locked
ActiveDirectry移行後1年4か月後に、ActiveDirectoryドメインサービスが操作不能になる。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    昨年2月にWindowsServer2003 R2 Sp2(1台)のサーバから、

    新サーバを用意してWindows Server 2008 R2 SP1(1台) へ

    ActiveDirectory機能を移行しました。

    その後、新サーバだけを残し、WindowsServer2003のAD降格処理をせずに廃棄し、

    現在にいたります。

    今月に入り、ユーザの追加を行おうとした際に、

    本フォーラムにありました”「Active Directory ユーザーとコンピュータ」を起動しない。”

    と同じ症状となりユーザ追加等ができなくなりました。

    また、ActiveDirectoryサービスのイベントログでも、

    1864、2089が表示されており、イベントログに表示されているdcdiagを実行すると、

    ”LDAP検索機能の属性検索が・・・で失敗ました。戻り値=81”と表示さました。

    順序立てて対応したいのですが、

    ADサーバが1台という条件と、ネットの情報検索が多すぎて、対処方法がわからなくなってしまいました。

    大変恐縮ですがご教授いただけませんでしょうか?

    2015年7月6日 2:57

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    また、ActiveDirectoryサービスのイベントログでも、
    1864、2089が表示されており、イベントログに表示されているdcdiagを実行すると、
    ”LDAP検索機能の属性検索が・・・で失敗ました。戻り値=81”と表示さました。

    現状ですが、Active Directoryの障害で「Active Directory Domainサービス」が起動できない状態になってしまっているのでしょう(LDAPエラー81というのは単純に「接続できませんでした」という内容で、細かい理由は提示していません)。以前の過去ログにもありましたが、ひとまずは再起動を行って、リフレッシュするしか復旧方法自体はないと思います。

    再起動した後ですが、以前のドメインコントローラの降格を行っていないとのことで、これが原因でこういった問題が起こって可能性があります。ですから、この不整合な状態を修正する必要があります。したの方法を行ってください。

    1. ntdsutilコマンドでFSMO役割が<Windows Server 2008 DC>にあるかどうかを確認する
    2. FSMOが2008 DCに内場合、FSMOの強制割り当てを行う(ntdsutilで行います)
    3. 古い2003 DCの情報を手動ですべて取り除きます。方法はしたのKBを参考にしてください
      https://support.microsoft.com/ja-jp/kb/216498/ja?wa=wsignin1.0

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2015年7月6日 3:42

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    また、ActiveDirectoryサービスのイベントログでも、
    1864、2089が表示されており、イベントログに表示されているdcdiagを実行すると、
    ”LDAP検索機能の属性検索が・・・で失敗ました。戻り値=81”と表示さました。

    現状ですが、Active Directoryの障害で「Active Directory Domainサービス」が起動できない状態になってしまっているのでしょう(LDAPエラー81というのは単純に「接続できませんでした」という内容で、細かい理由は提示していません)。以前の過去ログにもありましたが、ひとまずは再起動を行って、リフレッシュするしか復旧方法自体はないと思います。

    再起動した後ですが、以前のドメインコントローラの降格を行っていないとのことで、これが原因でこういった問題が起こって可能性があります。ですから、この不整合な状態を修正する必要があります。したの方法を行ってください。

    1. ntdsutilコマンドでFSMO役割が<Windows Server 2008 DC>にあるかどうかを確認する
    2. FSMOが2008 DCに内場合、FSMOの強制割り当てを行う(ntdsutilで行います)
    3. 古い2003 DCの情報を手動ですべて取り除きます。方法はしたのKBを参考にしてください
      https://support.microsoft.com/ja-jp/kb/216498/ja?wa=wsignin1.0

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2015年7月6日 3:42
  • Question
    サインインして投票
    0
    サインインして投票

    >チャブーン様

    さっそくご返信いただきありがとうございます。

    承知いたしました。再起動して確認してみます。

    2015年7月6日 6:07
  • Question
    サインインして投票
    0
    サインインして投票

    >チャブーン様

    1・2.は、FSMOの役割はWindows2008になっておりましたので問題ありませんでした。

    本日再起動し、3.を行ったところ、ADのサービス・DNSの移行もできました。

    ありがとうございました。

    2015年7月10日 8:49