none
ADで必要なDNSのレコードは追加しているはずなのにADが利用できない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    ADで必要なDNSのレコードは追加しているはずなのにADが利用できない、
    他に見るべきところがあるか教えて下さい。

    現在 本番環境で動いていている AというDCと BというDC (両方共仮想環境で動いています)の
    検証環境の構築をしています。
    閉じたネットワーク(インターネットにも出れないネットワークになります)にhyperVの親機をおいて
    AとBのエクスポートしたデータ持って来て 検証環境で動かそうとしています。
    新しく検証環境用のDNS(Windowsサーバー)を作って
    必要なレコード(C:\Windows\System32\config\netlogon.dnsで確認)を追加したのですが
    各種ツールを起動するとDCが見つからない状態になってしまいます。
    もともとDNSサーバーは WindowsサーバーではなかったのでAD統合は利用していなかった(動的変更も許可していない)ので、
    問題ないと踏んでいたのですが上手く行きません。

    インポート直後の起動直後は DCが見つかり各種ツールが起動するのですが
    >数分後ツールを起動すると
    「名前付け情報を検索できません 理由:指定されたドメインがないか、またはアクセスできません。・・」と言うエラーがでてしまいます。
    このことから DNSのキャシュが新しいDNSの情報で上書きされたためNGになったのかと考えています。
    DNS自体は、逆引き正引き問題ない状態です。

    以上です。
    よろしくお願いします。

    • 編集済み hideri 2016年4月6日 10:48
    2016年4月6日 10:40
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、いったん「整理」した方がいいように思います。

    簡単にいうと、ドメインコントローラとしては、

    • SRVレコード更新はnetlogon機能によって行われる
    • Aレコード更新はDNS動的更新によって行われる
    • 対象先DNSゾーンには「DNS動的更新」が制限なく実行できること(除くAD統合ゾーン)

    が必要です。これらを妨げる条件を「ムリにかいくぐる」のではなく、取り除く方向で検討されるといいと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 佐伯玲 2016年5月25日 6:57
    2016年4月25日 2:50
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    いろいろありがとうございます。

    ADがきちんと動いていない状態と、ドメインコントローラのポリシーでの制御の2つが影響していました。

    ひとつ目のADがきちんと動いてなかった件ですが、dcdiagコマンドで確認した所

    NETLOGONとSYSVOLの共有がされてない事に気づき、再度共有した所ADが利用できるようになりました。

    その後DNSに登録させようとした所やはりエラーが出るのでポリシーを再度確認した所

    ドメインコントローラ用のポリシーでも動的登録を不可にしていたため利用できない状態でした。

    こちらのポリシーを変更した所登録できるようになりました。

    一つ一つ取り除くことが必要でした。

    いろいろとご回答頂きありがとうございました。


    • 編集済み hideri 2016年5月24日 6:59
    • 回答としてマーク 佐伯玲 2016年5月25日 6:57
    2016年5月24日 6:57
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、本当に「必要なDNS情報はDNSサーバに記載した」のでしょうか?Active Directoryでは以下の2つのDNSゾーンについて、情報が整備されていなければいけません。

    たとえばexample.comであれば

    • example.com
    • _msdcs.example.com

    が、両方必要です。使い方としてうえのゾーンは「ドメイン固有の情報」を、したのゾーンは「フォレスト全体での情報」が記録されており、両方ないときちんと動作しません。

    外部DNSサーバ(非Active Directory複製ゾーン)であれば、_msdcsはexample.comの「サブドメイン」として扱われるため、example.com内部に一緒に収められますが、この情報がnetlogon.dnsに書いていなかった可能性はあります。

    率直にいえば、おっしゃる状況だけでは確かなことはわかりません。最低限でも「いまDNSサーバに登録されている全情報(レコード類のすべて)」を知る必要がありますが、おそらくそれはできないでしょう(システム情報の漏えいにつながるため)。

    したがって、質問者さんができる一番簡単な解決方法は、以下の方法かと思います。

    1. Microsoft DNSで(以前のゾーンは削除したうえ)<Active Directoryドメイン名>の[プライマリゾーン]を再作成する
    2. [動的更新]設定で「非セキュリティ保護およびセキュリティ保護の両方による動的更新を許可する」を選択する
    3. その状態でドメインコントローラの参照先DNSサーバに指定すると、動的更新により自動的に登録される(netlogonサービスを再起動してください)
    4. 各ドメインコントローラの情報全部が登録されたら、DNSサーバの動的更新設定を「動的更新を許可しない」に設定しなおす

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年4月7日 6:25
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます

