none
ActiveDirectoryの同期ができずドメインの変更ができない RRS feed

  • 質問

  • 同一フォレスト内でそれぞれがドメインコントローラーで別サイトになっています。

    DC-1、DC-2

    DC-1上のActiveDirectoryユーザーとコンピューターでドメイン変更をDC-2にしたいのですが「ドメイン名DC-2は見つかりませんでした。理由:サーバーは使用可能ではありません。」となって変更できません。逆からはDC-2上でDC-1へのドメイン変更はできています。

    同期がうまくできていないと思い、repadmin /showreplを実行すると「・・・最後の試行は、失敗しました。結果は 1908 (0x774):このドメインのドメイン コントローラーが見つかりません。」となります。

    なにか解決する方法があればご教授いただければと思います。よろしくお願いいたします。

    2018年1月11日 3:54

回答

  • チャブーンです。

    この件の原因ですが、SRVレコードにDC-2がない(解決できない)、ことが原因ではないでしょうか。したの結果からわかります。

    工場.xxx.local  internet address = 192.168.24.100
    DC-1.xxx.local  internet address = 192.168.1.50
    データセンター.xxx.local internet address = 192.168.250.1
    支店1.xxx.local  internet address = 192.168.100.100

    やるべきことですが、以下のようになると思います。

    1. DC-2の参照先DNSサーバーを「優先:192.168.1.50/代替:127.0.0.1」で設定する
    2. DC-2上で「NetLogonサービス」を再起動する
    3. DC-1上でnslookup -type=srv _ldap._tcp.xxx.localを実行し、DC-2の「internet address」が表示されることを確認する
    4. まずDC-1上でrepadmin /syncall /PeAを実行し、そのあと他のサーバ(工場、データセンター、支店1)で同じコマンドを実行し、最後にDC-2上で実行する(コマンドの大文字小文字は守ってください)
    5. DC-1上でipconfig /flushdnsコマンドを実行する

    こうすると、DC-1上でDC-2の名前解決ができるようになると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年1月18日 1:54
    モデレータ
  • チャブーンです。

    ドメインコントローラは「DNSのSRVレコード」で相手ドメインコントローラを見つけます。SRVレコードは自分自身か相手ドメインコントローラ上にしかありません。ですからISPのDNSサーバ、社内でインターネットアクセスに使うDNSサーバを参照させた場合、必ず失敗します。

    両ドメインコントローラで以下の過去ログにあるような「DNS参照先設定」(私が回答した部分です)を行ってください。それをしない限り直らない、ということになります。

    https://social.technet.microsoft.com/Forums/ja-JP/40af6a8c-cf2c-42c3-af81-3c079713583a/activedirectorybpa?forum=sqlserverja

    違う場合は、ネットワーク設定の詳しい状況を教えてください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年1月11日 4:03
    モデレータ
  • チャブーンです。

    ネットワーク設定の確認ですが、以下が必要です。とくに知りたいのは優先DNSサーバーと代替DNSサーバーがどうなっているか、です。

    • IPアドレス
    • ネットワークマスク
    • デフォルトゲートウェイ
    • 参照先DNSサーバー(優先DNSサーバー)
    • 参照先DNSサーバー(代替DNSサーバー)

    またDNSサーバーゾーンの確認も必要です。したのコマンド結果の全文が必要です。

    nslookup -type=srv _ldap._tcp.<ドメインDNS名>

    IPアドレス・nslookupの結果は2台のサーバー両方の情報が必要です。ただしドメイン名等社内の情報は伏せて投稿してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2018年1月14日 5:20
    モデレータ
  • チャブーンです。

    この原因ですが、おそらく、したの下線部分の設定が原因です。

    ・DC-1
    IP:192.168.1.50
    SN:255.255.255.0
    DG:192.168.1.254
    DNS1:127.0.0.1
    DNS2:192.168.24.100(社内ファイルsvr:同一建屋)
    DNS3:8.8.8.8
    DNS4:192.168.250.1(データセンタードメインsvr)

    ・DC-2(別拠点)
    IP:192.168.105.50
    SN:255.255.255.0
    DG:192.168.105.254
    DNS1:127.0.0.1
    DNS2:192.168.1.50(DC-1)
    DNS3:192.168.24.100(社内ファイルsvr:DC-2から見たら別拠点)

