none
Active Directory が幽霊になってしまいました。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ADを2台のServer(Windows Server 2003)で共有していたのですが、メインのPCが故障して、サブのPCだけで稼動することになりました。
    しかし、サブのPCのため、AD認証する際、認証される時とされない時がでてくるようになり、また、システムが大変遅くなりました。
    「Active Directoryユーザーとコンピュータ」でユーザー情報を変更しようとおもっても、”指定されたドメインがないか、またはアクセスできません”と表示されプロパティが開けないこともあるかと思うと、すんなり情報の変更ができたり、数秒単位で交互に”できる”・”できない”と変わっていきます。
    サブのPCだけで、ADを稼動する設定にすれば、良いのでしょうが、なかなかうまく行きません。

    このような場合のADの変更方法に詳しい方、何卒、助けてください。

    よろしくお願いいたします。

    2009年9月17日 10:40
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票
    シングルドメインでドメインコントローラを2台配置していたが、そのうちの1台が故障したということでしょうか。

    まず以下などを参考にFSMOについての認識をし、現在どのサーバーがFSMOの役割を担っているかを確認します。
    Active DirectoryのFSMO役割を担当するサーバを調査する(コマンド・プロンプト編)
    http://www.atmarkit.co.jp/fwin2k/win2ktips/439fsmorole/fsmorole.html

    本来FSMOの役割を担っているサーバーをはずす場合には、以下の手順で役割の転送を行います。
    Windows Server 2003 で FSMO の役割を確認して転送する方法
    http://support.microsoft.com/kb/324801/ja


    ただ今回のように故障などで役割の転送が出来ない場合には、役割を強制します。
    1.コマンドプロンプトで[ntdsutil]と入力して[Enter]します。
    2.[ntdsutil:]プロンプトで[roles]と入力し、[Enter]します。
    3.[fsmo maintenance:]プロンプトで[commections]と入力し[Enter]します。
    4.[server connections:]プロンプトで[connect to server <サーバー名>]と入力し、[Enter]します。
    5.[server connections:]プロンプトで[quit]と入力し、[Enter]します。
    6.[fsmo maintenance:]プロンプトで次のいずれかのコマンドを入力し、[Enter]します。
      →seize PDC
      →seize RID master
      →seizeinfrastructure master
      →seize schema master
      →sieze domain naming master
    7.[fsmo maintenance:]プロンプトで[quit]と入力し、[Enter]します。
    8.[ntdsutil:]プロンプトで[quit]と入力し、[Enter]します。

    以上の役割の強制も含めて。以下も確認しておいたほうがいいと思います。
    Active Directory の障害回復
    http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/support/adrecov.mspx
    2009年9月17日 13:45
    |
  • Question
    サインインして投票
    0
    サインインして投票
    そのような状況になったことがないので詳しくは分からないので、参考程度までに・・・
    まずは前回の回答などを参考に現在FSMOの役割を担っているサーバーを確認し、既に故障して存在しないサーバーがFSMOの役割を担っているのであれば、残ったサーバーで役割を強制する必要があると思います。

    また、残ったサーバーがグローバルカタログサーバーになっていない場合には、グローバルカタログサーバーにする必要もあると思います。
    [参考]
    Active Directoryのグローバル・カタログ(GC)サーバを調査/設定する
    http://www.atmarkit.co.jp/fwin2k/win2ktips/1177adgc/adgc.html


    >できれば、現在のADのユーザー情報をそのまま引継ぎ使用したいと考えています。
    >教えていただきました方法で、ADのユーザー情報がそのまま引き継がれるかどうか教えてください。
    現在の状況がはっきりと分からないので何ともいえません、別の識者の回答を待たれたほうがいいかもしれません。

    2009年9月19日 14:45
    |
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンです。

    ええと...いままで 2 台で使っていたドメインコントローラのうち 1 台が故障して元に戻せない状態になった、ということなのでしょうか。

    原因として、「Active Directory 上に以前のドメインコントローラ情報が残っているが、実際には存在しないため、おかしなことになってる」か、「クライアントが正しいDNSサーバを参照していない(壊れたドメインコントローラを指しているため)」のどちらかか、両方なのかもしれません。

    原因の細かいところを見切るためには、イベントログをはじめ細かいチェックが必要ですので、こういう無償掲示板では、まず対応できません。こういうケースでは、壊れたドメインコントローラ情報を全削除して、「残った 1 台のドメインコントローラでちゃんと動く」状態に直した方が、確実だと思います。

    壊れたドメインコントローラ情報を削除する方法については、KB216498 を参考にしてみてください。削除したあと、FSMO やグローバルカタログの割り当て、(現状なければ)DNSサーバのセットアップが必要なことがありますので、あわせてチェックしてみてください(OMEGATさんの回答が参考になるでしょう)。

    それがすんだら、クライアント側は「(残った)ドメインコントローラを」ネットワークの参照先DNSサーバとして設定すれば、うまく行くんじゃないかと思います。
    2009年9月25日 21:39
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    シングルドメインでドメインコントローラを2台配置していたが、そのうちの1台が故障したということでしょうか。

    まず以下などを参考にFSMOについての認識をし、現在どのサーバーがFSMOの役割を担っているかを確認します。
    Active DirectoryのFSMO役割を担当するサーバを調査する(コマンド・プロンプト編)
    http://www.atmarkit.co.jp/fwin2k/win2ktips/439fsmorole/fsmorole.html

    本来FSMOの役割を担っているサーバーをはずす場合には、以下の手順で役割の転送を行います。
    Windows Server 2003 で FSMO の役割を確認して転送する方法
    http://support.microsoft.com/kb/324801/ja


