none
Active Directory 降格時の警告メッセージ RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ADサーバーのリプレイスに伴い、メンバーサーバーを追加して旧サーバーの降格を行うため、dcpromoでADの削除を実施する際に

    下記警告が表示されます。降格サーバーのDNSにメンバーサーバーのIPを登録することでメンバーサーバーのFQDNを名前解決ができる

    環境になっております。やり直しが難しい状況にて下記警告をそのまま受け取ると削除後にADサーバーが存在しない環境に陥る可能性があるので

    躊躇しております、他の書き込みで続行後エラーになるとの書き込みがございましたが、エラー状態となった場合はADはまだ利用可能なのでしょうか?下記メッセージが表示される要因をお教え願います。

    このドメインコントローラがドメインhoge.localの最後のドメインコントローラであることを示すチェックボックスがオフになっています。しかし、そのドメインの Active Directory ドメインコントローラでそれ以外に到達できるものがありません。

    続行しますか?


    2013年8月22日 5:47
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、このメッセージの意味ですが、「最後のドメインコントローラ」でないのに、残るべきドメインコントローラと通信ができない、という言葉通りの意味です。このエラーが起こっているのなら、降格作業は中断するべきです。

    普通に2台以上のドメインコントローラがあれば、このメッセージは出ませんので、トラブルシュートを行ってください。

    1. 相手先ドメインコントローラは本当に存在しますか?
      ご質問にある「メンバーサーバ」の意味ですが、単にドメインに参加しているサーバであり、ドメインコントローラの意味ではありません。Windows Server 2008 R2であれば、dcpromoでドメインサービスをインストールし、ウィザードで追加ドメインコントローラとして構成しないと機能しません。
    2. DNSサーバの情報は正常に登録されていますか?
      ドメインコントローラのDNSサーバには新旧サーバのAレコードはもちろん必要ですが、SRVレコードにも新旧サーバ名が登録されている必要があります。ドメインコントローラに必要なDNSレコードはすべて自動で登録されますが、手動で変更削除されているようなら、名前解決ができずに、この問題が発生します。SRVレコードが正常に登録されているか、したのページを参考に確認いただくことをお奨めします。
      http://support.microsoft.com/kb/816587/ja

    追記:トラブルシュートを行って正常になった場合ですが、降格前に、残す方のドメインコントローラにDNSサーバをインストールして、DNS情報が正常に複製されていることを確認する必要があります。同様にグローバルカタログ役割も持たせる必要があります。
    2013年8月22日 7:37
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、いただいた内容で、よく意味が分からないところがあります。

    > 両機のDNSにはきちんとAレコードに新サーバーが存在しているにもかかわらず、旧サーバー
    > のDNSに新サーバーのIPを登録しないとFQDNでは名前解決が出来ておりません。

    これの具体的な操作を教えていただけますか?DNSサーバにAレコードがあれば普通はFQDNで名前解決できます。登録=Aレコードを追加する、だと内容的に矛盾していますので、どう操作されているのか、こちらではわかりません。ちなみにホスト名で解決しているのはおそらくNetBIOSによるもので、DNS名前解決とは無関係です。

    また、移行前のドメインコントローラのOSバージョンと移行後のバージョン(2008 R2でよろしいですか?)を確認させていただく必要もあります。

    あわせて、行っていただきたいのは、両ドメインコントローラの「イベントログ」のエラー項目を確認してください。特にDNSイベントのエラーが出ている場合、データベースの不整合や破損で問題が起こっている可能性が高いです。ですがそれ以外の理由も当然あり得るので、イベントログのチェックは必須項目とご理解ください。

    • 回答の候補に設定 佐伯玲 2013年8月26日 0:56
    • 回答としてマーク 佐伯玲 2013年9月9日 7:20
    2013年8月23日 14:19
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    返信が遅くなりましたが、状況として、DNSサーバのAD複製がうまくいかず、結局DNS情報がおかしいのでAD複製ができない、というデッドロック状態になっているのではないでしょうか。以下の方法で修正を行ってみたらいいのではないでしょうか。

    1. 新サーバの[ローカルエリア接続]のTCP/IPv4プロパティの「次のDNSサーバのアドレスを使う」項目に旧サーバのIPアドレスだけを入れる(旧サーバのDNSサーバに正しい情報を登録する準備作業で、自分自身のIPアドレスや127.0.0.1は入れてはいけません)
    2. 新サーバの[サービス]スナップインで、「NetLogon」サービスを再起動します(旧サーバのDNSサーバに新サーバのSRVレコード等を正しく登録するためです)
    3. 新サーバで[コマンドプロンプト]から、コマンドを実行します。(2行に見えますが実際は1行のコマンドです)
      repadmin /replicate [新サーバ名] [旧サーバ名] CN=Configuration,DC=hogehoge,DC=local /force

      repadmin /replicate [新サーバ名] [旧サーバ名] DC=ForestDNSZones,DC=hogehoge,DC=local /force

      repadmin /replicate [新サーバ名] [旧サーバ名] DC=DomainDNSZones,DC=hogehoge,DC=local /force
      (正しくなった(はずの)旧サーバのDNS情報を新サーバに複製するためです)