    うえの各DNSサーバは自ドメインと無関係のDNSサーバだと思います。その場合自ドメイン関係のSRVレコードが参照できませんので、おっしゃるエラーが発生します。これらのDNSサーバの設定は、すべて取り除いてください。DC-1の参照先DNSにはDC-2を含めてください。

    そうすると、社内DNSやインターネットの名前解決ができない、とお思いかもしれませんが、その場合DNSサーバで「フォワーダ」設定を行えば、問題がありません。設定の仕方は、したの資料を参考にしてください。

    http://www.atmarkit.co.jp/ait/articles/1706/23/news042.html

    ちなみに、この問題については、過去にお答えしたことがありますので、以下の過去ログを参照してください。

    https://social.technet.microsoft.com/Forums/ja-JP/6809f680-28c2-4ff1-93cd-0b6db60e4828/dns?forum=activedirectoryja


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 8ik,8ik, 2018年1月16日 6:31
    2018年1月16日 0:52
    モデレータ
  • チャブーンです。

    DNSの設定による、内部の名前解決が反映してないか、SRVレコードが正しく登録されていない可能性があります。

    まず、DNSサーバーゾーンの確認が必要です。前回もコメントしましたが、したのコマンド結果の全文が必要です。

    nslookup -type=srv _ldap._tcp.<ドメインDNS名>

    これの意味ですが、たとえばドメインコントローラの「FQDN」が「DC-1.example.com」という名前であれば「nslookup -type=srv _ldap._tcp.example.com」で実行してください。DC-1とDC-2の両方で実行すれば、SRVレコードが正しく入っているかわかります。

    それで問題がなければ、DC-1とDC-2を「1台ずつ交互に」再起動させてください。DC-1を再起動し、再起動が完了したらDC-2を再起動させる、ということです。

    nslookupは問題ないですが、再起動は業務に影響が出ますので、利用者の影響のない時間帯に実施してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 8ik,8ik, 2018年1月16日 6:31
    2018年1月16日 2:59
    モデレータ
  • チャブーンです。

    一応コメントしておきます。

    上記コマンドの結果は前回IPアドレスと一緒に記載した内容そのままです。あれがすべてです。
    もちろんご指摘いただいたFQDNも正しいものを入力して実行しています。

    いただいたコマンド実行結果ですが、コマンドが

    nslookup -type=srv _ldap._tcp.DC-1

    こうなっていますよね。DC-1のところに入れるのはDC-1のFQDNではなく、FQDNのうちの、ホスト名を含まないDNSドメイン名部分だけを入れる必要があります。なのでコマンド内容に「DC-1」「DC-2」が入っていたら、その時点で正しくありません。

    お願いしたのは、コマンドを、DC-1とDC-2それぞれの「コマンドプロンプト」で実施してください、という意味です。したの資料をみていただければ、SRVレコードの表示方法がなんなのか、お分かりいただけるとおもいます。

    https://support.microsoft.com/en-us/help/816587/how-to-verify-that-srv-dns-records-have-been-created-for-a-domain-cont

    なおドメインコントローラの再起動がどうしても不可能、ということであれば、下の動作をDC-1、DC-2の両方で実行すれば、改善する可能性はあります。

    1. NetLogonサービスの再起動
    2. ipconfig /flushdns コマンドの実行

    あくまで可能性ですので、これでだめなら、再起動を試していただく(AD DSサービスの再起動でもよいですが、これはドメインコントローラの再起動と同義です)方向になるかと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年1月16日 12:59
    モデレータ
  • チャブーンさん

    以下に情報を記載します

    ・DC-1
    IP:192.168.1.50
    SN:255.255.255.0
    DG:192.168.1.254
    DNS1:127.0.0.1
    DNS2:192.168.24.100(社内ファイルsvr:同一建屋)
    DNS3:8.8.8.8
    DNS4:192.168.250.1(データセンタードメインsvr)


    ・DC-2(別拠点)
    IP:192.168.105.50
    SN:255.255.255.0
    DG:192.168.105.254
    DNS1:127.0.0.1
    DNS2:192.168.1.50(DC-1)
    DNS3:192.168.24.100(社内ファイルsvr:DC-2から見たら別拠点)


    <DC-1上から>
    C:\Users>nslookup -type=srv _ldap._tcp.DC-1
    サーバー:  localhost
    Address:  127.0.0.1

