none
AD再構築について RRS feed

  • 質問

  • お世話になっております。

    サーバ機OS:Windows Server 2008 R2

    クライアント側:windowsxp pro,windows7pro


    漠然とした内容で大変申し訳ありませんが、もしくは、参考になる資料を紹介頂けると助かります。

    1.元々ワークグループで構成していたネットワークをWindows Server 2008 R2を利用しドメイン(AD)環境・DNS等に移行してバックアップが無い状態で運用していました。

    2.運用中、サーバー主機能(ADのアクセス権限、ユーザー情報及びDNSなどを管理していた)上記サーバがハード的に破損しネットワークがダウンした。(サーバー上のユーザー情報等は情報は取れていない)

    3.元の状態に復旧のため別の機材を利用して、(1.)のユーザー情報等を入力し復旧させたが、クライアントからのログインの際にクライアント機の情報が無いためクライアントがドメインにログオンできず、現在ログオンする際にlanケーブルを抜いてログオンしている状態です。

    状況としては、DNSがまともに機能せず、ローカルネット上の各種ファイルサーバ(クライアント)にアクセス出来るクライアントと出来るがネーム解決が出来ないクライアントが出来てしまっているため、これを解消したいと思っていますが、方法に心当たりが無くご教授板だけると助かります。

    現在、考えている対策方法は、下記の3種類なのです。出来れば新たに登録し直す(クライアント側を変更する)方法は行わずに環境を復旧できればと思っております。。

    ・復旧させたサーバーにユーザー情報とクライアント情報を手動で登録する方法がないか

    ・もしくは、新たにADに登録するまでの間、いったんユーザー認証を切りたいと思っているのですがこの場合、何か問題は有りませんか。

    ・クライアントを新たに登録し直す。

    2011年1月4日 4:28

回答

  • こんにちは。

    『ドメインコントローラー兼DNS一台で運用していたAD環境にてバックアップを取得していない状況で、そのドメインコントローラー兼DNSサーバーが故障してしまった。』

    ってことでしょうか?

    以下引用-----------------------------------------------------------------------------------------------

    3.元の状態に復旧のため別の機材を利用して、(1.)のユーザー情報等を入力し復旧させたが、

    -----------------------------------------------------------------------------------------以上引用

    上記の作業は、別のサーバーにて新たにADDSをインストールし、同一のログオンIDとパスワードにてADにアカウントを作成した。という事ですか?

    上記のとおりならば、以前のAD環境とは全く関係のない別のADの別アカウント扱いになってしまいますので、クライアントPCでADへの参加作業が発生しますね。

    勿論ユーザープロファイルも新たに生成されちゃいますよね。

    バックアップがなければ仕方のない事です。

    以下引用----------------------------------------------------------------------------------------------

    状況としては、DNSがまともに機能せず、ローカルネット上の各種ファイルサーバ(クライアント)にアクセス出来るクライアントと出来るがネーム解決が出来ないクライアントが出来てしまっているため、これを解消したいと思っていますが、方法に心当たりが無くご教授板だけると助かります。

    --------------------------------------------------------------------------------------------以上引用

    現在の状況が良く分からないのですが、クライアントのDNSはどのサーバーを参照してますか?故障したサーバーのままになっているのですか?新たに用意した代替のサーバーのアドレスへ変更しましたか?

    DNS名前解決が出来ないとは具体的に何を指してますか?Internetの名前解決ですか?それともADに登録されているリソースに対する名前解決ですか?

    もう少し具体的に記載していただくと、ご希望の回答がつきやすいかもしれませんよ(*^-^)

    2011年1月5日 3:46

すべての返信

  • こんにちは。

    『ドメインコントローラー兼DNS一台で運用していたAD環境にてバックアップを取得していない状況で、そのドメインコントローラー兼DNSサーバーが故障してしまった。』

    ってことでしょうか?

    以下引用-----------------------------------------------------------------------------------------------

    3.元の状態に復旧のため別の機材を利用して、(1.)のユーザー情報等を入力し復旧させたが、

    -----------------------------------------------------------------------------------------以上引用

    上記の作業は、別のサーバーにて新たにADDSをインストールし、同一のログオンIDとパスワードにてADにアカウントを作成した。という事ですか?

    上記のとおりならば、以前のAD環境とは全く関係のない別のADの別アカウント扱いになってしまいますので、クライアントPCでADへの参加作業が発生しますね。

    勿論ユーザープロファイルも新たに生成されちゃいますよね。

    バックアップがなければ仕方のない事です。

    以下引用----------------------------------------------------------------------------------------------

    状況としては、DNSがまともに機能せず、ローカルネット上の各種ファイルサーバ(クライアント)にアクセス出来るクライアントと出来るがネーム解決が出来ないクライアントが出来てしまっているため、これを解消したいと思っていますが、方法に心当たりが無くご教授板だけると助かります。

    --------------------------------------------------------------------------------------------以上引用

    現在の状況が良く分からないのですが、クライアントのDNSはどのサーバーを参照してますか?故障したサーバーのままになっているのですか?新たに用意した代替のサーバーのアドレスへ変更しましたか?

    DNS名前解決が出来ないとは具体的に何を指してますか?Internetの名前解決ですか?それともADに登録されているリソースに対する名前解決ですか?

    もう少し具体的に記載していただくと、ご希望の回答がつきやすいかもしれませんよ(*^-^)

    2011年1月5日 3:46
  • こんにちは、フォーラムオペレーターの三沢健二です。

    powdersnow さん、アドバイスありがとうございます。

    サイバーマン80 さん、その後いかがでしょうか?

