none
Active Directory ドメイン サービスのレプリケーションにエラーが出るようになってしまった。

    質問

  • サーバーAにメインのActive Directory  ドメインとDNSサーバー、サーバーBにサブのActive Directory  ドメインとファイルサーバーとDNSサーバーがある状態です。別々のサーバーです。セットアップのあと数日は特に問題も無かったのです。ここ数日にサーバーBの方にログにエラーの情報が出るようになってしまいました。解決法がわからなくて、投稿させてもらいました。エラーの内容は

    ・ファイルサーバー ID 1202 
    DFS レプリケーション サービスは、ドメイン コントローラ  に接続できず、 構成情報へのアクセスに失敗しました。レプリケーションは停止します。 この処理は、60 分後に次のポーリング サイクルで再試行されます。 このイベントの原因として、TCP/IP 接続、ファイアウォール、Active Directory  ドメイン サービス、DNS の問題が考えられます。
     
    追加情報: 
    エラー: 160 (間違った引数があります。)

    ・ファイルサーバー ID 4004 
    DFS レプリケーション サービスは、ローカル パス C:\Windows\SYSVOL\domain のレプリケート フォルダに対するレプリケーションを停止しました。
     
    追加情報:
    エラー: 160 (間違った引数があります。)
    エラーの追加コンテキスト:  

    ・DNSサーバー 4015
    DNS サーバーは Active Directory からの致命的なエラーを発見しました。Active Directory が正しく機能していることを確認してください。拡張エラーのデバッグ情報は "" です。これは空の場合もあります。イベント データにはエラーが含まれています。

    ・DNSサーバー 4004
    DNS サーバーは、ゾーン . のディレクトリ サービスの列挙を完了することができませんでした。DNS サーバーは Active Directory から取得した情報をこのゾーン用に使うように構成されており、その情報なしではゾーンを読み込むことはできません。Active Directory が正しく機能していることを確認して、ゾーンの列挙を繰り返してください。拡張エラーのデバッグ情報は "" です。これは空の場合もあります。イベント データにはエラーが含まれています。

    ・ファイルサーバー 1204
    DFS レプリケーション サービスは、ドメイン コントローラ  への接続に失敗したため、 構成情報にアクセスできませんでした。レプリケーションは、以前にダウンロードされた 構成を使用して続行されます。サービスは、60 分後に次のポーリング サイクルで再試行 されます。このイベントの原因として、TCP/IP 接続、ファイアウォール、 Active Directory ドメイン サービス、DNS の問題が考えられます。
     
    追加情報: 
    エラー: 160 (間違った引数があります。)

    ・DNSサーバー 404
    DNS サーバーは、伝送制御プロトコル (TCP) ソケットをアドレス 0.0.0.0 にバインドできませんでした。イベント データはエラー コードです。IP アドレス 0.0.0.0 は、コンピュータ上で構成されているすべての IP アドレスを利用できる構成を意味します。
    DNS サーバーまたはコンピュータを再起動してください。

    ・DNSサーバー 408
    DNS サーバーはアドレス 0.0.0.0 のソケットを開けませんでした。
    このアドレスがサーバー コンピュータ上で有効な IP アドレスかどうか確かめてください。有効でなかった場合、DNS マネージャの [サーバー] プロパティの [インターフェイス] ダイアログを使って IP インターフェイスの一覧から削除し、DNS サーバーを停止、再起動してください (このアドレスがこのコンピュータの唯一の IP インターフェイスであり、さらにこのエラーにより起動しない場合は、レジストリ中の Services セクションにある DNS\Parmeters\ListenAddress の値を削除してください)。
     
    この IP アドレスがこのコンピュータに対して有効である場合、起動している他のアプリケーション (たとえば別の DNS サーバー) が DNS ポートを使おうとしていないかどうか確認してください。

    ・ファイルサーバー 4004
    DFS レプリケーション サービスは、ローカル パス C:\Windows\SYSVOL\domain のレプリケート フォルダに対するレプリケーションを停止しました。
     
    追加情報:
    エラー: 160 (間違った引数があります。)

    ドメインのレプリケーションがうまくいかなくなってきているようなのですが、、、解る方がいたらよろしく願いします。

    2009年4月27日 4:13

回答

  • なにはさておき、双方のサーバーのC:\Windows\SYSVOL配下をバックアップしておくこと(同一サーバーの別フォルダで構いません)をお勧めします。

    まず、両方のDCで、コマンドプロンプトを起動し、net shareコマンドを実行してみてください。
    通常、Sysvol共有やNetlogon共有が表示されるはずです。

    Active Directoryサイトとサービスから複製が可能か、もしくはRepadmin /replicate コマンドで複製が可能かを
    確認されてはいかがでしょうか。
    正常時のメッセージは以下のような感じです。
    -----
    DC2 から DC3 への同期を完了しました。
    -----

    Active Directory構築時に、機能モードはWindows Server 2008にされていますか?
    Windows Server 2008にされた場合は、Sysvol複製がDFS-R(DFSR)になります。
    そうでない場合は、FRS(ファイル複製サービス)になります。

    以下は、DFSRの場合に、確認いただきたいポイントです。

    Windows Server 2008のコマンドプロンプトにて、
    dfsrmig /getmigrationstate
    を実行して、以下のような感じのメッセージが出ていないか確認されてはいかがでしょうか?
    -----

    次のドメイン コントローラは、グローバル状態 ('削除済み') と同期していません:

    ドメイン コントローラ (ローカル移行状態) - DC の種類
    ===================================================

