none
FSMOのサーバーがクラッシュした場合の サーバー復旧手順で困っています。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    サーバー2台で運用中に FSMOありのサーバーがクラッシュした場合の復旧手順を 試行錯誤中に エラーが発生し、立ち往生し困っています。

    正常にサーバー復旧できたように思えたのですが、DC降格ができないので、
    復旧手順が適切でなかったのだと思います。ネットで調べて作業しました。

    ご指導賜りたく よろしくお願いいたします。

    --(以下、作業の詳細)--

     SeizeコマンドでFSMOの強制割り当てを行ったドメインがあり、そこに追加
     したADサーバーをDcpromoでDC降格しょうとしましたが、以下のエラー
     が発生し降格できませんでした。 

     ■Dcpromoで発生したエラーメッセージ

        次のエラーにより、操作に失敗しました。

        Active Directory ドメイン サービスは、ディレクトリ パーティション
        DC=ForestDnsZone,DC=test01,DC=co,DC=jp の残りの
        データを Active Directory ドメイン コントローラー ¥¥tom.test01.
        co.jp に転送できませんでした。

        “ディレクトリ サービスで必須の構成情報が不足しているため、浮動
          単一マスター操作の役割に対する所有権を判断できません。”

    ■エラー発生までの経緯。

     1.FSMO強制割り当て前(正常稼働中)の状況

      ・ドメインは1つ(test01.co.jp)、フォレスト 1つ。
      ・サーバーは2台。2台とも Win Srv 2008 R2(仮称:躯体A、躯体B)。
      ・躯体A :マシン名AAA、FSMOあり、DC、DNS(AC統合)、
          IPアドレス 192.168.1.99。
      ・躯体B :マシン名BBB、FSMOなし、DC、DNS(AC統合)、
          IPアドレス 192.168.1.98。

     2.FSMO強制割り当てと付随作業(躯体Aクラッシュ後)の対応

      ・躯体Aが クラッシュし DC降格できず。
      ・躯体Bで、ntdsutilコマンドを使いのmetadata cleanup でマシン名AAAを
           remove selected serverをした(同時にFSMO5種の強制割り当てが
          行われた)。
      ・dsmodコマンドでマシン名 BBBにグローバルカタログを割り当てた。
        ⇒結果:dsmod 成功: CN=BBB,CN=Servers,CN=Default-First-
          Site-Name,CN=Sites,CN=Configuration,DC= test01,DC=co,DC=jp
      ・管理ツール 「DNS」で、マシン名AAAとそのIPアドレスを見つけ次第、
        例外なく即時削除。
        ⇒前方参照ゾーン配下に残っていたのは(=削除したのは)、計7か所。
            - ¥_msdcs.test01.co.jp直下    : Name Server (NS)
            - ¥_msdcs.test01.co.jp¥gc直下 : Host (A)
            - ¥test01.co.jp直下 
              : Name Server (NS)、Host (A)
            - ¥test01.co.jp¥DomainDnsZones配下 
              : Host (A) と ServiceLocation(SRV) 計3か所
            - ¥test01.co.jp¥ForestDnsZones配下  
              : Host (A) と ServiceLocation(SRV) 計3か所
        ⇒逆引き参照ゾーン,条件付きフォワーダーには何もなし。
      ・管理ツール 「AD ユーザーとコンピューター」で、マシン名AAAがあれば削除。
        ⇒ツリーで ¥Domain Contorollers配下、¥LostAndFound配下、
          ¥System¥DFSR_...¥Domain...¥Topology配下を確認したが、
          マシン名AAAはなかった。
      ・管理ツール 「AD サイトとサービス」で、マシン名AAAがあれば削除。
        ⇒ツリーで すべての配下を確認し、¥Default-First-Site-Name
          ¥Server配下にマシン名AAAが残っていたので削除した
          (マシン名AAA配下に NTDS Settingsはなかった)。

      ・管理ツール 「ADSIエディタ」で、マシン名AAAがあれば削除。
        ⇒ツリーで ¥CN=Domain.CN=Domain Suffix¥CN=System
          ¥CN=DFSR-Globalsettings¥CN=Domain System Volume
          ¥CN=Topology 配下を確認し、CN=マシン名AAAを削除。