    3の最初のコマンドがうまく実行できないような場合KCCを最適化するため、新サーバ・旧サーバの両方で以下のコマンドをそれぞれ実行し、15分ぐらい経過してから、うえの3の各コマンドを再実行してください。

    repadmin /kcc [自分のサーバ名]


    2013年9月2日 8:19
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、このメッセージの意味ですが、「最後のドメインコントローラ」でないのに、残るべきドメインコントローラと通信ができない、という言葉通りの意味です。このエラーが起こっているのなら、降格作業は中断するべきです。

    普通に2台以上のドメインコントローラがあれば、このメッセージは出ませんので、トラブルシュートを行ってください。

    1. 相手先ドメインコントローラは本当に存在しますか?
      ご質問にある「メンバーサーバ」の意味ですが、単にドメインに参加しているサーバであり、ドメインコントローラの意味ではありません。Windows Server 2008 R2であれば、dcpromoでドメインサービスをインストールし、ウィザードで追加ドメインコントローラとして構成しないと機能しません。
    2. DNSサーバの情報は正常に登録されていますか?
      ドメインコントローラのDNSサーバには新旧サーバのAレコードはもちろん必要ですが、SRVレコードにも新旧サーバ名が登録されている必要があります。ドメインコントローラに必要なDNSレコードはすべて自動で登録されますが、手動で変更削除されているようなら、名前解決ができずに、この問題が発生します。SRVレコードが正常に登録されているか、したのページを参考に確認いただくことをお奨めします。
      http://support.microsoft.com/kb/816587/ja

    追記:トラブルシュートを行って正常になった場合ですが、降格前に、残す方のドメインコントローラにDNSサーバをインストールして、DNS情報が正常に複製されていることを確認する必要があります。同様にグローバルカタログ役割も持たせる必要があります。
    2013年8月22日 7:37
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様早々のレス誠にありがとうございます。状況の追加報告をさせて頂きます。

    1.新の2008R2は存在しており、スキーマー等マスタ転送も行っております。ただし原因が把握できていないのですが、両機のDNSにはきちんとAレコードに新サーバーが存在しているにもかかわらず、旧サーバーのDNSに新サーバーのIPを登録しないとFQDNでは名前解決が出来ておりません。ホスト名では解決できます。

    2.1記載に関連すると思われますが、新サーバーDNSマネージャーでは_msdcs以下にはnameserverレコードに旧サーバーのFQDNのみしか存在しません。

    上記情報で解決の糸口になりますでしょうか?

    2013年8月22日 8:24
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、いただいた内容で、よく意味が分からないところがあります。

    > 両機のDNSにはきちんとAレコードに新サーバーが存在しているにもかかわらず、旧サーバー
    > のDNSに新サーバーのIPを登録しないとFQDNでは名前解決が出来ておりません。

    これの具体的な操作を教えていただけますか?DNSサーバにAレコードがあれば普通はFQDNで名前解決できます。登録=Aレコードを追加する、だと内容的に矛盾していますので、どう操作されているのか、こちらではわかりません。ちなみにホスト名で解決しているのはおそらくNetBIOSによるもので、DNS名前解決とは無関係です。

    また、移行前のドメインコントローラのOSバージョンと移行後のバージョン(2008 R2でよろしいですか?)を確認させていただく必要もあります。

    あわせて、行っていただきたいのは、両ドメインコントローラの「イベントログ」のエラー項目を確認してください。特にDNSイベントのエラーが出ている場合、データベースの不整合や破損で問題が起こっている可能性が高いです。ですがそれ以外の理由も当然あり得るので、イベントログのチェックは必須項目とご理解ください。

    • 回答の候補に設定 佐伯玲 2013年8月26日 0:56
    • 回答としてマーク 佐伯玲 2013年9月9日 7:20
    2013年8月23日 14:19
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    早々にご返信いただいたにもかかわらず、当方が遅くなり誠に申し訳ございませんでした。

    DNSサーバーにAレコードは登録は行っておらず既に登録はされておりました。しかしpingやdcpromoのサーバー参照の際に

    Netbiosでしかサーバーを参照できないです。DNSの登録に新サーバーのIPを登録すると参照可能となります。

    移行前は2003R2移行後は2008R2となります。

    新サーバーでは下記警告が出力されています。

    定期的に出力

    グループ ポリシーの処理に失敗しました。ドメイン コントローラー名を取得できませんでした。名前解決の失敗が原因と考えられます。ドメイン ネーム システムが構成され正しく動作しているか確認してください。