    DC02 ('開始') - Primary DC
    DC03 ('初期同期の待機中') - Writable DC

    移行状態が、すべてのドメイン コントローラ上で整合性のとれた状態にまだなって
    いません。
    AD の待ち時間が原因で状態の情報が最新になっていない可能性があります。
    -----

    なお、参考までに
    dfsrmig /getmigrationstate
    を実行した際の、正常なメッセージも以下に添付しておきますので、併せてご確認ください。
    -----

    すべてのドメイン コントローラがグローバル状態 ('削除済み') に移行しました。
    移行状態が、すべてのドメイン コントローラ上で整合性のとれた状態になりました。
    成功しました。
    -----

    2009年4月27日 6:21
  • ああ、ごめんなさい、ちゃんと書きますね。
    実際にやっていただいたのは、逆引き(IPアドレスからホスト名を引く)といわれるほうでして、試していただきたかったのは正引き(ホスト名からIPアドレスを引く)のほうです。
    通常は、正引きをつかってIPアドレスを引き(求め)、そのIPアドレスに基づいて複製を行います。

    サーバーAでは、サーバーBのIPアドレスが引けるか確認したいので、以下のコマンドを実行します。
    nslookup pc名(サブ).ドメイン名.local

    逆にサーバーBでは、サーバーAのIPアドレスが引ける確認したいので、以下のコマンドを実行します。
    nslookup pc名(メイン).ドメイン名.local

    それぞれのサーバーで相手のIPアドレスが表示されれば、このトラブルはDNSに起因しないということになります。

    ちなみに、サーバーBでのDNSサーバーの指定は、自分自身だけでしょうか。もしそうなら、ためしにサーバーBでのDNSサーバーの指定として、セカンダリにサーバーAを追加設定してみてはどうかと思います。
    2009年4月28日 0:02
  • DNSサーバーのイベントIDから、以下の英語サイトにたどり着きましたが。。。
    http://social.technet.microsoft.com/Forums/ja-JP/winserverDS/thread/205f05a5-c5e2-4e81-9685-1ab52e397f78
    http://blogs.technet.com/sbs/archive/2009/02/12/you-may-lose-network-connectivity-on-sbs-2008-when-using-a-driver-which-utilizes-tdi.aspx
    http://simultaneouspancakes.com/Lessons/2009/02/11/hotfix-for-server-2008-issue-available/

    特に2番目と3番目のURLにある内容と似ているようにも思いますので、参考までにお知らせしておきます。
    2009年4月28日 1:28
  • 最近、自分が遭遇したのと似たようなトラブルですね。。。

    今一度確認させていただきたいのですが、このドメインは、単一のActive Directoryドメインですよね?
    文中で、メイン、サブと呼称されているのは、ドメインコントローラ(DC)の分担で呼ばれているのであって、
    フォレストに主たるActive Directoryドメインがあって、サブのActive Directoryドメインがあるという
    ことではないですよね。

    DFSRのイベントが気になるので、
    dfsrmig /getmigrationstate
    をコマンドプロンプトから実行してみてください。
    正常なメッセージ、問題があるメッセージ共々、本スレッドの以前の投稿にて確認いただけます。

    以前は、FRSのイベントも発見されておられたと思いますので、
    sysvol共有、NetLogon共有も含めたActive Directoryの複製に問題がなければよいのですが。
    2009年5月11日 0:21
  • とりいそぎ、dfsrmig /getmigrationstate
    は、サーバーAで実行していただけますか。
    2009年5月12日 2:09
  • 今一度、「サーバーマネージャーのDNSの役割にエラーの4015,4004,4000が出ていました。」を確認してみましたが、やはり、DC間の複製がうまくいっていないと考えざるをえません。

    DNSの情報も、統合ゾーンとして、Active Directoryに統合されていますので、DC間の複製がうまくいっていなければ、サーバーBのDNSサーバーも正しく動作しません。

    dfsrmig /getmigrationstateもサーバーAで確認いただきたいのですが、
    以下の作業もお願いします(ADSIエディタを使う作業だったので、難解だと思ってあえて避けていましたが)。

    DFS-Rでの複製に必要なオブジェクトの有無を確認いただきたく、
    http://technet.microsoft.com/ja-jp/library/cc816862.aspx
    の”To determine the msDFSR-RootPath and the msDFSR-StagingPath values in AD DS”のステップを5番まで、サーバーAでADSIエディタを使いやってみてください。DFSR-LocalSettingsオブジェクト配下があれば問題なしです。

    あと、サーバーBの代わりになるようなDCを追加することも考慮してみてください。
    2009年5月12日 2:39
  • ログファイルは作れないものの、DFSR 移行としては、問題ないですよ。
    となると、ADSIエディタによる確認も不要です!

    いったん整理しますと、
    各DCで、SYSVOL共有、NetLogon共有は問題なく共有されている
    サーバーAのDNSサーバーは正常に稼働しているが、サーバーBは問題あり

    ひとつ大事なことを書き忘れていました。
    サーバーBで、dcdiagを実行してみてください。
    あと、サーバーBの\windows\debug\dcpromo.logを開いて、サーバーBをDCにしたときに何か問題がなかったかを確認してください。
    2009年5月12日 3:13
  • サーバーBは、DCとして機能していませんねorz
    最初にdcdiagを実行してもらうべきでした、忘れていてすみません。

    となると、ユーザが使用していない時間帯のどこかで時間を作っていただいて、
    (もちろん、バックアップも取っていただいて)
    DCの降格と昇格を試していただくか、
    別のDCを用意されたほうがよいと思います。

    ここまで、いろいろ調べていただいたのに、通り一辺倒な回答ですみません。

    追伸
     サーバーAでも念のため、dcdiagを実行しておいてください。おそらく何も問題はないだろうと思いますが。
    2009年5月12日 8:08
  • saito-さん、こんにちは。

    通りすがりですが、気になったので投稿いたします。

    この環境では、Windows updateはキチンとできていますか?