     3.躯体AにOSを再インストールして、サーバーを再構築。

      ・ 躯体A :マシン名CCC、FSMOなし、DC、DNS(AC統合)、
       IPアドレス 192.168.1.99(クラッシュ前と同じIPを使用)。
      ・ 躯体A、躯体B、それぞれのADにユーザーを追加し、躯体Aと躯体Bでレプリ
       ケートされていることを確認し、
       サーバー環境は正しく復元できたと判定。

     4.躯体AサーバーのDC降格

      ・ 躯体Aでdcpromoコマンドを使ってDC降格を試みたが、冒頭のエラーMSGが
        表示されて降格できず。
      ・ エラー発生時刻に出力されたイベントログは 2つあり。

        ● イベント(1)  警告

          イベントID :2091 / ソース :ActiveDirectory_DomainService

          次の FSMO 役割の所有権は、削除されたまたは存在しないサーバーに
          設定されてい ます。

           この状態が修正されるまで、FSMO 操作マスターへのアクセスを必要と
          する操作は失敗します。

          FSMO 役割: CN=Infrastructure,DC=ForestDnsZones,
          DC=test01,DC=co,DC=jp

          FSMO サーバー DN: CN=NTDS Settings¥0ADEL:716a8ff4-07e5-
          46b9-b07f-24c0b735eb63,CN=JOY¥0ADEL:5689ff00-3010-
          4b0c-90e5-25bbb5253bc2,CN=Servers,CN=Default-First-
          Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp

          ユーザー操作:

          1. どのサーバーが FSMO 役割を保持するか決定してください。

          2. 構成の表示は最新ではない可能性があります。対象のサーバーが最近
          昇格されている場合は、最近、新しいサーバーから構成パーティションがレ
          プリケートされているか確認してください。対象のサーバーが最近降格され
          ており、役割が転送されている場合は、(最新の役割の所有権を含んでいる)
          パーティションが、最近レプリケートされていることを確認してください。

          3. FSMO 役割を保持するサーバーでその役割が正しく設定されているか
          確認してくだ さい。役割が設定されていない場合、NTDSUTIL.EXE を使っ
          て役割を転送または強制し てください。これは ttp://support. microsoft.
          com  のサポート技術情報 (KB)の記事 255504 および 324801 で提供さ
          れている手順に従って行うことができます。

          4. FSMO 役割を保持するサーバーと、このサーバーの間で FSMO パー
          ティションのレ プリケーションが正しく行われていることを確認してください。

          次の操作に影響がでる場合があります:

          スキーマ : このフォレストのスキーマをこれ以上変更できなくなります。

          ドメイン名前付け : このフォレストで、これ以上ドメインを追加および削除
          することができなくなります。

          PDC : グループ ポリシーの更新や非 Active Directory ドメイン サービ
          ス アカウントのパスワードのリセットなどの、プライマリ ドメイン コントロー
          ラーの操作の実行がこれ以上できなくなります。

          RID : 新しいユーザー アカウント、コンピューター アカウントまたはセキュ
          リティ グループのセキュリティ識別子を新しく割り当てることができなくなります。

          インフラストラクチャ : ユニバーサル グループ メンバーシップなどのドメイン
          を越えた名前参照は、対象のオブジェクトが移動されたり名前が変更された
          場合に正しく更新されなくなります。

          ※ 余談ですが、上記 716a8ff4-07e5-46b9-b07f-24c0b735eb63 は、
          マシン名 AAA の CNAME です。FSMO強制割り当ての際、 DNS サーバー
          の前方参照ゾーンから 自動的に削除されましたので、今はありません。それ
          なのに、ここで登場するのが 不可解です。削除し忘れている 何かがあるの
          でしょうか?。

          ※ 管理ツール 「AD ユーザーとコンピューター」で、Infrastructure の プロパ
          ティー の 属性エディターの fSMORoleOwner の値を確認。 CN=NTDS
          Settings,CN=TOM,CN=Servers,CN=Default- First-Site-Name,
          CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp でした。
        ---
        ● イベント(2)  エラー 

