[WS2016] （DFSR）Domain System Volumeの復元方法について

すべての返信

• 

  

  0

  サインインして投票

  はじめまして。

  いただいた質問文の情報のみでは何とも言えない状況ですが、AD の不具合であれば Directory Service 等のイベントログに何らかのエラーが記録されるため、まずはそちらを見て AD 2号機の状況を把握されるのが良いかと思います。例として、SYSVOLフォルダが空のときに参考となる情報をお伝えします。

  DFS レプリケーション: 不足している SYSVOL および Netlogon 共有のトラブルシューティング方法
  https://support.microsoft.com/ja-jp/help/2958414/dfs-replication-how-to-troubleshoot-missing-sysvol-and-netlogon-shares

  
  ただ、何よりも AD 2号機の復旧優先、且つ AD 1号機が正常に起動している状況であれば、AD 2号機の強制降格 & 再昇格が迅速な対処方法になるかと思います。強制降格 & 再昇格(※)については以下情報が参考になります (Win2012 用と記載されていますが、Win2016 においても同様の認識です)。

  ドメイン コントローラー降格手順 (Windows Server 2012)
  https://blogs.technet.microsoft.com/jpntsblog/2013/11/17/windows-server-2012/

  最後に、上記を実施した際に手順誤りがあった場合、最悪ドメイン環境が破損する可能性があるため、注意して実施してください。

  ※ 補足：当方が嘗て Win2003 で強制降格 & 再昇格したときと手順が一部変わっている (metadata 削除の際 ntdsutil を使ってない) ため、当方が当時参考にした情報も念のためお伝えします。 　

  ドメイン コントローラーの降格に失敗した後、Active Directory のデータを削除する方法
  https://support.microsoft.com/ja-jp/help/216498/how-to-remove-data-in-active-directory-after-an-unsuccessful-domain-controller-demotion

  
  

  • 編集済み Zaamasu 2017年6月23日 15:21
  • 回答の候補に設定 チャブーンMVP, Moderator 2017年6月27日 5:20
  • 回答としてマーク チャブーンMVP, Moderator 2017年6月27日 5:20

  2017年6月23日 15:19

  返信

  |

  引用
• 

  

  0

  サインインして投票

  ざあます様

  回答ありがとうございます。現象としては最初に記載した通りで、「DFSの管理」を起動、「Domain System Volume」を表示、本来であれば「DC1」と「DC2」が表示され、SYSVOLがレプリケートされている状態だと思います。当方の環境では、「DC2」のみが表示され、「DC1」が表示されていない（削除？）状況です。

  DFSRのDomain System Volume項目は、ユーザ側で追加・変更等の操作ができない仕様になっています。また、コマンドにて追加操作を行いましたが、同様の状況でエラーとなり任意に追加できませんでした。

  「DC1」が表示されていない（存在しない）状況のため、「DC2」へSYSVOLがレプリケートされず、正常動作しておりません。

  DC2の降格、昇格は可能なのですが、DC1はプライマリになっているため、降格操作ができずにいます。

  ※DCを追加しても、DC1のレプリケート情報が削除されているため、追加DCが正常動作しないという状況です。

  現在このような状況です。

  引き続き支援のほど、よろしくお願いします。

  2017年6月23日 22:49

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  この件ですが、状況を見た感じから、AD1とAD2でDFSについての情報が違っている可能性もありますね。どういうことかというと、AD1のDFSの管理からはAD1だけがメンバーに見え、AD2のDFSの管理からはAD2だけがメンバーに見える、という可能性です。(実際はわかりませんが)もしこのようになっているのでしたら、DFSの登録に関する情報の統合(複製)がうまくいっていない可能性を考える必要があります。

  現状では、AD1とAD2の状態の細かい点を確認し、それによって対応方法を変える必要があると思います。AD1の状態が問題ないのであれば、ざあますさんのコメント通り、AD2を降格(強制降格)、再昇格になりますが、AD1が問題ないかどうかは、中身を見ないとわかりません。イベントログの確認とdcdiagの結果確認は必要ですが、判定は慎重に行うべきですので、コミュニティで対応するには、ムリがあります。できればMS有償サポートを検討されるべきだと思います。

  あと、念のための確認ですが、Windows Server 2012のSYSVOL複製ですが、「DFSR」で間違いないでしょうか？Windows Server 2012が実はWindows Server 2003からのアップグレードだった、という場合、SYSVOL複製が「FRS」である可能性があります。Windows Server 2016ではFRSはサポートしていないので、SYSVOL複製がFRSでは、正常に動作しません。この点については、ご確認いただくべき部分かと思います。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  2017年6月25日 4:55