    再起動したらしばらくOKとのことから、どこかからウィルス攻撃を受けてネットワークがおかしくなる
    現象に良く似ています。(この解決方法は、まずはwindows updateです。)

    攻撃受けているだけなので、ウィルスチェックソフトでは検知できませんよ。


    2009年5月22日 4:59
  • ありがとうございます。kevin200様

    Windows updateはしてあります。

    サーバーバックアップの時間とレプリケーションの時間が重なっていたので、ずらして再起動をしたら、エラーは出なくなりました。今のところ。。。。
    さっしー様、kevin200様いろいろとありがとうございました。
    • 回答としてマーク saito- 2009年6月1日 0:46
    2009年6月1日 0:46

すべての返信

  • なにはさておき、双方のサーバーのC:\Windows\SYSVOL配下をバックアップしておくこと(同一サーバーの別フォルダで構いません)をお勧めします。

    まず、両方のDCで、コマンドプロンプトを起動し、net shareコマンドを実行してみてください。
    通常、Sysvol共有やNetlogon共有が表示されるはずです。

    Active Directoryサイトとサービスから複製が可能か、もしくはRepadmin /replicate コマンドで複製が可能かを
    確認されてはいかがでしょうか。
    正常時のメッセージは以下のような感じです。
    -----
    DC2 から DC3 への同期を完了しました。
    -----

    Active Directory構築時に、機能モードはWindows Server 2008にされていますか?
    Windows Server 2008にされた場合は、Sysvol複製がDFS-R(DFSR)になります。
    そうでない場合は、FRS(ファイル複製サービス)になります。

    以下は、DFSRの場合に、確認いただきたいポイントです。

    Windows Server 2008のコマンドプロンプトにて、
    dfsrmig /getmigrationstate
    を実行して、以下のような感じのメッセージが出ていないか確認されてはいかがでしょうか?
    -----

    次のドメイン コントローラは、グローバル状態 ('削除済み') と同期していません:

    ドメイン コントローラ (ローカル移行状態) - DC の種類
    ===================================================

    DC02 ('開始') - Primary DC
    DC03 ('初期同期の待機中') - Writable DC

    移行状態が、すべてのドメイン コントローラ上で整合性のとれた状態にまだなって
    いません。
    AD の待ち時間が原因で状態の情報が最新になっていない可能性があります。
    -----

    なお、参考までに
    dfsrmig /getmigrationstate
    を実行した際の、正常なメッセージも以下に添付しておきますので、併せてご確認ください。
    -----

    すべてのドメイン コントローラがグローバル状態 ('削除済み') に移行しました。
    移行状態が、すべてのドメイン コントローラ上で整合性のとれた状態になりました。
    成功しました。
    -----

    2009年4月27日 6:21
  • ありがとうございます。さっしー様

    net shareコマンドを実行して、Sysvol共有やNetlogon共有が表示されました。

    Active Directoryサイトとサービスから複製が可能かを確認しようとしたところ、「Active Directory ドメイン サービス 次の理由により名前付けの情報が見つかりませんでした。サーバーは使用可能ではありません。」とメッセージが出てしまいました。ちょっと前までは開いたと思ったのですが。少し前に「からのメッセージ 2009/4/27 16:05 Alarm received from server '0.0.0.0' Communication link restored at the station 14」というメッセージが最後の数字が違う感じで、何度か出ました。

    メインのサーバーは問題なく動いています。すみませんが、解る方がいたらよろしく願いします。
    2009年4月27日 7:46
  • たしかにメインのサーバーは大丈夫のようで、なによりです。

    ちなみに、双方のサーバーから互いをnslookupで名前解決できるのですよね?
    2009年4月27日 8:23
  • ありがとうございます。さっしー様

    nslookupでipアドレスを入れて、サブドメインのほうからサブのIPアドレスを入れると
    サーバー : pc名(サブ).ドメイン名.local
    Adress : x.x.x.x(サブ)

    名前 : pc名(サブ).ドメイン名.local
    Adress : x.x.x.x(サブ)
    とそれぞれ出ました。
    -----------------
    nslookupでipアドレスを入れて、サブドメインのほうからメインのIPアドレスを入れると
    サーバー : pc名(サブ).ドメイン名local
    Adress : x.x.x.x(サブ)

    名前 : pc名(メイン).ドメイン名.local
    Adress : x.x.x.x(メイン)
    とそれぞれ出ました。
    -----------------
    nslookup ドメイン名.local とコマンドを入れると
    サーバー : サブドメインのpc名.ドメイン名.local
    Adress : x.x.x.x(サブ)

    名前 : ドメイン名.local
    Adress : x.x.x.x(サブ)
               x.x.x.x

    すみません、コマンドを実行してみました。よく解らなくて、これでいいのでしょうか。。。
    解る方がいたらよろしく願いします。
    2009年4月27日 9:01
  • ああ、ごめんなさい、ちゃんと書きますね。
    実際にやっていただいたのは、逆引き(IPアドレスからホスト名を引く)といわれるほうでして、試していただきたかったのは正引き(ホスト名からIPアドレスを引く)のほうです。
    通常は、正引きをつかってIPアドレスを引き(求め)、そのIPアドレスに基づいて複製を行います。

