none
metadataの削除後、GCが幽霊になってしまいました。 RRS feed

  • 質問

  • 2台で動いていたADのDCうち、操作マスタだったサーバーがハード故障を起こしたため、もう一台で動くよう操作マスタの移動とmetadataの削除を行ったところ、稼働はするのですがエラーを吐き各種管理ツールからドメインに接続できなくなりました。
    故障前の状態は以下の通りです。

    • サーバーA(WindowsServer2000):操作マスタ(5つ全て)、グローバルカタログ
    • サーバーB(WindowsServer2008):グローバルカタログ

    このうち、今回、サーバーAが故障。起動しなくなり、サーバーBのみで稼働するよう操作マスタの移動をすることになりました。
    作業の参考にしたのは以下の情報です。

    http://social.technet.microsoft.com/Forums/ja-JP/73248c41-7efa-4d84-8f09-e862e01871a0/active-directory-?forum=activedirectoryja
    http://blogs.technet.com/b/junichia/archive/2008/08/15/windows-server-dc.aspx

    実際にサーバーBで行った作業は、以下の通りです。

    1. ntdsutil→roles→seize~の各種コマンドを実行し、5つの役割をすべて強制取得
    2. 役割がすべてサーバーBに移ったことを確認
    3. ntdsutil→metadata cleanupのコマンドを実行し、サーバーリストからサーバーAをremove

    1~3まで特にエラーにならず終了し、もともとサーバーBもGCだったので既存ユーザーのログオンには特に問題がなく、現在も稼働しています。
    が、以下の問題が継続して発生しています。

    問題1:ActiveDirectoryがエラーをはいている。
    -----------------------------------------------------
    Active Directory ドメイン サービスは、グローバル カタログとの接続を確立できませんでした。 
    エラー値:1355 指定されたドメインがないか、またはアクセスできません。 
    ユーザー操作: 
    グローバル カタログがフォレストで利用可能なこと、このドメイン コントローラから到達可能なことを確認してください。 nltest ユーティリティを使ってこの問題を診断することもできます。
    ------------------------------------------------------
    ActiveDirectoryのログを見ると、上記のエラーを定期的にはいています。
    このため、(サーバーBはもとからGCだったはずですが、念のため)下記のコマンドでサーバーBをGCにしました。

    dsmod server "CN=サーバーB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domainname,DC=xx,DC=xx,DC=xx" -isgc yes

    コマンドの結果は成功。問題解決かとおもいましたが、解決せず、今も相変わらず定期的にエラーをはいています。

    問題2:各種管理ツールが利用できない。
    おそらく問題1が原因と思われますが、「ActiveDirectoryユーザーとコンピュータ」や「ActiveDirectoryサイトとサービス」等の管理ツールを利用しようとすると、「名前付け情報を検索できません。」となり利用できません。
    右クリック→ドメインの変更でドメインを選択しても、「ドメインが見つかりませんでした。」となります。
    ただ、これはタイミングによってはうまくいくこともあり、特に問題1で記載したdsmodのコマンドを実行後だと右クリック→ドメインの変更でうまくいくことがあります。

    長々と書きましたが、上記の経緯により、現在「既存ユーザーは利用できるが、新規ユーザー追加等の作業ができない」状態になり解決策を探っています。
    が、色々と調べてもどうにも原因がわからないので、こちらにて質問させて頂きました。

    ActiveDirectoryに詳しい方、お知恵を拝借できますよう、よろしくお願いします。








    2013年12月4日 1:19

回答

  • 正常に降格すると DNS レコードも削除されますが、手動降格を行う場合は metadata の削除の上、DNS レコードの削除も行った方が良いです。
    DNS レコードの削除は行いましたでしょうか?