    以下は再起動時のみ出力

    Active Directory ドメイン サービスにおいて、以下に一覧表示されている発信元のドメイン コント ローラーの IP アドレスは、DNS を使って解決できませんでした。このエラーにより Active Directory ドメイン サービスでの追加、削除または変更のレプリケーションが、フォレストの 1 つ以上のドメイン コントローラーの間で妨げられています。このエラーが解決される まで、セキュリティ グループ、グループ ポリシー、ユーザーとコンピューターおよび そのパスワードの一貫性は保たれません。これにより、ログオン認証やネットワーク リソースへのアクセスに影響がでる可能性があります。 

    Active Directory ドメイン サービスは、グローバル カタログとの接続を確立できませんでした。 

    以下は旧サーバー
    定期的に出力
    次のソース ディレクトリ サービスから次の宛先ディレクトリ サービスに接続オブジェクトを追加している最中に、知識整合性チェッカー (KCC) にエラーが発生しました。 

    DNS サーバーは Active Directory からの致命的なエラーを発見しました。 Active Directory が正しく機能していることを確認してください。 拡張エラーのデバッグ情報は "" です。これは空の場合もあります。 イベント データにはエラーが含まれています。

    DNS サーバーは、ゾーン _msdcs.hogehoge.local のディレクトリ サービスの列挙を完了することができ ませんでした。DNS サーバーは Active Directory から取得した情報をこのゾーン用 に使うように構成されており、その情報なしではゾーンを読み込むことはできませ ん。Active Directory が正しく機能していることを確認して、ゾーンの列挙を繰り 返してください。 拡張エラーのデバッグ情報は "" です。これは空の場合もあります。 イベント データにはエラーが含まれています。

    DNS サーバーは、ゾーン . のディレクトリ サービスの列挙を完了することができ ませんでした。DNS サーバーは Active Directory から取得した情報をこのゾーン用 に使うように構成されており、その情報なしではゾーンを読み込むことはできませ ん。Active Directory が正しく機能していることを確認して、ゾーンの列挙を繰り 返してください。 拡張エラーのデバッグ情報は "" です。これは空の場合もあります。 イベント データにはエラーが含まれています。

    DNS サーバーは Active Directory からの致命的なエラーを発見しました。 Active Directory が正しく機能していることを確認してください。 拡張エラーのデバッグ情報は "" です。これは空の場合もあります。 イベント データにはエラーが含まれています。

    DNS サーバーは、自身のホスト (A) レコードを更新しました。 DS 統合ピア DNS サーバーがこのサーバーをレプリケートできることを確認するため、新しいレコ ードを使った動的な更新が試みられました。この更新を実行中にエラーが発生しま した。レコード データはエラー コードです。 
     

    以上です。


    2013年8月30日 4:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    返信が遅くなりましたが、状況として、DNSサーバのAD複製がうまくいかず、結局DNS情報がおかしいのでAD複製ができない、というデッドロック状態になっているのではないでしょうか。以下の方法で修正を行ってみたらいいのではないでしょうか。

    1. 新サーバの[ローカルエリア接続]のTCP/IPv4プロパティの「次のDNSサーバのアドレスを使う」項目に旧サーバのIPアドレスだけを入れる(旧サーバのDNSサーバに正しい情報を登録する準備作業で、自分自身のIPアドレスや127.0.0.1は入れてはいけません)
    2. 新サーバの[サービス]スナップインで、「NetLogon」サービスを再起動します(旧サーバのDNSサーバに新サーバのSRVレコード等を正しく登録するためです)
    3. 新サーバで[コマンドプロンプト]から、コマンドを実行します。(2行に見えますが実際は1行のコマンドです)
      repadmin /replicate [新サーバ名] [旧サーバ名] CN=Configuration,DC=hogehoge,DC=local /force

      repadmin /replicate [新サーバ名] [旧サーバ名] DC=ForestDNSZones,DC=hogehoge,DC=local /force

      repadmin /replicate [新サーバ名] [旧サーバ名] DC=DomainDNSZones,DC=hogehoge,DC=local /force
      (正しくなった(はずの)旧サーバのDNS情報を新サーバに複製するためです)

    3の最初のコマンドがうまく実行できないような場合KCCを最適化するため、新サーバ・旧サーバの両方で以下のコマンドをそれぞれ実行し、15分ぐらい経過してから、うえの3の各コマンドを再実行してください。

    repadmin /kcc [自分のサーバ名]


    2013年9月2日 8:19
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、h.takimoto さん
    フォーラムオペレータの佐伯 玲 です。

    その後の状況はいかがでしょうか?
    一連のチャブーン さんからの返信がご参考になる情報だと思い私の方から「回答としてマーク」をさせていただきました。

    その後の状況に進展がございましたら引き続きこちらのスレッドへご返信いただけましたらと思います。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2013年9月9日 7:19
    |