfolders-missing-from-forward-lookup-zone

    以上、上記回答が参考になれば幸いです。

    2017年11月23日 16:29
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    通常のドメインコントローラには前方参照ゾーンに "_msdcs.<ドメイン>" ゾーンが存在しますが、上記画像を見たところ当該DNSゾーンが存在しないために、問題が発生している可能性があるかと思います。

    これですが、たぶん大丈夫かと思います。というのは、_msdcsゾーンが切り出されていない場合、フォレストルートDNSゾーン内に「_msdcs」サブドメインが生成され、そこに収められます。もともとそれで問題はないのですが、_msdcsが切り出されているのは「複製範囲を変える」ためで、フォレストの全ドメインコントローラーが「DNSアイランド問題」などでここにアクセスできない場合問題が起こるので、全ドメインコントローラーに複製することで、問題を回避しているわけです。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年11月24日 1:13
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。もう一度最初からやりました。そうしたら"_msdcs.<ドメイン>"は出来たようです。しかし、クライアントのPCからドメインに参加しようとすると参加できません。

    エラーが出ます。ドメインを完全に入れた場合が最初のエラー、サフィックスを取ると下記の場合です。完全に入れる必要があると思いますので、最初の手順が正しいとは思いますが、何が原因でドメイン参加できないのかが不明です。いろいろ書籍や参考サイトを見て順序通りに行っていますが、うまく行きません。大昔2000Serverで勉強したきりでそれ以降やっていない為、手順が思い出せません。あの時は簡単にできた記憶があります。かなり変わっていて戸惑っています。

    よろしくお願いします。

    2017年12月9日 17:03
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、まずActive Directoryでは必ずDNS名全部を設定します。NetBIOSドメイン名の場合、通信が保証されません。

    そのうえでこの原因ですが、質問者さんの環境では、立て付け上「192.168.1.18」「192.168.1.9」「192.168.1.16」の3つのドメインコントローラーがあるところで、いくつかのドメインコントローラーが通信不可だから、だと思います。

    これは本当に1台目のドメインコントローラーでしょうか?ドメインコントローラーがほかにもあるなら、すくなくともうえのIPアドレスのドメインコントローラーは全台起動してください。

    もちろん、うえのドメインコントローラーがクライアントからみて通信可能であることは必須です。

    NICが複数挿さっている、ということなら、クライアント向けのもの以外、無効にしてみてください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年12月12日 1:42
    |
    モデレータ