    動的登録で後からでも登録できると思っていませんでした・・・
    以前のゾーンを削除して試したのですが現在ドメインAで

    「次のエラーのため1つ以上のDNSレコードの動的登録、または登録解除に失敗しましたローカルシステムに構成されたDNSサーバーはありません」

    とイベントログが出てDNSにレコードが追加されない状態になっています。
    ドメイン側のネットワークの設定でDNSは指定して 
    TCP/IPの詳細設定で「この接続のアドレスをDNSに登録する」にチェックは入っています。
    Aサーバー用のAレコードとPTRレコードは手動で追加しております

    一つ気になるのが、DNSはワークグループで利用している点です。(プライマリDNSサフィックスの設定はしています)
    あと3.で書かれていた「ドメインコントローラの参照先DNSサーバに指定」というのは
    ネットワークアダプタでのDNSの指定ということでしょうか?


    • 編集済み hideri 2016年4月7日 9:49
    2016年4月7日 9:47
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、したのようにしてもらえればよいように思います。

    1. ワークグループのDNSサーバの[プライマリDNSサフィックス]をドメインコントローラのDNS名と同じに設定する
      https://www.rcnp.osaka-u.ac.jp/Divisions/CN/i2006/usersguide/tipsfile/dnssuffix.html
    2. DNSサーバ上で[ドメイン名]のプライマリゾーンを作成し、[動的更新]を「非セキュリティ保護およびセキュリティ保護の両方による動的更新を許可する」に設定する
    3. ドメインコントローラの(ネットワークアダプタでの)DNS設定をワークグループDNSサーバのIPアドレスに設定する
    4. ドメインコントローラ側でnetlogonサービスを再起動する
    5. ドメインコントローラ側でipconfig /registerdnsを実行する

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年4月8日 0:53
    2016年4月7日 11:39
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    詳しい手順本当にありがとうございます。
    頂いた手順で確認していた所どちらのサーバーに問題があるかが判明しました。
    DCでipconfig /registerdnsを実行した所、両サーバーとも「DNSレコードの登録に失敗しました:この作業を完了するための十分な記憶域がありません」と表示され
    登録できませんでした。
    メモリが容量が問題なのかと確認するとHDDの容量は半分も使ってませんし
    CPUはADと証明局だけ利用してるサーバーで2Gに設定していて使用率も40%ほど
    一旦試しで8Gまで増やしてみたのですが、エラーは変わらずじまいでして現在調べている最中です。
    DNSがおかしくないかの確認で
    DCが入っている親サーバーにDCと同じ「プライマリDNSサフィックス」を付けipconfig /registerdnsを実行した所
    問題なくDNSに登録されましたのでDC側の問題である可能性が高そうです。
    2016年4月8日 2:48
    |
  • Question
    サインインして投票
    0
    サインインして投票

    すみません 原因が判明しました。

    本番環境ではポリシーで動的更新を無効にしていることを思い出しました。

    テスト環境に持って来たデータでポリシーの変更をしようとしたところDCが見つからずに「グループポリシー管理」が動かない状態なので

    再度エクスポート直後のデータで有効にして試してみます!


    2016年4月8日 3:35
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、いったん「整理」した方がいいように思います。

    簡単にいうと、ドメインコントローラとしては、

    • SRVレコード更新はnetlogon機能によって行われる
    • Aレコード更新はDNS動的更新によって行われる
    • 対象先DNSゾーンには「DNS動的更新」が制限なく実行できること(除くAD統合ゾーン)

    が必要です。これらを妨げる条件を「ムリにかいくぐる」のではなく、取り除く方向で検討されるといいと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 佐伯玲 2016年5月25日 6:57
    2016年4月25日 2:50
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    いろいろありがとうございます。

    ADがきちんと動いていない状態と、ドメインコントローラのポリシーでの制御の2つが影響していました。

    ひとつ目のADがきちんと動いてなかった件ですが、dcdiagコマンドで確認した所

    NETLOGONとSYSVOLの共有がされてない事に気づき、再度共有した所ADが利用できるようになりました。

    その後DNSに登録させようとした所やはりエラーが出るのでポリシーを再度確認した所

    ドメインコントローラ用のポリシーでも動的登録を不可にしていたため利用できない状態でした。

    こちらのポリシーを変更した所登録できるようになりました。

    一つ一つ取り除くことが必要でした。

    いろいろとご回答頂きありがとうございました。


    • 編集済み hideri 2016年5月24日 6:59
    • 回答としてマーク 佐伯玲 2016年5月25日 6:57
    2016年5月24日 6:57
    |