none
Windows Server 2012 R2 Essensialで信頼関係が壊れる RRS feed

  • 質問

  • ココムクです。お世話になります。

    以下、原因不明で悩んでおります。対策等について教えていただければ幸いです。

    よろしくお願いいたします。

    Windows Server 2012 R2 Essensial を単独のADとして運用している支店があり、

    本店のADと信頼関係を結び、各種サブシステムの認証をドメインアカウントで出来る仕組みを使っています。

    この環境が、20日くらいの間隔で、信頼関係が壊れて本店のサブシステムの認証ができない事象が起こっています。

    何か原因となる要因はありますでしょか。

    ■状況

    信頼関係構築に使った支店側のWindows Server 2012 R2 Essensial 上のアカウントは

    信頼関係を構築時にDomain Adminsにし、信頼関係構築後、Domain Usersに変更しています。

    ▼信頼関係が壊れるときのトリガーイベント(たぶん)

    イベントID:7031
    Server Infrastructure License Service サービスは予期せぬ原因により終了し
    ました。このサービスの終了は 1 回目です。次の修正操作が 16 ミリ秒以内に
    実行されます: サービスの再開。
    
    --以下は、信頼関係を再構築する際に出ているのかもしれないエラー
    イベントID:5723
    コンピューター 'xxxxx' からのセッション セットアップは、指定した
    コンピューターによって 参照されている信頼アカウント 'ZZZZZZ'
    がセキュリティ データベースにないため失敗しました。
    
    イベントID:5805
    コンピューター xxxxx からのセッション設定を認証できませんでした。
    次のエラーが発生しました:アクセスが拒否されました。

    2014年10月27日 1:43

回答

  • こんばんは、Nasuです。

    私が把握している限り、約20日で信頼関係が破損するのはサーバーのシャットダウンが起因になっているのではないでしょうか。

    下記内容はEULAで定められている内容で、他ドメインとの信頼関係があるかをチェックしています。

    Active Directory。本ソフトウェアを最初にインストールした日から 30 日経過すると、本 ソフトウェアは、Active Directory ドメインの状態を定期的にチェックします。このチェックで は、以下の検証が行われます。 
    · 本ソフトウェアがドメイン コントローラーとしてインストールされている 
    · 本ソフトウェアに Flexible Single Master Operations (FSMO) の役割 (操作マスタ ーの役割ともいいます) が割り当てられている 
    · 本ソフトウェアがドメイン フォレストのルートにインストールされている 
    · ドメインに他のドメインとの信頼関係が含まれていない 
    これらのいずれかのテストに失敗した場合、以下の状況が発生します。 
    · 非準拠の警告が、本ソフトウェアにログインしているユーザーに、ログおよび正常性 アラートとして表示されます。 
    · 非準拠の状況が続いた場合、22 日目に本ソフトウェアによってサーバーがシャット ダウンされます。お客様は、シャットダウンの直後に本ソフトウェアを再起動すること ができます。 
    · 構成の修正が行われるまでは、本ソフトウェアは、21 暦日稼働した後、再度シャット ダウンを行います。お客様は、この 21 日の期間中に、本ライセンス条項に準拠す るように構成に必要な修正を行うことができます。 
    お客様が構成を修正すると、警告および自動シャットダウンは停止します。 

    また、ココムクさんが行われている内容はライセンス違反に当たるはずです。

    お客様は、本サーバーの Active Directory を構成しているドメイン内で本サーバー ソフトウェアを実行しなければなりません。 
    · ドメイン コントローラー (すべての Flexible Single Master Operation (FSMO) ロールが含まれる単一のサーバー) であること 
    · ドメイン フォレストのルートであること 
    · 子ドメインでないこと 
    · 他のドメインとの信頼関係がないこと 

    ライセンス違反はココムクさんにとってもMicrosoftにとっても良くありませんので、EULAを読んでみてライセンスに準拠する形に変更してください。

    所有済みマイクロソフト製品の使用許諾契約(EULA)の内容をWebで確認したい


    Satoru Nasu
    Microsoft MVP Windows Server for Small and Medium Business
    Blog:元「なんでもエンジニ屋」のダメ日記

    • 編集済み Satoru Nasu 2014年10月28日 1:13
    • 回答の候補に設定 佐伯玲 2014年10月28日 1:36
    • 回答としてマーク 佐伯玲 2014年10月31日 0:40
    2014年10月27日 15:01

すべての返信

  • こんばんは、Nasuです。

    私が把握している限り、約20日で信頼関係が破損するのはサーバーのシャットダウンが起因になっているのではないでしょうか。

    下記内容はEULAで定められている内容で、他ドメインとの信頼関係があるかをチェックしています。

    Active Directory。本ソフトウェアを最初にインストールした日から 30 日経過すると、本 ソフトウェアは、Active Directory ドメインの状態を定期的にチェックします。このチェックで は、以下の検証が行われます。 
    · 本ソフトウェアがドメイン コントローラーとしてインストールされている 
    · 本ソフトウェアに Flexible Single Master Operations (FSMO) の役割 (操作マスタ ーの役割ともいいます) が割り当てられている 
    · 本ソフトウェアがドメイン フォレストのルートにインストールされている 
    · ドメインに他のドメインとの信頼関係が含まれていない 
    これらのいずれかのテストに失敗した場合、以下の状況が発生します。 
    · 非準拠の警告が、本ソフトウェアにログインしているユーザーに、ログおよび正常性 アラートとして表示されます。 
    · 非準拠の状況が続いた場合、22 日目に本ソフトウェアによってサーバーがシャット ダウンされます。お客様は、シャットダウンの直後に本ソフトウェアを再起動すること ができます。 
    · 構成の修正が行われるまでは、本ソフトウェアは、21 暦日稼働した後、再度シャット ダウンを行います。お客様は、この 21 日の期間中に、本ライセンス条項に準拠す るように構成に必要な修正を行うことができます。 
    お客様が構成を修正すると、警告および自動シャットダウンは停止します。 

    また、ココムクさんが行われている内容はライセンス違反に当たるはずです。

    お客様は、本サーバーの Active Directory を構成しているドメイン内で本サーバー ソフトウェアを実行しなければなりません。 
    · ドメイン コントローラー (すべての Flexible Single Master Operation (FSMO) ロールが含まれる単一のサーバー) であること 
    · ドメイン フォレストのルートであること 
    · 子ドメインでないこと 
    · 他のドメインとの信頼関係がないこと 

    ライセンス違反はココムクさんにとってもMicrosoftにとっても良くありませんので、EULAを読んでみてライセンスに準拠する形に変更してください。

    所有済みマイクロソフト製品の使用許諾契約(EULA)の内容をWebで確認したい


    Satoru Nasu
    Microsoft MVP Windows Server for Small and Medium Business
    Blog:元「なんでもエンジニ屋」のダメ日記

    • 編集済み Satoru Nasu 2014年10月28日 1:13
    • 回答の候補に設定 佐伯玲 2014年10月28日 1:36
    • 回答としてマーク 佐伯玲 2014年10月31日 0:40
    2014年10月27日 15:01
  • Nasuさん

    ココムクです。

    ライセンス違反のご指摘ありがとうございます。

    Essensialは、単独のADとして使うのが前提で、信頼関係を結ぶような製品でないのですね。

    実際、サーバーがシャットダウンしている実績はありませんが、これが原因と思います。

    すぐに構成変更をするようにいたします。

    ありがとうございました。

    2014年10月28日 9:08