    サーバーAでは、サーバーBのIPアドレスが引けるか確認したいので、以下のコマンドを実行します。
    nslookup pc名(サブ).ドメイン名.local

    逆にサーバーBでは、サーバーAのIPアドレスが引ける確認したいので、以下のコマンドを実行します。
    nslookup pc名(メイン).ドメイン名.local

    それぞれのサーバーで相手のIPアドレスが表示されれば、このトラブルはDNSに起因しないということになります。

    ちなみに、サーバーBでのDNSサーバーの指定は、自分自身だけでしょうか。もしそうなら、ためしにサーバーBでのDNSサーバーの指定として、セカンダリにサーバーAを追加設定してみてはどうかと思います。
    2009年4月28日 0:02
  • DNSサーバーのイベントIDから、以下の英語サイトにたどり着きましたが。。。
    http://social.technet.microsoft.com/Forums/ja-JP/winserverDS/thread/205f05a5-c5e2-4e81-9685-1ab52e397f78
    http://blogs.technet.com/sbs/archive/2009/02/12/you-may-lose-network-connectivity-on-sbs-2008-when-using-a-driver-which-utilizes-tdi.aspx
    http://simultaneouspancakes.com/Lessons/2009/02/11/hotfix-for-server-2008-issue-available/

    特に2番目と3番目のURLにある内容と似ているようにも思いますので、参考までにお知らせしておきます。
    2009年4月28日 1:28
  • ありがとうございます。さっしー様

    サーバーを再起動し、ネットワークカードの「次のDNSサーバーのアドレスを使う」の設定を変えてみました。
    サーバーA(メイン)のTCP/IPのDNSは
    優先DNS サーバーA(メイン)
    代替DNS サーバーB(サブ)
    これは変えていません。
    サーバーB(サブ)のTCP/IPのDNSを
    優先DNS サーバーB(サブ)
    代替DNS サーバーA(メイン)

    優先DNS サーバーA(メイン)
    代替DNS サーバーB(サブ)
    に変えて見ました。サーバーBがサーバーAを優先するようにしてみました。サーバーAは正常に動いているので。
    2日ぐらい様子を見て、エラーは出なくなっています。

    このような設定でも特に問題は無いのでしょうか。
    2009年5月1日 0:52
  • すみません、レスポンスが遅くなりました。
    サーバーB側のDNSサーバーが不調という切り分けになりましたが、まずは仮復旧されたのでよかったと思います。

    ネットワークカードの「次のDNSサーバーのアドレスを使う」の設定を変える件、基本的には問題ありません。
    (メインのドメインと、サブドメイン側でDNSで、どのようにDNS/Active Directoryのドメインを構成されているのかまで読み取れていませんので、
     構成次第ではよう考慮点があるかもしれませんが)
    2009年5月7日 1:01
  • ありがとうございます。さっしー様

    DNSなのか、サーバーBの認識がおかしいようで、

    サーバーB側に
    ソース DNS-Server-Service
    イベント 4000
    DNS サーバーは Active Directory を開けませんでした。この DNS サーバーはディレクトリから情報を取得しこのゾーン用に使用するように構成されており、その情報なしではゾーンを読み込むことができません。Active Directory が正しく機能していることを確認してから、ゾーンを再度読み込んでください。イベント データはエラー コードです。

    ソース DNS-Server-Service
    イベント 4015
    DNS サーバーは Active Directory からの致命的なエラーを発見しました。Active Directory が正しく機能していることを確認してください。拡張エラーのデバッグ情報は "" です。これは空の場合もあります。イベント データにはエラーが含まれています。

    サーバーA側に
    ソース DFS Replication
    イベント 5012
    DFS レプリケーション サービスは、レプリケーション グループ Domain System Volume のパートナー  サーバーB と通信できませんでした。パートナーはこの接続またはレプリケーション  グループの構成を認識できませんでした。
     
    %パートナー DNS アドレス: サーバーB.ドメイン.local
     
    状況により利用可能なデータ:
    パートナー WINS アドレス: サーバーB
    パートナー IP アドレス: 10.122.91.63
     
     
    接続は定期的に再試行されます。
     
    追加情報:
    エラー: 9026 (接続が無効です)
    接続 ID: 4B0A570F-AD23-4EF4-A852-5C622DF9616F
    レプリケーション グループ ID: 5F023433-FFF9-48AA-82B1-F8F47BB8915A

    というエラーがイベントビューアに出てしまいました。
    Active DirectoryのドメインはサーバーAがメイン側で、サーバーBがサブ側で設定をしたつもりです。レベルは2008にしました。

    すみませんが、お願いします。
    2009年5月7日 4:17
  • 最近、自分が遭遇したのと似たようなトラブルですね。。。

    今一度確認させていただきたいのですが、このドメインは、単一のActive Directoryドメインですよね?
    文中で、メイン、サブと呼称されているのは、ドメインコントローラ(DC)の分担で呼ばれているのであって、
    フォレストに主たるActive Directoryドメインがあって、サブのActive Directoryドメインがあるという
    ことではないですよね。

    DFSRのイベントが気になるので、
    dfsrmig /getmigrationstate
    をコマンドプロンプトから実行してみてください。
    正常なメッセージ、問題があるメッセージ共々、本スレッドの以前の投稿にて確認いただけます。

    以前は、FRSのイベントも発見されておられたと思いますので、
    sysvol共有、NetLogon共有も含めたActive Directoryの複製に問題がなければよいのですが。
    2009年5月11日 0:21
  • ありがとうございます。さっしー様

    wiondows server 2008で単一のActive Directoryドメインです。
    分担でサーバーが2台あって、役割を分けています。説明不足で、すみません。