    ただ今回のように故障などで役割の転送が出来ない場合には、役割を強制します。
    1.コマンドプロンプトで[ntdsutil]と入力して[Enter]します。
    2.[ntdsutil:]プロンプトで[roles]と入力し、[Enter]します。
    3.[fsmo maintenance:]プロンプトで[commections]と入力し[Enter]します。
    4.[server connections:]プロンプトで[connect to server <サーバー名>]と入力し、[Enter]します。
    5.[server connections:]プロンプトで[quit]と入力し、[Enter]します。
    6.[fsmo maintenance:]プロンプトで次のいずれかのコマンドを入力し、[Enter]します。
      →seize PDC
      →seize RID master
      →seizeinfrastructure master
      →seize schema master
      →sieze domain naming master
    7.[fsmo maintenance:]プロンプトで[quit]と入力し、[Enter]します。
    8.[ntdsutil:]プロンプトで[quit]と入力し、[Enter]します。

    以上の役割の強制も含めて。以下も確認しておいたほうがいいと思います。
    Active Directory の障害回復
    http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/support/adrecov.mspx
    2009年9月17日 13:45
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答ありがとうございます。
    数年前の設定のため、どのような設定をしたか覚えていませんが、メインだったPCの下にサブPCを立てたような状態で稼動させていました。
    ADは、メイン・サブで共有していました。

    ユーザー情報を開くときに、
    「グローバル カタログの検出してメンバ一覧のアイコンを取得できません。」
    というメッセージもでてきます。

    ADのバックアップを試みてみましたが、復元ウィザードで System State のActive Directoryの変更日を見てみると、昨日ユーザー情報を変更しているにも関わらず、変更数年前の日付にとなっています。

    できれば、現在のADのユーザー情報をそのまま引継ぎ使用したいと考えています。
    教えていただきました方法で、ADのユーザー情報がそのまま引き継がれるかどうか教えてください。

    何卒、よろしくお願いいたいます。

    2009年9月18日 0:16
    |
  • Question
    サインインして投票
    0
    サインインして投票
    そのような状況になったことがないので詳しくは分からないので、参考程度までに・・・
    まずは前回の回答などを参考に現在FSMOの役割を担っているサーバーを確認し、既に故障して存在しないサーバーがFSMOの役割を担っているのであれば、残ったサーバーで役割を強制する必要があると思います。

    また、残ったサーバーがグローバルカタログサーバーになっていない場合には、グローバルカタログサーバーにする必要もあると思います。
    [参考]
    Active Directoryのグローバル・カタログ(GC)サーバを調査/設定する
    http://www.atmarkit.co.jp/fwin2k/win2ktips/1177adgc/adgc.html


    >できれば、現在のADのユーザー情報をそのまま引継ぎ使用したいと考えています。
    >教えていただきました方法で、ADのユーザー情報がそのまま引き継がれるかどうか教えてください。
    現在の状況がはっきりと分からないので何ともいえません、別の識者の回答を待たれたほうがいいかもしれません。

    2009年9月19日 14:45
    |
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンです。

    ええと...いままで 2 台で使っていたドメインコントローラのうち 1 台が故障して元に戻せない状態になった、ということなのでしょうか。

    原因として、「Active Directory 上に以前のドメインコントローラ情報が残っているが、実際には存在しないため、おかしなことになってる」か、「クライアントが正しいDNSサーバを参照していない(壊れたドメインコントローラを指しているため)」のどちらかか、両方なのかもしれません。

    原因の細かいところを見切るためには、イベントログをはじめ細かいチェックが必要ですので、こういう無償掲示板では、まず対応できません。こういうケースでは、壊れたドメインコントローラ情報を全削除して、「残った 1 台のドメインコントローラでちゃんと動く」状態に直した方が、確実だと思います。

    壊れたドメインコントローラ情報を削除する方法については、KB216498 を参考にしてみてください。削除したあと、FSMO やグローバルカタログの割り当て、(現状なければ)DNSサーバのセットアップが必要なことがありますので、あわせてチェックしてみてください(OMEGATさんの回答が参考になるでしょう)。

    それがすんだら、クライアント側は「(残った)ドメインコントローラを」ネットワークの参照先DNSサーバとして設定すれば、うまく行くんじゃないかと思います。
    2009年9月25日 21:39
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    OMEGAT さん、チャブーン さん、回答・アドバイスありがとうございます。

    てんって さん、その後問題は解消されましたか?
    てんって さんの現在の状況が気になりますが、皆様から案内いただいた内容が参考になられたのではないかと思いましたので、勝手ながら私の方で [回答としてマーク] のチェックを付けさせていただきました。
    よろしければ、その後の経緯などお知らせいただけると嬉しいです。


    ちなみに、残された DC は、DNS サーバーとしては稼働していましたか?
    (AD ドメインでは DNS サーバーが必須なので)

    また、これまでに DC 間の複製が正常に行えていたかどうかが重要になります。
    複製に問題がなければ、残された DC に FSMO や GC などの役割を与え、故障した DC の情報を削除すれば、特に問題なく AD としては稼働するはずです。
    (クライアント側の設定も必要であれば変更します)

    ただ、チャブーン さんのコメントにもありましたように、状況を把握するためには、確認すべき項目が多肢に渡るため、弊社有償サポートへご相談いただくのが確実かもしれません。


    - 参考情報
    Ntdsutil.exe を使用してドメイン コントローラに FSMO の役割を強制または転送する
    http://support.microsoft.com/default.aspx/kb/255504/ja

    ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法
    http://support.microsoft.com/kb/216498/ja


    それでは、これからも皆様の情報交換の場として、ぜひ TechNet フォーラムをご利用ください。

    ______________________________________
    マイクロソフト株式会社 フォーラムオペレーター 三沢健二

    2009年10月8日 4:47
    |
    モデレータ