こんにちは。いつもお世話になっております。
昨年、ADMTでWindows2003サーバーから2008にATMTを使って移行しました。
全てのPCの移行が終わり、旧ドメインがぶら下がったままになっているので、電源を落としました。
すると、電源を落した後にあるPCがドメインログオンはできたものの、ファイルサーバーのアクセス権のあるフォルダが参照できないという現象が発生しました。ドメインサーバーを起動後したところ、参照できるようになりました。
次に電源を切るのと同じことですが、旧ドメインサーバーのLANケーブルを抜いたら、再度参照できない状態になりましたが、認証ダイヤログが出てきたので、新ドメインのアカウントで認証したところ、参照できるようになりました。
しばらくその状態で何も起こらなかったので、数日LANケーブルを抜いたままにしていたところ、今度は、ドメインにログオンできないアカウントが出てきました。ログを見ると、下記のようなメッセージが並んでいました。
NETLOGON[ID:5722] コンピューター **** からのセッション設定を認証できませんでした。セキュリティ データベースで参照されたアカウント名は ****$ です。次のエラーが発生しました: アクセスが拒否されました。
Microsoft-Windows-DfsSvc [ID:14550] DFS 名前空間サービスは、このドメイン コントローラーでフォレスト間の信頼情報を初期化できませんでした。操作は定期的に再試行されます。リターンコードはレコード データに格納されています。
NETLOGON[ID:5719] 次の理由のため、このコンピューターはドメイン *****のドメイン コントローラーの セキュリティで保護されたセッションをセットアップできませんでした: 現在、ログオン要求を処理できるログオン サーバーはありません。これにより、認証の問題が発生する可能性があります。このコン ピューターがネットワークに接続されていることを確認してください。 問題が解決されない場合は、ドメイン管理者に問い合わせてください。
仕方なく、ドメインを抜けて、再度参加し直したところ、元通りログオンして通常に使える状態になりました。
ログオンキャッシュの情報が無くなるにつれ、そうしたPCが日々何台か出てきて、一斉にドメイン入り直しという作業が起こることを危惧しています。
お作法ですと、旧ドメインに対しては、DCPROMO.EXE でドメインコントローラの降格を行い、ドメインから離脱、という手順で切り離すとのことですが、何台こうした状況が発生するのか、何が原因なのかよく判らないので、その後の措置を躊躇っています。
どの端末でそうした状態になるのかが判れば、計画的にドメインの入り直し作業を行うことが出来ると思うのですが、各アカウントの認証先が判るような情報はサーバー上に存在するのでしょうか?