    再起動の直後は出ないのですが、時間がたつと
    -------------------------
    次のディレクトリ サービスとレプリケートする試みが連続して行われましたが継続的に失敗していることが、知識整合性チェッカー (KCC) により検出されました。
     
    試行回数:
    10
    ディレクトリ サービス:
    CN=NTDS Settings,CN=サーバーA,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ドメイン,DC=local
    期間 (分):
    122
     
    このディレクトリ サービスの接続オブジェクトは無視され、レプリケーションが継続されるように新しい一時的な接続が確立されます。このディレクトリ サービスとのレプリケーションが再開されると、一時的な接続は削除されます。
     
    追加データ
    エラー値:
    1256 リモート システムは利用できません。ネットワークのトラブルシューティングについては、Windows ヘルプを参照してください。

    イベント 1308
    レベル 警告
    2009/05/11 14:16:16
    -------------------------------
    知識整合性チェッカー (KCC) は、次の変更通知を正常に終了しました。
     
    ディレクトリ パーティション:
    CN=Configuration,DC=ドメイン,DC=local
    宛先ネットワーク アドレス:
    287c7b0c-4e75-4247-a62c-9e948400b9ee._msdcs.ドメイン.local
    宛先ディレクトリ サービス (利用できる場合):
    CN=NTDS Settings,CN=サーバーA,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ドメイン,DC=local
     
    このディレクトリ サービスまたは宛先ディレクトリ サービスのどちらかが別のサイトに移動した場合、このイベントが起こる可能性があります。

    イベント 1104
    レベル 情報
    2009/05/11 14:31:16
    --------------
    が出てしまいます。その影響かActive Directoryのツールを立ち上げるとサーバーに接続が出来ない状態になってしまいます。サーバーBからネットワークで他のパソコンが表示されない状態ですが、サーバーAからはサーバーBも見れる状態です。

    DNSマネージャーのサーバーのプロパティのインターフェイスのタブのリッスン対象は「すべてのIPアドレス」と「指定したIPアドレスのみ」とどちらがいいのでしょうか?

    すみませんが、お願いします。
    2009年5月11日 0:58
  • DNSマネージャーのサーバーのプロパティのインターフェイスのタブのリッスン対象は「すべてのIPアドレス」と「指定したIPアドレスのみ」とどちらがいいのでしょうか?
    これについては、通常であれば、「すべてのIPアドレス」で構いません(というかこれがデフォルトでしたし)。

    それで、
    dfsrmig /getmigrationstate
    をコマンドプロンプトから実行いただけましたか?
    2009年5月11日 23:50
  • ありがとうございます。さっしー様

    dfsrmig /getmigrationstate

    を実行すると

    C:\Users\domainin>dfsrmig /getmigrationstate

    DFSR 移行のログ ファイルを作成できません。エラー: 5
    プライマリ DC の AD に接続できません。PDC が到達可能かどうかを
    確認してから、コマンドを再実行してください。

    このようなエラーが表示されました。

    また、サーバーマネージャーのDNSの役割にエラーの4015,4004,4000が出ていました。上のコマンドの時はサービスは実行中になっています。

    すみませんが、お願いします。

    2009年5月12日 1:03
  • とりいそぎ、dfsrmig /getmigrationstate
    は、サーバーAで実行していただけますか。
    2009年5月12日 2:09
  • 今一度、「サーバーマネージャーのDNSの役割にエラーの4015,4004,4000が出ていました。」を確認してみましたが、やはり、DC間の複製がうまくいっていないと考えざるをえません。

    DNSの情報も、統合ゾーンとして、Active Directoryに統合されていますので、DC間の複製がうまくいっていなければ、サーバーBのDNSサーバーも正しく動作しません。

    dfsrmig /getmigrationstateもサーバーAで確認いただきたいのですが、
    以下の作業もお願いします(ADSIエディタを使う作業だったので、難解だと思ってあえて避けていましたが)。

    DFS-Rでの複製に必要なオブジェクトの有無を確認いただきたく、
    http://technet.microsoft.com/ja-jp/library/cc816862.aspx
    の”To determine the msDFSR-RootPath and the msDFSR-StagingPath values in AD DS”のステップを5番まで、サーバーAでADSIエディタを使いやってみてください。DFSR-LocalSettingsオブジェクト配下があれば問題なしです。

    あと、サーバーBの代わりになるようなDCを追加することも考慮してみてください。
    2009年5月12日 2:39
  • ありがとうございます。さっしー様

    サーバーAで実行すると

    C:\Users\domainin>dfsrmig /getmigrationstate

    DFSR 移行のログ ファイルを作成できません。エラー: 5
    すべてのドメイン コントローラがグローバル状態 ('削除済み') に移行しました。
    移行状態が、すべてのドメイン コントローラ上で整合性のとれた状態になりました。
    成功しました。

    のようになります。
    すみませんが、お願いします。

    2009年5月12日 2:44
  • ログファイルは作れないものの、DFSR 移行としては、問題ないですよ。
    となると、ADSIエディタによる確認も不要です!