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  チャブーン様

  回答ありがとうございます。やはり有償サポートを頼るしかなさそうですね・・・

  AD2については、降格→昇格を行いましたが、何度も書いてます通りAD1のDFS情報が消えている状況の為、レプリーケーションが正常に実行できずAD2のSYSVOLが空になっています。複製はDFSRで間違いありません。FRS等の確認コマンドを実行すると、既に削除済み（移行済み）である旨が表示されています。

  ※「DFSR」の「Domain System Volume」に、強制で設定する方法は存在しないのでしょうか？

  なお、現在のログ状況です。

  ▼AD1

  DFSR　6002　エラー　

  DFS レプリケーション サービスは、構成情報のポーリング中に 無効な msDFSR-Subscriber オブジェクト データを検出しました。
   
  追加情報:
  オブジェクト DN: CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DC1,OU=Domain Controllers,DC=DOMAIN,DC=local
  属性名: msDFSR-MemberReference
  ドメイン コントローラー: DC1.DOMAIN.local
  ポーリング サイクル: 60 分

  ▼AD2

  DFSR　4612　エラー

  DFS レプリケーション サービスは、ローカル パス C:\Windows\SYSVOL\domain の SYSVOL レプリケート フォ ルダーを初期化し、初期レプリケーションの待機をしています。レプリケート フォルダーは パートナー DC1.DOMAIN.local とレプリケートされるまでまで初期同期状態のままです。サーバーが ドメイン コントローラーに昇格している場合、ドメイン コントローラーはこの問題が解決す るまでアドバタイズしません。これは特定のパートナーも初期同期状態であるか、 共有例外がサーバーあるいは同期パートナー内で発生した場合に発生する場合が あります。このイベントがファイル レプリケーション サービス (FRS) から DFS レプリ ケーションへの SYSVOL の移行により発生した場合は、発生した場合は、この問題 が解決されるまで変更はレプリケートされません。これは、サーバー上の SYSVOL  フォルダーが他のドメイン コントローラーと同期ができなくなる原因となります。
   
  追加情報: 
  レプリケート フォルダー名: SYSVOL Share
  レプリケート フォルダー ID: F84B8CE3-5AF8-4B75-9324-D53D32367AC2
  レプリケーション グループ名: Domain System Volume
  レプリケーション グループ ID: 9E5A68E5-C97A-4579-BC08-8E6F724F48F6
  メンバー ID: 08F96744-DB27-4B11-9C26-753B9B06271E
  読み取り専用: 0

  DFSR　5002　エラー

  DFS レプリケーション サービスは、レプリケーション グループ Domain System Volume の パートナー DC1 との通信でエラーを検出しました。
   
  パートナー DNS アドレス: DC1.DOMAIN.local
   
  状況により利用可能なデータ:
  パートナー WINS アドレス: DC1
  パートナー IP アドレス: 192.168.1.1
   
  接続は定期的に再試行されます。
   
  追加情報:
  エラー: 1753 (エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません。)
  接続 ID: 9E5A68E5-C97A-4579-BC08-8E6F724F48F6
  レプリケーション グループ ID: 7DEB08F6-C7B7-4541-80EF-9F2DDE73FA51

  また、ADSIエディタ→CN=System→CN=DFSR-GlobalSettings→CN=Domain System Volume→CN=Topology配下にDC2は存在するも、DC1は存在していません。

  以上、よろしくお願いします。

  • 編集済み KMAD111322 2017年6月26日 2:34 ログ情報追加のため

  2017年6月25日 23:26

  返信

  |

  引用
• 

  

  0

  サインインして投票

  現在の状況

  「DFSの管理」起動→「Domain System Volume」選択→「メンバーシップ」の「メンバー」にDC1及びDC2が表示されています。「ローカルパス」についてDC2は「C:\Windows\SYSVOL\domain\」が設定されています。DC1は「＜未定義＞」となっており、その左側に黄色三角（警告マーク）が表示さてています。DC1のプロパティを表示すると「選択したオプジェクトの１つまたは複数にエラーがあるため、要求されたタスクを完了できません。詳細を参照してください。」と表示されます。「詳細」をクリックすると「DC1(SYSVOL Share）　メンバーシップオブジェクトがローカルドメインコントローラにレプリケートされていません」と表示されている状態です。

  DC1のDFSR情報が削除？されその後復活してくるのですが、登録情報の整合性に問題？があるため、レプリケートされない（＝メンバとして取り扱われず、結果他のDCにレプリケーションされない）のではと考えます。

  この様な事はあり得ない障害でしょうか？（各サイトにて情報収集するも、有用な情報が見つけ切れていないです）

  引き続き詳しい方の情報をお待ちしております･･･。

  2017年6月27日 0:43

  返信

  |

  引用
• 

  