    案内いただいた内容が参考になられたのではないかと思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。

    powdersnow さんもコメントされていましたが、ドメインコントローラーが一台でバックアップも無いのであれば、同じ環境を復元する事は無理だと思いますので、クライアントも含めた環境の再構築が必要になると思われます。
    (DC は最低でも二台で運用される事をお勧めします)


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年1月12日 4:47
    モデレータ
  • 回答が遅くなり申し訳ありません。
    --------------------------------------------------------------------------------------------
    現在の状況が良く分からないのですが、クライアントのDNSはどのサーバーを参照してますか?故障したサーバーのままになっているのですか?新たに用意した代替のサーバーのアドレスへ変更しましたか?
    --------------------------------------------------------------------------------------------

    元々のサーバー機は物理的に壊れたため撤去。復旧のため、新に機材を2台用意し、優先機側に壊れて撤去した機材の設定を設定(IP等の設定)してあります。
    優先機に元の機能の内、AD関係のユーザー設定・管理・認証。DHCP・DNS情報の登録を行い復旧を行い、クライアントは此方は、復旧した優先機をDNSで見ている形になります。
    優先機を作成後、元々別でファイルサーバとして稼働していた、サーバーをバックアップ用に機能を追加してバックアップ機と兼用とさせています。

    ●起こっている症状
    ・クライアントが起動し、元々認証していたサーバーが無くなったため認証しようとして出来ずに止まる。
    ・ADの認証が出来ないため、PCから線を抜き、ログオン後、線を接続しドメインに参加後、バックアップ機にあるファイルサーバエリアにアクセスするためにネットワークにあるホストを見ようとすると、表示されない。
     表示されている場合(または直接HOST名またはIPを入力して)認証ダイアログが表示され(本来アクセス制限をしていない)、ゲストで入ろうしても入れない。
    ・復旧した優先機に故障機に登録していたActiveDirectory のユーザー設定データを登録しましたが、Computer の項目にクライアントのPCに関する情報が現状自動(手動で登録できない)で登録されない。
    ・上記の状態を解消するため、試しに1台をドメインから抜け以前使用していたワークグループに変更しドメインのユーザーデータを消し、再起動後、再度ドメインに参加しようとしたが、下記エラーが発生し
     ドメイン参加出来ない状態になっている。(xpで確認・7では未確認)
    『ドメイン HOST1.LOCAL のドメイン コントローラの場所を決めるのに使用される service location (SRV) リソース レコードの DNS のクエリがされるときに次のエラーが発生しました:
     エラー: "DNS 名がありません。" (エラー コード 0x0000232B RCODE_NAME_ERROR)』
    --
    環境
    --
    ◆ネットワーク(設定)
      ネットワーク:192.168.1.0 /24
      ゲートウェイ:192.1681.1 /24

    ◆DHCPの設定
      割り当て設定:192.1681.100~200 /24
      DNSにプライマリに優先機IP、セカンダリにバックアップ機IP,プロバイタからのDNSプライマリを記入
      ゲートウェイ:192.168.1.1

    ◆ドメイン(仮):HOST1.LOCAL
    ◆故障機の設定(仮):
     IP:192.168.1.10 /24
     サーバーhost機名(仮):Server-A
     機材の仕様:3台のPCとストレージを仮想環境で連結

     機能:AD関係の管理・認証、LDAP、DHCP・DNS、WINS、ファイルサーバ

    ◆復旧環境
    ○ 優先機側
      サーバーhost機名(仮):Server-B
      OS:WINDOWS2008 server R2 standard
      IP設定(仮):192.168.1.10 /24
      機能:DC、AD関係の管理・認証。DHCP・DNS、
    ○ バックアップ機
      サーバーhost機名(仮):Server-C
      OS:Windows Server 2003 SP 2
      IP設定(仮):192.168.1.10 /24
      機能:DC、AD関係の管理・認証。DNSの優先機のバックアップ、WINS。ファイルサーバ

    ○クライアントはWINDOWS7 PROとWINDOWS XP PRO

    2011年1月19日 6:33
  • 発生している問題の内 ・ADの認証が出来ないため、PCから線を抜き、ログオン後、線を接続しドメインに参加後、バックアップ機にあるファイルサーバエリアにアクセスするためにネットワークにあるホストを見ようとすると、表示されない。  表示されている場合(または直接HOST名またはIPを入力して)認証ダイアログが表示され(本来アクセス制限をしていない)、ゲストで入ろうしても入れない。 これについては、ADの設定にバックアップサーバの設定とgusetの設定を登録したところ、通るようになったと思います。ので一旦自己解決できたと思います。
    2011年1月19日 7:37
  • 返答が有ったのに気付いてませんでしたΣ(´∀`;)

    ご自身で解決されたと判断されたのであれば、こちらから特に申し上げる必要もないと思いますが、差し出がましいとは思いつつも一言・・・。

    最終的にはguestアカウントに対してファイルサーバーへのアクセスを許可された様ですが、こうなってくるとAcriveDirectoryを利用している意義の半分以上が失われてしまっていると思います。

    やはり、ADにてユーザーアカウントを一元管理して、そのアカウントに対してNW再構築上の様々なリソースへのアクセスコントロールを実施することは、ITインフラ管理の基本でありセキュリティの基礎の基礎です。

    とりあえずユーザーにファイルサーバーにアクセスさせるために仕方なく今回の決断に至ったかと思いますが、本来であれば排除されるべきリスクを非常に大きく残してしまっていることは理解した上で運用しましょう。

    もちろんご上司の方や経営層へも今回のトラブル解決のために実施した処置だけだと、かなりのリスクが残ることをしっかりと報告することをおすすめします。

    その上で、今回新規で構築したADへ、クライアントやサーバーをきちんと参加させて、少なくともトラブル以前の状態へ戻す事をおすすめします。

    以上です。

    参考にしていただければ幸いです。

    2011年1月21日 7:22