    いったん整理しますと、
    各DCで、SYSVOL共有、NetLogon共有は問題なく共有されている
    サーバーAのDNSサーバーは正常に稼働しているが、サーバーBは問題あり

    ひとつ大事なことを書き忘れていました。
    サーバーBで、dcdiagを実行してみてください。
    あと、サーバーBの\windows\debug\dcpromo.logを開いて、サーバーBをDCにしたときに何か問題がなかったかを確認してください。
    2009年5月12日 3:13
  • ありがとうございます。さっしー様

    サーバーBでコマンドを実行すると、

    C:\Users\domainin>dcdiag

    ディレクトリ サーバー診断

    初期セットアップを実行しています:
       ホーム サーバーの検索を試みています...
       ホーム サーバー = MFSV01
       LDAP 検索機能の属性検索がサーバー MFSV01 で失敗しました。戻り値 = 81

    サーバーBの\windows\debug\dcpromo.logの中は[INFO]だけで、最後は

    04/01/2009 12:00:26 [INFO] ドメイン コントローラの操作が完了しました
    04/01/2009 12:00:26 [INFO] DsRolepSetOperationDone returned 0

    で終わっていました。

    すみませんが、お願いします。

    2009年5月12日 6:00
  • サーバーBは、DCとして機能していませんねorz
    最初にdcdiagを実行してもらうべきでした、忘れていてすみません。

    となると、ユーザが使用していない時間帯のどこかで時間を作っていただいて、
    (もちろん、バックアップも取っていただいて)
    DCの降格と昇格を試していただくか、
    別のDCを用意されたほうがよいと思います。

    ここまで、いろいろ調べていただいたのに、通り一辺倒な回答ですみません。

    追伸
     サーバーAでも念のため、dcdiagを実行しておいてください。おそらく何も問題はないだろうと思いますが。
    2009年5月12日 8:08
  • ありがとうございます。さっしー様

    サーバーAでコマンドを実行すると、

    C:\Users\domainin>dcdiag

    ディレクトリ サーバー診断

    初期セットアップを実行しています:
       ホーム サーバーの検索を試みています...
       ホーム サーバー = サーバーA
       * AD フォレストが識別されました。
       初期情報の収集が完了しました。

    必須の初期テストを実行しています

       サーバーをテストしています: Default-First-Site-Name\サーバーA
          テストを開始しています: Connectivity
             ......................... サーバーA はテスト Connectivity に合格しました

    プライマリ テストを実行しています

       サーバーをテストしています: Default-First-Site-Name\サーバーA
          テストを開始しています: Advertising
             警告: サーバーA はタイム サーバーとしてアドバタイズしていません。
             ......................... サーバーA はテスト Advertising に失敗しました
          テストを開始しています: FrsEvent
             ......................... サーバーA はテスト FrsEvent に合格しました
          テストを開始しています: DFSREvent
             SYSVOL の共有後、この 24 時間以内に発生した警告またはエラー イベントがあります。 SYSVOL
             レプリケーション失敗の問題があると、グループ ポリシーの問題が発生する場合 があります。
             ......................... サーバーA はテスト DFSREvent に失敗しました
          テストを開始しています: SysVolCheck
             ......................... サーバーA はテスト SysVolCheck に合格しました
          テストを開始しています: KccEvent
             ......................... サーバーA はテスト KccEvent に合格しました
          テストを開始しています: KnowsOfRoleHolders
             ......................... サーバーA はテスト KnowsOfRoleHolders に合格しました
          テストを開始しています: MachineAccount
             ......................... サーバーA はテスト MachineAccount に合格しました

          テストを開始しています: NCSecDesc
             ......................... サーバーA はテスト NCSecDesc に合格しました
          テストを開始しています: NetLogons
             [サーバーA] ユーザー資格情報にはこの操作を実行する権限がありません。
             このテストに使用するアカウントには、このコンピュータのドメインへの
             ネットワーク ログオン特権が必要です。
             ......................... サーバーA はテスト NetLogons に失敗しました
          テストを開始しています: ObjectsReplicated
             ......................... サーバーA はテスト ObjectsReplicated に合格しました
          テストを開始しています: Replications
             レプリケーションの潜在期間の警告
             エラー: 必要な通知リンクがありません。
             ソース MFSV01
             このパスで行われる新しい変更のレプリケーションが遅れます。
             この問題は次回の同期周期に自己修正されます。
             [レプリケーションの確認、サーバーA] DsReplicaGetInfo(PENDING_OPS, NULL) が失敗しました。エラー
             0x2105 "レプリケーション アクセスが拒否されました。"
             ......................... サーバーA はテスト Replications に失敗しました
          テストを開始しています: RidManager
             ......................... サーバーA はテスト RidManager に合格しました
          テストを開始しています: Services
                サーバーA で NTDS サービスを開くことができませんでした。エラー 0x5 "アクセスが拒否されました。"
             ......................... サーバーA はテスト Services に失敗しました
          テストを開始しています: SystemLog
             ......................... サーバーA はテスト SystemLog に合格しました
          テストを開始しています: VerifyReferences
             ......................... サーバーA はテスト VerifyReferences に合格しました


       パーティション テストを実行しています: ForestDnsZones
          テストを開始しています: CheckSDRefDom
             ......................... ForestDnsZones はテスト CheckSDRefDom に合格しました
          テストを開始しています: CrossRefValidation
             ......................... ForestDnsZones はテスト CrossRefValidation
             に合格しました

       パーティション テストを実行しています: DomainDnsZones
          テストを開始しています: CheckSDRefDom
             ......................... DomainDnsZones はテスト CheckSDRefDom に合格しました
          テストを開始しています: CrossRefValidation
             ......................... DomainDnsZones はテスト CrossRefValidation
             に合格しました

