none
既存ドメコン上のDNSにおいてレコードが削除されてしまう RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    haru1banと申します。

    社内環境で発生したWindowsDNSの障害について、障害原因、対応手順などを調査しております。
    お忙しいなかお手数ですが、お手すきの際ご教授いただければと思います。


    ■経緯
     既存ドメイン環境へ新たにメンバサーバを追加して、その後、当サーバをドメコンへ昇格、DNSサーバのインストールを行いました。
     作業はDNSサーバのインストールまで正常に作業は完了したのですが、既存ドメインコントローラのゾーン内にあった
     レコードの大部分が削除されてしまう現象が発生しました。それによりサーバにアクセスできないという影響がありました。
     削除されたレコードは、手動で追加することで解消しました。


    ■環境
     ドメイン環境:シングルドメイン
     既存ドメインコントローラはWindows2003 Standard Edtion が2台
     追加したドメインコントローラもWindows2003 Standard Edtion

    ■行った作業手順
     1)ドメコンへの昇格
      サーバの役割追加により正常昇格。その後再起動。

     2)DNSサーバの構築
      1)の作業実施後、サーバの役割追加。
      ・サーバの種類:ActiveDirectory統合
        ・ゾーンの種類:プライマリゾーン
      ・ゾーン名指定:既存ゾーンを記載
      ・動的更新:セキュリティで保護された動的更新のみを許可する
      正常完了。ただし、ゾーン内のレコードは既存ドメコンにあるものがなかな
    か登録されませんでした。

      その後、理由があって、別ネットワークへ追加したドメインコントローラを
    移動(既存ドメコンとは通信できない環境になりました)。
      

    ■自分なりに考えた障害原因

     いろいろ調べたのですが、以下二つの情報を見つけました。
    ①書籍:Windows2000Server リソースキット内TCP/IPガイド
     ”ActiveDirectory統合ゾーンの作成”の説明内の注意書き
    「あるドメインコントローラ上でゾーンを作成した後、ActiveDirectoryによる
    複製が終わる前に2番目のドメインコントローラで同じゾーンを作成すると、最
    初のゾーンがActiveDirectoryによって削除されます。その結果、最初のドメイ
    ンコントローラ上のゾーンに加えた変更がすべて失われてしまいます。」

    ②Web:@IT
     http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=37867&forum=6

    上記二つから、以下仮設を立てました。
     ドメコンへの昇格直後に時間を空けずに、DNSサーバの構築を行ったため
     既存ドメコン内のゾーン情報が新ドメコンのゾーンに上書きされてしまったの
    ではないか

    ■質問
     1)このような(または類似する)障害はご存じでしょうか。またWindowsDNSの追加手順についてご存じでしょうか。
     2)そもそも、ドメイン内で複数のActiveDirectory統合DNSを構築する場合
       2台目以上のDNSはセカンダリとして構築する必要があるのでしょうか
     3)リソースキットでに記載されている”あるドメインコントローラ上で
      ゾーンを作成した後、ActiveDirectoryによる複製が終わる前に”という
      記述ですが、”ActiveDirectoryによる複製が終わった”ことはどこから確
    認すれば良いのでしょうか

    以上です。
    誠にお手数ですが、お時間のある時にご教授いただければ幸いでございます。

    何卒宜しくお願いいたします。

    2010年1月8日 13:53
    |

回答

  • Question
    サインインして投票
    2
    サインインして投票
    チャブーンです。

    この件ですが、これは「追加ドメインコントローラ上の DNS サーバに『手動で Active Directroy ゾーンを作ってしまった』ため」にいままであった DNS ゾーン (Active Directory 統合ゾーン)と衝突してしまったのでしょう。

    Windows Server 2003 ではアプリケーションパーティションという複製パーティションが存在しますが、DNSサーバのActive Directory統合ゾーンはこれを使います。具体的には、DC=ForestDNSZones,DC=example,DC=comとDC=DomainDNSZones,DC=example,DC=com(Example.comドメインなら)というパーティションです。

    2台目や3台目の追加ドメインコントローラにDNSサーバを追加する場合、一番簡単なのは事前に DNS サーバをインストールしておく(ただしゾーンは作成しない)ことです。こうするとアプリケーションパーティションの内容も複製され、DNSサーバに内容が反映されます。(DNSサーバが正常に動作したら、参照先DNSサーバを優先[127.0.0.1]代替[ほかのドメインコントローラ]にすることを忘れずに)

    DNSサーバに内容が反映しない場合、複製の関係でしばらくすると反映されるはずですが、きちんとしたい場合 repadmin コマンドで強制的に複製する方法があります。複製するパーティションは、うえの例ならDC=ForestDNSZones,DC=example,DC=comとDC=DomainDNSZones,DC=example,DC=comのパーティションになります。
    2010年1月13日 19:46
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票
    同様の不具合を経験したことは無いのですが、、、
    私の経験上 新規DC追加時で新規DCにもDNSを持たせて AD統合ゾーンにする場合、以下のステップで構築を行います。

    Windows Serverをインストール後、メンバサーバにした後に行います。
    ※ DCにすると同時にAD参加は 新規ドメイン作成時でないかぎりなんとなく気味悪いのでやっていません。
    1回再起動が増えてしまいますが、メンバサーバにしてからdcpormoしています。