    1. domainname.co.jp の A レコードで IP アドレスがサーバー A の IP アドレスのレコード
        (サーバー A の A レコードも不要です)

    2. _msdcs.domainname.co.jp ゾーン配下でサーバー A の値が入っているすべてのレコード

    また、上述のレコードは各ドメイン コントローラーが動的に登録しています。
    C:\Windows\System32\config\netlogon.dns にドメイン コントローラーが登録する DNS レコードの一部が記載されているので、参考情報としてみてみるのも良いかもです。

    上記だけでは解決できないかもしれませんが、ひとまず対応をご検討ください。


    • 回答としてマーク LocalAdminLL 2013年12月4日 2:56
    • 編集済み QSE 2013年12月4日 7:02 PII について指摘をした部分を削除しました
    2013年12月4日 2:19
  • チャブーンです。

    この件なのですが、現状 Windows Server 2008 (R2?) 1台の環境というところで、やはり「自分がGCであること」がうまく登録できていないか、GCの参照先(SRV)が正しくないのどちらかの可能性が高いように見えますね。

    1. 自分自身のGC機能が正しいこと
      nltest /server:serverName /dsgetdc:domainName /gc /forceを実行して、GCのアドバタイズが正しいことを確認します。またRootDSEのisGlobalCatalogReady属性が正しいことを確認します。方法についてはしたのページにありますね。
      http://technet.microsoft.com/en-us/library/cc739901(v=ws.10).aspx
    2. GCのSRVレコードが正しいこと
      GCのSRVレコードは[_ldap._tcp._msdcs.<フォレストルート>]と[_ldap._tcp._Default-First-Site-Name._sites._msdcs.<フォレストルートDNS>]にありますので、そこが正常に登録されていることを確認します。

    追記:書き込みしている間に、処理が進行したようですね。別途追記を書きます。


    2013年12月4日 6:45
    モデレータ
  • チャブーンです。

    #追記がありましたので、回答内容を少し変えます。

    まず

    > nltestですが、/ds /forceなしだと応答があり、

    /gc です。/dsではないです。念のため正しいオプションで実行し直していただけますか?

    この状況を再確認したのですが、やはりDNS名前解決がうまくいっていない可能性が一番高いので、そこを確認することが優先かと思いました。念のためnslookupの対話モードで以下を実行してみてください。

    set type=srv
    _ldap._tcp.xxx.xxx.jp
    <SRVレコードの情報とサーバ一覧がでるはずです>
    _ldap._tcp.gc._msdcs.xxx.xxx.jp
    <SRVレコードの情報とサーバ一覧がでるはずです>

    あと客観的な状況を再取得することが必要なので、ドメインコントローラ上で dcdiag /vを実行してチェックをしてみてください。原則的に失敗した項目に問題があるので、これをヒントにトラブルシュートを行うことになります。

    2013年12月4日 7:50
    モデレータ
  • 横からすみません。

    元々の話にもどりますが、サーバー B にはユーザー アカウントなどの情報が正しく存在するとなると、サーバー A が健在だったときにはサーバー B への複製は問題がなかったと想定できます。
    SRV レコードは netlogon サービスが定期的に動的更新していますので、現在 DNS レコードが存在しないと仮定するならば、恒常的に DNS の動的更新に失敗していた可能性が考えられると思います。

    そういった意味から申し上げますと、サーバー B の netlogon.dnb が破損している可能性を私は疑っています。
    その為、サーバー B 上で以下のファイルを削除した上、netlogon サービスを再起動し、SRV レコードが再登録されるかを確認してはいかがでしょうか?

    C:\Windows\System32\config\netlogon.dnb
    C:\Windows\System32\config\netlogon.dns

    その上で dcdiag /v の結果が知りたいです。

    • 回答としてマーク LocalAdminLL 2013年12月5日 2:28
    2013年12月4日 8:52

すべての返信

  • 正常に降格すると DNS レコードも削除されますが、手動降格を行う場合は metadata の削除の上、DNS レコードの削除も行った方が良いです。
    DNS レコードの削除は行いましたでしょうか?

    1. domainname.co.jp の A レコードで IP アドレスがサーバー A の IP アドレスのレコード
        (サーバー A の A レコードも不要です)

    2. _msdcs.domainname.co.jp ゾーン配下でサーバー A の値が入っているすべてのレコード

    また、上述のレコードは各ドメイン コントローラーが動的に登録しています。
    C:\Windows\System32\config\netlogon.dns にドメイン コントローラーが登録する DNS レコードの一部が記載されているので、参考情報としてみてみるのも良いかもです。