       パーティション テストを実行しています: Schema
          テストを開始しています: CheckSDRefDom
             ......................... Schema はテスト CheckSDRefDom に合格しました
          テストを開始しています: CrossRefValidation
             ......................... Schema はテスト CrossRefValidation に合格しました

       パーティション テストを実行しています: Configuration
          テストを開始しています: CheckSDRefDom
             ......................... Configuration はテスト CheckSDRefDom に合格しました
          テストを開始しています: CrossRefValidation
             ......................... Configuration はテスト CrossRefValidation
             に合格しました

       パーティション テストを実行しています: ドメイン
          テストを開始しています: CheckSDRefDom
             ......................... ドメイン はテスト CheckSDRefDom に合格しました

          テストを開始しています: CrossRefValidation
             ......................... ドメイン はテスト CrossRefValidation に合格しました

       エンタープライズ テストを実行しています: ドメイン.local
          テストを開始しています: LocatorCheck
             警告: DcGetDcName(TIME_SERVER) 呼び出しが失敗しました。エラー 1355
             タイム サーバーが見つかりませんでした。
             PDC の役割を保持しているサーバーが停止しています。
             警告: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) 呼び出しが失敗しました。
    エラー 1355
             正常なタイム サーバーが見つかりませんでした。
             ......................... ドメイン.local はテスト LocatorCheck に失敗しました
          テストを開始しています: Intersite
             ......................... ドメイン.local はテスト Intersite に合格しました

    と表示されました。

    2009年5月12日 9:07
  • ありがとうございます。さっしー様
    サーバーBを再起動後に、同じコマンドをしてみたら、違う表示になりました。

    C:\Users\domainin>dcdiag

    ディレクトリ サーバー診断

    初期セットアップを実行しています:
       ホーム サーバーの検索を試みています...
       ホーム サーバー = サーバーB
       * AD フォレストが識別されました。
       初期情報の収集が完了しました。

    必須の初期テストを実行しています

       サーバーをテストしています: Default-First-Site-Name\サーバーB
          テストを開始しています: Connectivity
             ......................... サーバーB はテスト Connectivity に合格しました

    プライマリ テストを実行しています

       サーバーをテストしています: Default-First-Site-Name\サーバーB
          テストを開始しています: Advertising
             警告: サーバーB はタイム サーバーとしてアドバタイズしていません。
             ......................... サーバーB はテスト Advertising に失敗しました
          テストを開始しています: FrsEvent
             SYSVOL の共有後、この 24 時間以内に発生した警告またはエラー イベントがあります。 SYSVOL
             レプリケーション失敗の問題があると、グループ ポリシーの問題が発生する場合 があります。
             ......................... サーバーB はテスト FrsEvent に合格しました
          テストを開始しています: DFSREvent
             SYSVOL の共有後、この 24 時間以内に発生した警告またはエラー イベントがあります。 SYSVOL
             レプリケーション失敗の問題があると、グループ ポリシーの問題が発生する場合 があります。
             ......................... サーバーB はテスト DFSREvent に失敗しました
          テストを開始しています: SysVolCheck
             ......................... サーバーB はテスト SysVolCheck に合格しました
          テストを開始しています: KccEvent
             ......................... サーバーB はテスト KccEvent に合格しました
          テストを開始しています: KnowsOfRoleHolders
             ......................... サーバーB はテスト KnowsOfRoleHolders に合格しました
          テストを開始しています: MachineAccount
             ......................... サーバーB はテスト MachineAccount に合格しました

          テストを開始しています: NCSecDesc
             ......................... サーバーB はテスト NCSecDesc に合格しました
          テストを開始しています: NetLogons
             [サーバーB] ユーザー資格情報にはこの操作を実行する権限がありません。
             このテストに使用するアカウントには、このコンピュータのドメインへの
             ネットワーク ログオン特権が必要です。
             ......................... サーバーB はテスト NetLogons に失敗しました
          テストを開始しています: ObjectsReplicated
             ......................... サーバーB はテスト ObjectsReplicated に合格しました
          テストを開始しています: Replications
             [レプリケーションの確認、サーバーB] DsReplicaGetInfo(PENDING_OPS, NULL) が失敗しました。エラー
             0x2105 "レプリケーション アクセスが拒否されました。"
             ......................... サーバーB はテスト Replications に失敗しました
          テストを開始しています: RidManager
             ......................... サーバーB はテスト RidManager に合格しました
          テストを開始しています: Services
                サーバーB で NTDS サービスを開くことができませんでした。エラー 0x5 "アクセスが拒否されました。"
             ......................... サーバーB はテスト Services に失敗しました
          テストを開始しています: SystemLog
             ......................... サーバーB はテスト SystemLog に合格しました
          テストを開始しています: VerifyReferences
             ......................... サーバーB はテスト VerifyReferences に合格しました


       パーティション テストを実行しています: ForestDnsZones
          テストを開始しています: CheckSDRefDom
             ......................... ForestDnsZones はテスト CheckSDRefDom に合格しました
          テストを開始しています: CrossRefValidation
             ......................... ForestDnsZones はテスト CrossRefValidation
             に合格しました

       パーティション テストを実行しています: DomainDnsZones
          テストを開始しています: CheckSDRefDom
             ......................... DomainDnsZones はテスト CheckSDRefDom に合格しました
          テストを開始しています: CrossRefValidation
             ......................... DomainDnsZones はテスト CrossRefValidation
             に合格しました

       パーティション テストを実行しています: Schema
          テストを開始しています: CheckSDRefDom
             ......................... Schema はテスト CheckSDRefDom に合格しました
          テストを開始しています: CrossRefValidation
             ......................... Schema はテスト CrossRefValidation に合格しました

