none
切り離したDC環境下でのDNSが正常に稼働せず RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    ※ところどころわざとひらがなにしてあります。フォーラムの不具合か(?)漢字だと
     とうこうできない為です。

    ドメインAが存在し、拠点ごとにドメインコントローラ(以下DC)を稼働させております。
    その中の一つの拠点をステージング環境専用とし、検証を行う際にネットワークを
    切り離し、業務サーバの稼働をかくにんする想定です。

    しかしながら、この度、ネットワークを切り離したところ、該当拠点のDCのDNSによる
    なまえ解決が正常に行われておりません。
    (DNSはAD統合にしており、当該DCはFSMOではありません)


    具体的に言うとDCでnslookupにてなまえ解決をしようとすると

    > [server_name]
    サーバー:  UnKnown
    Address:  [aa.aa.aa.aa]

    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** UnKnown への要求がタイムアウトしました

    となります。

    DNSのサービスは正常にかどうしておりますが、イベントビューアのDNS Serverのログを見ると
    下記のエラーが5~6分間隔で継続して記録されております。

    DNS サーバーは Active Directory からの致命的なエラーを発見しました。Active Directory が正しく機能していることをかくにんしてください。拡張エラーのデバッグ情報は "" です。これは空の場合もあります。イベント データにはエラーが含まれています。
    イベントID:4015

    ADの認証等は正常に稼働しておりますが、他拠点とのネットワークを切り離しているので
    当然、他のDCとレプリケーションができない旨のエラーは記録されております。

    このような環境ではDNSはせいじょうにかどうしないのでしょうか。
    アドバイスをいただけるとできると幸いです。
    2022年6月17日 1:34
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、結論から申し上げると、ドメインコントローラーの正常性は「複製が正常に行われている」ことで担保される部分があります。その状況が異常な場合、手持ちのActive Directoryデータベースが「システム全体に対して正統性があるか」を確認して動作を制限するケースもあり、異常な状態での「あるべき動作」を、予言者のように言い当てることは、少なくとも私には難しいです(そういう神がかりな方もいるかもしれませんが)。詳細に調べないと原因は不明ですが、私であればコストパフォーマンスが著しく悪いのだから、採用しないと思います。

    何が何でも切断したうえ、検証環境に一時的に使いたい、という場合、手動で、

    • FSMO役割を切断されたドメインコントローラーに強制割り当てする
    • 複製関係にある他ドメインコントローラー情報をすべて削除し、1台構成相当に変更する

    といったことをすれば、他の影響を排除できます。手順の詳細は以下などがありますが、一度切断したものを再接続することはできません。

    AD DS サーバー メタデータをクリーンアップする | Microsoft Docs

    利用後に再組み込みしたい、という場合は、切断したドメインコントローラーが起動不可になった前提でのフルリストアが必要です。サードパーティのバックアップソフトの仕様は不明ですが、データベース情報部分のみの簡単なリストアは、不整合等の問題が発生する可能性が大なので、全くお奨めしません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2022年7月6日 6:37
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、状況から「切り離されたドメインコントローラー」の、TCP/IPv4の参照先DNSサーバーは以下になっていると思います。

    1. 優先DNSサーバー:切り離された他のドメインコントローラー
    2. 代替DNSサーバー:自分自身のIPまたは127.0.0.1

    このような状態の場合、nslookupコマンドを実行すると、参照先DNSサーバーは必ず「優先DNSサーバー」になるため、ネットワークが遮断されていれば、当然結果は戻ってきません。認証が正常に動作しているのは、代替DNSサーバーからDNS情報を読み込んでいるため、と思われます。

    イベントID 4015は優先DNSサーバーから参照されるべき、Active Directory統合ゾーンが見つからないため、出ているエラーです。代替DNSサーバーが正常動作しているなら、当座の認証に問題は起こらないでしょう。何が何でも消したい場合、優先DNSと代替DNSを一時的に入れ替えれ、AD DSサービスを再起動すれば改善する可能性はあります。(ただし最低1~2回は表示されてしまいます)

    エラーだらけの状態でわかるでしょうが、ドメインコントローラーの人為的な切り離しは、基本的に不推奨です。ドメインコントローラー上で、システムの内容(Active Diretory全体の情報等)が書き換えられるなどで、予期しない情報不一致が発生し、そうなるとレプリケーション阻害が起こることがあるからです。そのような使い方自体、お奨めしません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2022年6月17日 8:46
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    ご回答いただきありがとうございます。

    また返信できない状況にいたため回答が遅くなり申し訳ございません。

    ご指摘いただいている優先DNSと代替DNSサーバーの設定は下記の通りとなっています。

     1.優先DNSサーバー:127.0.0.1

     2.代替DNSサーバー:切り離された他のドメインコントローラー

    この状況で、先に示した通り名前解決ができないのは、他の要素に起因しているのでしょうか。

    ドメインコントローラの切り離しが非推奨なのは承知しているのですが、ステージング環境という独自性を

    考慮すると他の選択肢が見当たらなかった次第です。

    ステージング環境で検証が終了したのちには、市販のADに対応したバックアップソフトでバックアップから

    元に戻すことを行っております。

    2022年6月30日 2:53
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、結論から申し上げると、ドメインコントローラーの正常性は「複製が正常に行われている」ことで担保される部分があります。その状況が異常な場合、手持ちのActive Directoryデータベースが「システム全体に対して正統性があるか」を確認して動作を制限するケースもあり、異常な状態での「あるべき動作」を、予言者のように言い当てることは、少なくとも私には難しいです(そういう神がかりな方もいるかもしれませんが)。詳細に調べないと原因は不明ですが、私であればコストパフォーマンスが著しく悪いのだから、採用しないと思います。

    何が何でも切断したうえ、検証環境に一時的に使いたい、という場合、手動で、

    • FSMO役割を切断されたドメインコントローラーに強制割り当てする
    • 複製関係にある他ドメインコントローラー情報をすべて削除し、1台構成相当に変更する

    といったことをすれば、他の影響を排除できます。手順の詳細は以下などがありますが、一度切断したものを再接続することはできません。

    AD DS サーバー メタデータをクリーンアップする | Microsoft Docs

    利用後に再組み込みしたい、という場合は、切断したドメインコントローラーが起動不可になった前提でのフルリストアが必要です。サードパーティのバックアップソフトの仕様は不明ですが、データベース情報部分のみの簡単なリストアは、不整合等の問題が発生する可能性が大なので、全くお奨めしません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2022年7月6日 6:37
    |
    モデレータ