    *** localhost が _ldap._tcp.DC-2 を見つけられません: Non-existent domain


    C:\Users>nslookup -type=srv _ldap._tcp.DC-2
    サーバー:  localhost
    Address:  127.0.0.1

    *** localhost が _ldap._tcp.DC-2 を見つけられません: Non-existent domain


    <DC-2上から>
    C:\Users>nslookup -type=srv _ldap._tcp.DC-2
    サーバー:  localhost
    Address:  127.0.0.1

    *** localhost が _ldap._tcp.DC-2 を見つけられません: Non-existent domain

    よろしくお願いいたします。

    • 回答としてマーク 8ik,8ik, 2018年1月17日 4:47
    2018年1月15日 4:05

すべての返信

  • チャブーンです。

    ドメインコントローラは「DNSのSRVレコード」で相手ドメインコントローラを見つけます。SRVレコードは自分自身か相手ドメインコントローラ上にしかありません。ですからISPのDNSサーバ、社内でインターネットアクセスに使うDNSサーバを参照させた場合、必ず失敗します。

    両ドメインコントローラで以下の過去ログにあるような「DNS参照先設定」(私が回答した部分です)を行ってください。それをしない限り直らない、ということになります。

    https://social.technet.microsoft.com/Forums/ja-JP/40af6a8c-cf2c-42c3-af81-3c079713583a/activedirectorybpa?forum=sqlserverja

    違う場合は、ネットワーク設定の詳しい状況を教えてください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年1月11日 4:03
    モデレータ
  • チャプーンさん

    早速のご回答ありがとうございます。

    127.0.0.1にDNSを変更しましたが現象が変わりませんでした。ネットワーク設定はどのような情報をお伝えしたらよろしいでしょうか?

    よろしくお願いします。

    2018年1月12日 1:21
  • チャブーンです。

    ネットワーク設定の確認ですが、以下が必要です。とくに知りたいのは優先DNSサーバーと代替DNSサーバーがどうなっているか、です。

    • IPアドレス
    • ネットワークマスク
    • デフォルトゲートウェイ
    • 参照先DNSサーバー(優先DNSサーバー)
    • 参照先DNSサーバー(代替DNSサーバー)

    またDNSサーバーゾーンの確認も必要です。したのコマンド結果の全文が必要です。

    nslookup -type=srv _ldap._tcp.<ドメインDNS名>

    IPアドレス・nslookupの結果は2台のサーバー両方の情報が必要です。ただしドメイン名等社内の情報は伏せて投稿してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2018年1月14日 5:20
    モデレータ
  • チャブーンさん

    以下に情報を記載します

    ・DC-1
    IP:192.168.1.50
    SN:255.255.255.0
    DG:192.168.1.254
    DNS1:127.0.0.1
    DNS2:192.168.24.100(社内ファイルsvr:同一建屋)
    DNS3:8.8.8.8
    DNS4:192.168.250.1(データセンタードメインsvr)


    ・DC-2(別拠点)
    IP:192.168.105.50
    SN:255.255.255.0
    DG:192.168.105.254
    DNS1:127.0.0.1
    DNS2:192.168.1.50(DC-1)
    DNS3:192.168.24.100(社内ファイルsvr:DC-2から見たら別拠点)


    <DC-1上から>
    C:\Users>nslookup -type=srv _ldap._tcp.DC-1
    サーバー:  localhost
    Address:  127.0.0.1

    *** localhost が _ldap._tcp.DC-2 を見つけられません: Non-existent domain


    C:\Users>nslookup -type=srv _ldap._tcp.DC-2
    サーバー:  localhost
    Address:  127.0.0.1

    *** localhost が _ldap._tcp.DC-2 を見つけられません: Non-existent domain


    <DC-2上から>
    C:\Users>nslookup -type=srv _ldap._tcp.DC-2
    サーバー:  localhost
    Address:  127.0.0.1

    *** localhost が _ldap._tcp.DC-2 を見つけられません: Non-existent domain

    よろしくお願いいたします。

    • 回答としてマーク 8ik,8ik, 2018年1月17日 4:47
    2018年1月15日 4:05
  • チャブーンです。

    この原因ですが、おそらく、したの下線部分の設定が原因です。

    ・DC-1
    IP:192.168.1.50
    SN:255.255.255.0
    DG:192.168.1.254
    DNS1:127.0.0.1
    DNS2:192.168.24.100(社内ファイルsvr:同一建屋)
    DNS3:8.8.8.8
    DNS4:192.168.250.1(データセンタードメインsvr)