       パーティション テストを実行しています: Configuration
          テストを開始しています: CheckSDRefDom
             ......................... Configuration はテスト CheckSDRefDom に合格しました
          テストを開始しています: CrossRefValidation
             ......................... Configuration はテスト CrossRefValidation
             に合格しました

       パーティション テストを実行しています: ドメイン
          テストを開始しています: CheckSDRefDom
             ......................... ドメイン はテスト CheckSDRefDom に合格しました

          テストを開始しています: CrossRefValidation
             ......................... ドメイン はテスト CrossRefValidation に合格しました

       エンタープライズ テストを実行しています: ドメイン.local
          テストを開始しています: LocatorCheck
             警告: DcGetDcName(TIME_SERVER) 呼び出しが失敗しました。エラー 1355
             タイム サーバーが見つかりませんでした。
             PDC の役割を保持しているサーバーが停止しています。
             警告: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) 呼び出しが失敗しました。
    エラー 1355
             正常なタイム サーバーが見つかりませんでした。
             ......................... ドメイン.local はテスト LocatorCheck に失敗しました
          テストを開始しています: Intersite
             ......................... ドメイン.local はテスト Intersite に合格しました

    と表示されました。

    2009年5月13日 0:45
  • 再起動で、状況が改善されたようで、なによりです。
    (そうですね、再起動する手がまだありました)

    しばらく監視していただいて、変ったことがあれば、ここに書き込んでいただければよいかと思います。
    2009年5月13日 3:04
  • ありがとうございます。さっしー様

    サーバーBが再起動後はやはり正常なのですが、時間が経つとエラーが出てしまいます。

    ソース:           Microsoft-Windows-GroupPolicy
    説明:
    グループ ポリシーの処理に失敗しました。ユーザー名を解決できませんでした。次のいずれかまたは両方が原因である可能性があります:
    a) 現在のドメイン コントローラでの名前解決エラー。
    b) Active Directory のレプリケーションの潜在期間 (別のドメイン コントローラに作成されたアカウントが現在のドメイン コントローラにレプリケートされていない)。
    イベント ID:       1053

    がいっぱいログに残っていました。
    ----------
    ログの名前:         DNS Server
    ソース:           Microsoft-Windows-DNS-Server-Service
    イベント ID:       140
    DNS サーバーは、リモート プロシージャ コール (RPC) サービスを初期化できませんでした。RPC サービスが実行されていない場合は、サービスを開始するかコンピュータを再起動してください。イベント データはエラー コードです。
    ---------
    ログの名前:         Directory Service
    ソース:           Microsoft-Windows-ActiveDirectory_DomainService
    これは、このディレクトリ サーバー上の次のディレクトリ パーティションのレプリケーション状態です。
     
    ディレクトリ パーティション:
    DC=DomainDnsZones,DC=ドメイン,DC=local
     
    このディレクトリ サーバーは、構成された潜在期間内に多くのディレクトリ サーバーからレプリケーション情報を受け取っていません。
     
    潜在期間 (時間):
    24
    すべてのサイトのディレクトリ サーバーの数:
    1
    このサイトのディレクトリ サーバーの数:
    1
     
    次のレジストリ キーで潜在期間を修正することができます。
     
    レジストリ キー:
    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\レプリケータ潜在エラー期間 (時間)
     
    ディレクトリ サーバーを名前で識別するには、dcdiag.exe ツールを実行してください。
    サポート ツール repadmin.exe を使ってディレクトリ サーバーのレプリケーション潜在期間を表示できます。コマンドは "repadmin /showvector /latency <パーティション識別名>" です。
    ---------
    ログの名前:         DNS Server
    ソース:           Microsoft-Windows-DNS-Server-Service
    DNS サーバーは、アプリケーション ディレクトリ パーティション ForestDnsZones.ドメイン.local から Active Directory のゾーン xx.xxx.xx.in-addr.arpa を開くことができませんでした。この DNS サーバーはディレクトリから情報を取得し、このゾーン用に使用するように構成されており、その情報なしではゾーンを読み込むことができません。Active Directory が正しく機能していることを確認してから、ゾーンを再度読み込んでください。イベント データはエラー コードです。
    ---------
    ログの名前:         DFS Replication
    ソース:           DFSR
    DFS レプリケーション サービスは、ドメイン コントローラ  に接続できず、 構成情報へのアクセスに失敗しました。レプリケーションは停止します。 この処理は、60 分後に次のポーリング サイクルで再試行されます。 このイベントの原因として、TCP/IP 接続、ファイアウォール、Active Directory  ドメイン サービス、DNS の問題が考えられます。
    というエラーも出ています。

    すみませんが、お願いします。
    2009年5月19日 7:23
  • saito-さん、こんにちは。

    通りすがりですが、気になったので投稿いたします。

    この環境では、Windows updateはキチンとできていますか?

    再起動したらしばらくOKとのことから、どこかからウィルス攻撃を受けてネットワークがおかしくなる
    現象に良く似ています。(この解決方法は、まずはwindows updateです。)

    攻撃受けているだけなので、ウィルスチェックソフトでは検知できませんよ。


    2009年5月22日 4:59
  • ありがとうございます。kevin200様

    Windows updateはしてあります。

    サーバーバックアップの時間とレプリケーションの時間が重なっていたので、ずらして再起動をしたら、エラーは出なくなりました。今のところ。。。。
    さっしー様、kevin200様いろいろとありがとうございました。
    • 回答としてマーク saito- 2009年6月1日 0:46
    2009年6月1日 0:46