  1

  サインインして投票

  DFSR の ID: 6002 エラーからは DFSR の情報が何らかの原因で Active Directory から削除されたように思われます。
  以下は FRS の事象ですが、それの DFSR 版みたいなものです。

  https://support.microsoft.com/ja-jp/help/312862

  バックアップから戻す以外だと、手動で作成するしかないかと。
  ldifde で Active Directory の情報を出力して

  CN=DFSR-LocalSettings,CN=<サーバ名>,OU=Domain Controllers,DC=DOMAIN,DC=local

  と

  CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=DOMAIN,DC=local

  の情報を正常環境と見比べて、属性が足りないものは手動で入れる。
  といった感じです。
  デモ環境では問題ない、との事なのでこの環境で取得した情報と比較して、、、というのは可能かと。
  結構手間がかかると思いますが、やれない事はないと思います。
  手間をかけるのが厳しい、これでいいのか不安、等を懸念されるのであれば有償サポートが宜しいかと。

  • 回答としてマーク KMAD111322 2017年6月27日 5:00

  2017年6月27日 1:43

  返信

  |

  引用
• 

  

  1

  サインインして投票

  チャブーンです。

  mu100さんからも出ていますが、SYSVOL情報はあってもAD1側の情報が飛んでしまったということなら、AD1側で再作成するしかないと思います。前提条件としては、AD1のバックアップがあるなら、それをプライマリリストア(SYSVOL周りだけを上書きモードにする)するべきとは思いますが。

  したのページをみるとSYSVOL情報の確認の仕方がありますので、参考になると思います。

  http://jackstromberg.com/2014/07/sysvol-and-group-policy-out-of-sync-on-server-2012-r2-dcs-using-dfsr/

  状況からたぶんSYSVOL自体はあるがAD1がメンバーになっていない、ところかと思いますので、AD2はいったん切り離すか降格するかしたうえで、AD1をDFSRメンバーにするようADSIエディタで追加するとよいように思います。そのうえで、AD1のみでSYSVOLが正常動作することを確認して、SYSVOLがプライマリ動作(DFSR複製の際、自分自身を優先させる設定)するよう設定する、という流れになると思います。

  ただ、率直に申し上げると、「見よう見まね」で何とか切り抜けよう、という感じだと厳しいと思いますので、ご自身が理解しながら対応されるべきかと思います。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  • 回答としてマーク KMAD111322 2017年6月27日 5:00

  2017年6月27日 2:13

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  mu100さん　チャブーンさん

  回答ありがとうございます。

  情報提供頂きましたサイトを全て確認した上で、ADSIエディタを使用し手動で復元を試みました。その結果無事に復旧する事ができました。お二方に感謝致します！！！！！

  ご協力頂きましてありがとうございました。

  しかし・・・

  別の障害が新たに見つかってしまいました・・・・。別に投稿させて頂きますが、下記現象が発生しております。

  「DFSの管理」→「レプリケーション」を右クリック→「新しいレプリケーショングループ」をクリック→（ウィザードが開く）→「汎用レプリケーショングループ」を選択し次へ→「レプリケーショングループの名前」を任意に入力し次へ→「レプリケーショングループメンバー」の選択画面が表示されるので「追加」をクリック→ここからが障害と思われる現象が発生します。

  追加をクリックすると・・・通常だと「コンピュータの選択」が表示されなければなりませんが、「値が有効な範囲にありません。」とエラーが表示され、サーバ（メンバー）の追加作業ができなくなっております。また、上記箇所以外でも、例えば「レプリケーション」右クリック→「レプリケーショングループの表示」選択→「サーバ」を選択→「参照」をクリック。この操作においても同様で「値が有効な範囲にありません」とエラーが表示されます。

  ツールが参照している値に問題があると考えますが、こちらについては各種ログを参照するも、原因を特定できずにおります。

  度々申し訳ありません。なにか情報があれば、提供をお願いします・・・。

  2017年6月27日 4:19

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  これはよくわからないのですが、Windows Server 2016だと、KB3186568をインストールするとおっしゃる問題が出るようなことが書いてあります。

  https://www.reddit.com/r/sysadmin/comments/6h7byf/unable_to_create_new_dfs_replication_group_server/

  切り分けのため、試されてみるとよいかもしれません。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  • 回答としてマーク KMAD111322 2017年6月27日 5:00

  2017年6月27日 4:46

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  チャブーン様

  ありがとうございました。その通りでした。

  KB3186568が原因のかと思います。（アンインストールにて問題解決しました）

  今回は本当にありがとうございました。

  感謝致します。

  2017年6月27日 5:00

  返信

  |

  引用