          イベントID :2022  / ソース :ActiveDirectory_DomainService

          次の FSMO 役割の所有権は、削除されたまたは存在しないサーバーに設定され
          てい ます。

          このディレクトリ サーバーが保持している操作マスターの役割は、次のディレクトリ
          サーバーに転送できませんでした。

          リモート ディレクトリ サーバー:
          ¥¥tom.test01.co.jp

          これは、このディレクトリ サーバーの削除を妨げています。

          ユーザー操作

          何故リモート ディレクトリ サーバーが操作マスターの役割を受け入れられないかを
          調査するか、またはディレクトリ サーバーが保持している役割をすべて手動でリモー
          ト ディレクトリ サーバーに転送してください。それから、このディレクトリ サー
          バーの削除を再試行してください。

          追加データ
          エラー値 :5005 ディレクトリ サービスで必須の構成情報が不足しているため、浮
          動単一マスター操作の役割に対する所有権を判断できません。

          拡張エラー値 :0

          内部 ID :52498735

    ---

    長くなってしまいましたが、以上です。なにとぞ、よろしくお願いいたします。

    2013年9月10日 7:09
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、現状ですがいただいた情報からアプリケーションパーティション(DNS)のインフラストラクチャマスタ情報が正しくないため、起こっている可能性があります。修正の方法ですが、したのページにあるfSMORoleOwner属性を変更する必要があるようです(ForestDnsZonesパーティションに対してひとまずおこなうことになります)。

    http://support.microsoft.com/kb/949257/ja

    ただし、現状ではインフラストラクチャマスタ含めFSMOがきちんと動作しているのか、はっきりわかりません。したのページを見て、各FSMOロールが正しいか確認してください(全部のドメインコントローラで実行し、値が同じであることを確認してください)。

    http://support.microsoft.com/kb/234790/ja

    • 回答の候補に設定 佐伯玲 2013年9月13日 0:56
    • 回答としてマーク 佐伯玲 2013年9月24日 8:09
    2013年9月11日 2:13
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ご確認いただいたのですが、見るべき個所がちょっと違うようですね。見ていただきたいのはしたのDNです。

    CN=Infrastructure,DC=ForestDNSZones,DC=test01,DC=co,DC=jp

    ADSIエディタでうえのオブジェクトの"fSMORoleOwner"をご覧いただければ、エラーで表示された値になっているのではないでしょうか(ldifdeでも大丈夫です)。

    FSMOに問題がないことはわかりましたので、直す方法ですが、KB949257のvbsスクリプトは、実際にはこのように実行することになります。

    cd <fixfsmo.vbs が存在するフォルダ>
    cscript fixfsmo.vbs DC=ForestDnsZones,DC=test01,DC=co,DC=jp

    あとお約束ですが、何かあったときに書き戻しできるよう、ドメインコントローラのバックアップをお奨めしておきます。

    • 回答の候補に設定 佐伯玲 2013年9月13日 0:56
    • 回答としてマーク 佐伯玲 2013年9月24日 8:09
    2013年9月12日 2:12
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、現状ですがいただいた情報からアプリケーションパーティション(DNS)のインフラストラクチャマスタ情報が正しくないため、起こっている可能性があります。修正の方法ですが、したのページにあるfSMORoleOwner属性を変更する必要があるようです(ForestDnsZonesパーティションに対してひとまずおこなうことになります)。

    http://support.microsoft.com/kb/949257/ja

    ただし、現状ではインフラストラクチャマスタ含めFSMOがきちんと動作しているのか、はっきりわかりません。したのページを見て、各FSMOロールが正しいか確認してください(全部のドメインコントローラで実行し、値が同じであることを確認してください)。

    http://support.microsoft.com/kb/234790/ja

    • 回答の候補に設定 佐伯玲 2013年9月13日 0:56
    • 回答としてマーク 佐伯玲 2013年9月24日 8:09
    2013年9月11日 2:13
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブ-ンさんへ

    ご回答ありがとうございます。質問者です。

    > http://support.microsoft.com/kb949257/ja

    の詳細 ですが、前半部の意味がよく分かりませんした。

    たとえば、 cscript fixfsmo.vbs DC=test01,DC=co,DC=jp というコマンドを実行すると

    VBスクリプトがパラメータ付きで実行されて、Infrastructure の設定値が変わるのでしょうか?