    1.新規DCにしたいサーバに、DNSの役割をインストール。
    この時、ゾーンの作成は一切しない。
    DNS管理ツールを起動して確認した時、 正引きも逆引きも 何もない状態にしております。

    2.DNSの役割をインストール後に、dcpromoでDCに昇格。
    既存ドメインの追加DCとしてセットアップ。

    3.DC昇格後、改めて DNS管理ツールで確認すると AD統合ゾーンが自動的に反映されています。
    すべてのレコードは正しく複製されています。

    推測の範囲ですが、これを

    1.DNSの役割をインストール前に、dcpromoでDCに昇格。
    既存ドメインの追加DCとしてセットアップ。

    2.新規DCにしたサーバに、DNSの役割をインストール。

    とすると、このDNSインストール中に新規ゾーンの作成というイベントになり、複製の完了していないAD情報を元に
    DNS AD統合ゾーンの再作成が始まり、これが既存のAD統合ゾーンを持つDNSに伝播するんじゃないですかね???

    で、この時点で最新のAD統合ゾーン情報は新規サーバ側で持っている事になり、
    ADレプリケーションが進むにつれて直っていくという感じなんじゃないですかね??

    2010年1月9日 4:55
    |
  • Question
    サインインして投票
    0
    サインインして投票
    SHIMSOFT様
     
    haru1banと申します。迅速なご回答ありがとうございます。
    助かります。

    検証環境で、SHIMSOFT様の実施パターンを試させていただきます。

    追加で1点質問がございます。
    仮に、3台目のDC、DNS追加があった場合も手順とは同じでしょうか。

    お時間のある時にご回答いただければと思います。
    何卒宜しくお願いいたします。
    2010年1月13日 9:27
    |
  • Question
    サインインして投票
    1
    サインインして投票
    多分ですが、最初の1台目出ない限りは同じことだと思います。
    自社内のDC追加作業も、検証環境の追加作業も、お客様サイトへの導入展開も同じステップでやっていますが、
    今のところ類似障害には遭遇しておりません。

    2010年1月13日 9:59
    |
  • Question
    サインインして投票
    2
    サインインして投票
    チャブーンです。

    この件ですが、これは「追加ドメインコントローラ上の DNS サーバに『手動で Active Directroy ゾーンを作ってしまった』ため」にいままであった DNS ゾーン (Active Directory 統合ゾーン)と衝突してしまったのでしょう。

    Windows Server 2003 ではアプリケーションパーティションという複製パーティションが存在しますが、DNSサーバのActive Directory統合ゾーンはこれを使います。具体的には、DC=ForestDNSZones,DC=example,DC=comとDC=DomainDNSZones,DC=example,DC=com(Example.comドメインなら)というパーティションです。

    2台目や3台目の追加ドメインコントローラにDNSサーバを追加する場合、一番簡単なのは事前に DNS サーバをインストールしておく(ただしゾーンは作成しない)ことです。こうするとアプリケーションパーティションの内容も複製され、DNSサーバに内容が反映されます。(DNSサーバが正常に動作したら、参照先DNSサーバを優先[127.0.0.1]代替[ほかのドメインコントローラ]にすることを忘れずに)

    DNSサーバに内容が反映しない場合、複製の関係でしばらくすると反映されるはずですが、きちんとしたい場合 repadmin コマンドで強制的に複製する方法があります。複製するパーティションは、うえの例ならDC=ForestDNSZones,DC=example,DC=comとDC=DomainDNSZones,DC=example,DC=comのパーティションになります。
    2010年1月13日 19:46
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票
    チャブーンさんのおっしゃる通りなのではと思います。
    もともと、アプリケーション パーティションに作成していた DNS ゾーンの環境に
    新しく追加した DC にドメイン パーティションに同名のゾーンを作成したことが原因だと思います。

    イベント ログをみて DNS に 4515 が記録されていれば、この現象が発生しています。
    詳細はこの KB に記載されていますので、参照してみてください。
    http://support.microsoft.com/default.aspx/kb/867464/ja
    2010年1月16日 14:07
    |
  • Question
    サインインして投票
    0
    サインインして投票
    SHIMSOFT様、チャブーン様、NorthDragon様

    haru1banです。
    お忙しい中、ご教授ありがとうざいました。

    お教えいただきました内容をもとに、次回作業を進めます。
    深く御礼申し上げます。
    2010年1月18日 2:21
    |
  • Question
    サインインして投票
    0
    サインインして投票
    SHIMSOFT様、チャブーン様、NorthDragon様

    haru1banです。
    ご指示いただいた内容を検証環境で試し、問題なくドメコン2台目、3台目を構築することができました。

    ありがとうございました。
    2010年1月22日 5:47
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    みなさん、回答・アドバイスありがとうございます。

    haru1ban さん、無事に追加のドメインコントローラーの構築が行えたようで良かったです。

    今回は チャブーン さんの回答が一番分かりやすかったのではと思いましたので、チャブーン さんの回答に [回答としてマーク] を付けさせていただきますね。


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年2月9日 2:47
    |
    モデレータ