    ・DC-2(別拠点)
    IP:192.168.105.50
    SN:255.255.255.0
    DG:192.168.105.254
    DNS1:127.0.0.1
    DNS2:192.168.1.50(DC-1)
    DNS3:192.168.24.100(社内ファイルsvr:DC-2から見たら別拠点)

    うえの各DNSサーバは自ドメインと無関係のDNSサーバだと思います。その場合自ドメイン関係のSRVレコードが参照できませんので、おっしゃるエラーが発生します。これらのDNSサーバの設定は、すべて取り除いてください。DC-1の参照先DNSにはDC-2を含めてください。

    そうすると、社内DNSやインターネットの名前解決ができない、とお思いかもしれませんが、その場合DNSサーバで「フォワーダ」設定を行えば、問題がありません。設定の仕方は、したの資料を参考にしてください。

    http://www.atmarkit.co.jp/ait/articles/1706/23/news042.html

    ちなみに、この問題については、過去にお答えしたことがありますので、以下の過去ログを参照してください。

    https://social.technet.microsoft.com/Forums/ja-JP/6809f680-28c2-4ff1-93cd-0b6db60e4828/dns?forum=activedirectoryja


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 8ik,8ik, 2018年1月16日 6:31
    2018年1月16日 0:52
    モデレータ
  • チャブーンさん

    お世話になります。ご指摘いただいた通り、以下の設定に変更してみましたが現象変わらずでした。

    ほかに何かありますでしょうか?よろしくお願いいたします。

    ・DC-1
     IP:192.168.1.50
     SN:255.255.255.0
     DG:192.168.1.254
     DNS1:127.0.0.1
     DNS2:192.168.105.50

    ・DC-2(別拠点)
     IP:192.168.105.50
     SN:255.255.255.0
     DG:192.168.105.254
     DNS1:127.0.0.1
     DNS2:192.168.1.50

    2018年1月16日 2:26
  • チャブーンです。

    DNSの設定による、内部の名前解決が反映してないか、SRVレコードが正しく登録されていない可能性があります。

    まず、DNSサーバーゾーンの確認が必要です。前回もコメントしましたが、したのコマンド結果の全文が必要です。

    nslookup -type=srv _ldap._tcp.<ドメインDNS名>

    これの意味ですが、たとえばドメインコントローラの「FQDN」が「DC-1.example.com」という名前であれば「nslookup -type=srv _ldap._tcp.example.com」で実行してください。DC-1とDC-2の両方で実行すれば、SRVレコードが正しく入っているかわかります。

    それで問題がなければ、DC-1とDC-2を「1台ずつ交互に」再起動させてください。DC-1を再起動し、再起動が完了したらDC-2を再起動させる、ということです。

    nslookupは問題ないですが、再起動は業務に影響が出ますので、利用者の影響のない時間帯に実施してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 8ik,8ik, 2018年1月16日 6:31
    2018年1月16日 2:59
    モデレータ
  • チャブーンさん

    上記コマンドの結果は前回IPアドレスと一緒に記載した内容そのままです。あれがすべてです。

    もちろんご指摘いただいたFQDNも正しいものを入力して実行しています。

    こうなると再起動しかないですかねぇ。

    あいにく再起動は簡単にできない環境にありまして・・・

    また何かあれば知恵をお貸しください。

    ありがとうございました。

    2018年1月16日 6:29
  • チャブーンです。

    一応コメントしておきます。

    上記コマンドの結果は前回IPアドレスと一緒に記載した内容そのままです。あれがすべてです。
    もちろんご指摘いただいたFQDNも正しいものを入力して実行しています。

    いただいたコマンド実行結果ですが、コマンドが

    nslookup -type=srv _ldap._tcp.DC-1

    こうなっていますよね。DC-1のところに入れるのはDC-1のFQDNではなく、FQDNのうちの、ホスト名を含まないDNSドメイン名部分だけを入れる必要があります。なのでコマンド内容に「DC-1」「DC-2」が入っていたら、その時点で正しくありません。

    お願いしたのは、コマンドを、DC-1とDC-2それぞれの「コマンドプロンプト」で実施してください、という意味です。したの資料をみていただければ、SRVレコードの表示方法がなんなのか、お分かりいただけるとおもいます。

    https://support.microsoft.com/en-us/help/816587/how-to-verify-that-srv-dns-records-have-been-created-for-a-domain-cont