    ---
    とりあえず、ご案内いただい 2つ方法+独自方法で 状況を確認しました。

    ---
    まず、

    ldifde -f c:\Infra_DomainDNSZones.ldf -d "CN=Infrastructure,DC=test01,DC=co,DC=jp" -l fSMORoleOwner

    ですが、結果は以下の通りです。

    (マシン名 BBBで実行)
    dn: CN=Infrastructure,DC=test01,DC=co,DC=jp
    changetype: add
    fSMORoleOwner:
     CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp

    (マシン名 CCCで実行)
    dn: CN=Infrastructure,DC=test01,DC=co,DC=jp
    changetype: add
    fSMORoleOwner:
     CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp

    以上です。

    ---
    続いて、FSMOのホルダも確認しました。 結果は以下の通りです。

              **マシン名 BBBにて  **マシン名 CCC
    スキーマ、     bbb.test01.co.jp、Bbb.test01.co.jp
    ドメイン名前付け、bbb.test01.co.jp、bbb.test01.co.jp
    RID、        bbb.test01.co.jp、bbb.test01.co.jp
    PDC、        bbb.test01.co.jp、bbb.test01.co.jp
    インフラストラクチャ、bbb.test01.co.jp、bbb.test01.co.jp

    以上です。大文字小文字を忠実に記述しました。

    ---
    余分かもしれませんが、ntdsutil コマンドで list roles for connected server してみました。結果は以下の通りです。

    (マシン名 BBBで実行、BBBに接続)
    サーバー "bbb" は 5 個の役割を認識しています
    スキーマ - CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp
    名前付けマスター - CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp
    PDC - CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp
    RID - CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp
    インフラストラクチャ - CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp

    (マシン名 CCCで実行、CCCに接続)
    サーバー "ccc" は 5 個の役割を認識しています
    スキーマ - CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp
    名前付けマスター - CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp
    PDC - CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp
    RID - CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp
    インフラストラクチャ - CN=NTDS Settings,CN=BBB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test01,DC=co,DC=jp

    以上です。

    私には、これに特別問題があるように思えないのですが。。。

    よろしくお願いいたします。




    2013年9月11日 11:01
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ご確認いただいたのですが、見るべき個所がちょっと違うようですね。見ていただきたいのはしたのDNです。

    CN=Infrastructure,DC=ForestDNSZones,DC=test01,DC=co,DC=jp

    ADSIエディタでうえのオブジェクトの"fSMORoleOwner"をご覧いただければ、エラーで表示された値になっているのではないでしょうか(ldifdeでも大丈夫です)。

    FSMOに問題がないことはわかりましたので、直す方法ですが、KB949257のvbsスクリプトは、実際にはこのように実行することになります。

    cd <fixfsmo.vbs が存在するフォルダ>
    cscript fixfsmo.vbs DC=ForestDnsZones,DC=test01,DC=co,DC=jp

    あとお約束ですが、何かあったときに書き戻しできるよう、ドメインコントローラのバックアップをお奨めしておきます。

    • 回答の候補に設定 佐伯玲 2013年9月13日 0:56
    • 回答としてマーク 佐伯玲 2013年9月24日 8:09
    2013年9月12日 2:12
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブ-ンさんへ

    ご回答ありがとうございます。質問者です。

    当方環境にて、勉強も含め 確認したいことがございます。
    来週中に 正式な返信をいたします。少しお時間をいただきたくよろしくお願いいたします。

    正式返信の際には、この返信を削除する予定です。

    ありがとうございます。

    2013年9月13日 1:30
    |
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、サーバー初心者A さん
    フォーラムオペレータの佐伯 玲 です。

    その後少しお時間が立ちましたがいかがでしょうか?
    勝手ながら私の方で一旦チャブーンさんからの返信を「回答としてマーク」とさせていただきました。

    解決に至らぬ場合には後から回答マークを解除することも可能です。
    ご確認いただき進展がございましたらこちらのスレッドへその後の状況等をご返信いただけましたらと思います。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2013年9月24日 8:09
    |