    なおドメインコントローラの再起動がどうしても不可能、ということであれば、下の動作をDC-1、DC-2の両方で実行すれば、改善する可能性はあります。

    1. NetLogonサービスの再起動
    2. ipconfig /flushdns コマンドの実行

    あくまで可能性ですので、これでだめなら、再起動を試していただく(AD DSサービスの再起動でもよいですが、これはドメインコントローラの再起動と同義です)方向になるかと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年1月16日 12:59
    モデレータ
  • チャブーンさん

    私の知識不足と説明不足でご丁寧なご説明ありがとうございます。

    改めて実行した結果を記載します。再度、ご教授いただけますと助かります。

    □DC-1にて実施
    C:\Users>nslookup -type=srv _ldap._tcp.xxx.local
    サーバー:  localhost
    Address:  127.0.0.1

    _ldap._tcp.xxx.local       SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = 支店1.xxx.local
    _ldap._tcp.xxx.local       SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = 工場.xxx.local
    _ldap._tcp.xxx.local       SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = DC-1.xxx.local
    _ldap._tcp.xxx.local       SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = データセンター.xxx.local
    支店1.xxx.local  internet address = 192.168.100.100
    工場.xxx.local  internet address = 192.168.24.100
    DC-1.xxx.local  internet address = 192.168.1.50
    データセンター.xxx.local internet address = 192.168.250.1

    C:\Users>

    □DC-2にて実施
    C:\Users>nslookup -type=srv _ldap._tcp.xxx.local
    サーバー:  localhost
    Address:  127.0.0.1

    _ldap._tcp.xxx.local       SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = 工場.xxx.local
    _ldap._tcp.xxx.local       SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = DC-1.xxx.local
    _ldap._tcp.xxx.local       SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = データセンター.xxx.local
    _ldap._tcp.xxx.local       SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = 支店1.xxx.local
    工場.xxx.local  internet address = 192.168.24.100
    DC-1.xxx.local  internet address = 192.168.1.50
    データセンター.xxx.local internet address = 192.168.250.1
    支店1.xxx.local  internet address = 192.168.100.100

    C:\Users>

    よろしくお願いいたします。



    • 編集済み 8ik,8ik, 2018年1月17日 1:06
    2018年1月17日 0:38
  • チャブーンです。

    この件の原因ですが、SRVレコードにDC-2がない(解決できない)、ことが原因ではないでしょうか。したの結果からわかります。

    工場.xxx.local  internet address = 192.168.24.100
    DC-1.xxx.local  internet address = 192.168.1.50
    データセンター.xxx.local internet address = 192.168.250.1
    支店1.xxx.local  internet address = 192.168.100.100

    やるべきことですが、以下のようになると思います。

    1. DC-2の参照先DNSサーバーを「優先:192.168.1.50/代替:127.0.0.1」で設定する
    2. DC-2上で「NetLogonサービス」を再起動する
    3. DC-1上でnslookup -type=srv _ldap._tcp.xxx.localを実行し、DC-2の「internet address」が表示されることを確認する
    4. まずDC-1上でrepadmin /syncall /PeAを実行し、そのあと他のサーバ(工場、データセンター、支店1)で同じコマンドを実行し、最後にDC-2上で実行する(コマンドの大文字小文字は守ってください)
    5. DC-1上でipconfig /flushdnsコマンドを実行する

    こうすると、DC-1上でDC-2の名前解決ができるようになると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年1月18日 1:54
    モデレータ
  • チャブーンさん

    ご返信ありがとうございます。

    上記の3.の実行で「internet address」が表示されません。

    工場、データセンター、支店1は表示されます。

    ご教授、お願いいたします。

    2018年1月18日 2:13
  • チャブーンさん

    復旧しました。何が功を奏したかははっきりしないのですが同期とれるようになりました。

    ご指示いただいた処理を行ったことでタイムラグ的なものがあったのか昨日の段階では変化ありませんでしたが、

    今日確認したところドメインの変更もできるようになりました。

    ここで質問してご回答いただいて大変助かりました。(サーバー再起動を半分覚悟してましたので・・・)

    本当にありがとうございました。

    また何か困ったときにはここでご質問させていただきますのでご教授いただけましたら幸いです。


    • 編集済み 8ik,8ik, 2018年1月19日 1:51
    2018年1月19日 1:23