    上記だけでは解決できないかもしれませんが、ひとまず対応をご検討ください。


    • 回答としてマーク LocalAdminLL 2013年12月4日 2:56
    • 編集済み QSE 2013年12月4日 7:02 PII について指摘をした部分を削除しました
    2013年12月4日 2:19
  • ご回答ありがとうございます。

    DNSレコードは削除していなかったので、ご回答にて指摘して頂いたレコードを削除しました。
    C:\Windows\System32\config\netlogon.dnsも見て、サーバーAの情報がないことを確認しました。

    ですが、回答でも予想して頂いた通り、上記のみでは解決せず、症状は変わらないようです。引き続き、よろしくお願いします。

    ※dsmodの該当箇所、マスクしました。ご指摘ありがとうございます。

    2013年12月4日 2:52
  • 気になる点としてサーバー B 側は正常に稼動しているのでしょうか?

    仮に 2 台の DC があり、1 台がアクセスできなくなったとしても 1355 はでないと思います。

    サーバー B やクライアントのイベント ログのシステムで netlogon のイベントが多数出ていないでしょうか?

    また、同じくクライアントやサーバー B が指定している DNS の設定ですが、サーバー B に向いており、サーバー B の DNS Server も正しく動作しているでしょうか?

    2013年12月4日 3:13
  • ご回答ありがとうございます。

    >サーバー B やクライアントのイベント ログのシステムで netlogon のイベントが多数出ていないでしょうか?
    確認しましたが、出ていないようです。

    >クライアントやサーバー B が指定している DNS の設定ですが、サーバー B に向いており、サーバー B の DNS Server も正しく動作しているでしょうか?
    すみません。こちら、どこから確認・設定できますか?
    サーバーBのDNS Serverは稼働しており、特にエラーや警告ログもでていないようです。

    2013年12月4日 4:31
  • イベント ログのシステムです。ipconfig /all でリゾルバの設定を確認することをお話していました。

    また、 1355 が出るのはドメイン コントローラーだけなのでしょうか?

    nltest /dsgetdc:%userdnsdomain% を実行して 1355 が返ってくる端末はどれかをはっきりした方が良いかと存じます。

    http://technet.microsoft.com/ja-jp/library/cc731935(v=ws.10).aspx

    1355 が出る要因としては正しくドメイン コントローラーにアクセスできないためであり、今回の状況からすると名前解決に問題がある可能性があります。

    • 回答としてマーク LocalAdminLL 2013年12月4日 6:33
    • 回答としてマークされていない LocalAdminLL 2013年12月4日 8:42
    2013年12月4日 4:58
  • ipconfig /allで確認したところ、ご指摘通り、DNSサーバーがサーバーAになっていたので修正しました。

    「ActiveDirectoryユーザーとコンピュータ」はタイミングによってはドメインを見つけられるのですが、新しいユーザーを追加しようとすると「グローバルカタログにアクセス中にエラーが~」と警告が出るので、依然グローバルカタログが見つけられていないようです。
    また、ActiveDirectoryサイトとサービスは相変わらず利用できず、フォレストの変更をしてもドメインを見つけられません。

    再起動したところ、DNSサーバーにて、気になる警告ログが発生していました。

    -----------------------------------------------------------------
    DNS サーバーは、ビルトイン ディレクトリ パーティション ForestDnsZones.domainname.xx.jp を作成できませんでした。
    DNS サーバーは、ビルトイン ディレクトリ パーティション DomainDnsZones.domainname.xx.jp を作成できませんでした。
    -----------------------------------------------------------------

    関連してか、ActiveDirectoryでは以下の警告がでています。

    ----------------------------------------------------------------
    ローカル ドメイン コントローラは、次のディレクトリ パーティションをホストしている次のドメイン コントローラと接続して識別名を解決できませんでした。
    ドメイン コントローラ:

    ディレクトリ パーティション:
    domainname.xx.jp 

    追加データ 
    エラー値:
    1355 指定されたドメインがないか、またはアクセスできません。

    ----------------------------------------------------------------

    引き続き、よろしくお願いします。

    2013年12月4日 6:24
  • チャブーンです。

    この件なのですが、現状 Windows Server 2008 (R2?) 1台の環境というところで、やはり「自分がGCであること」がうまく登録できていないか、GCの参照先(SRV)が正しくないのどちらかの可能性が高いように見えますね。

    1. 自分自身のGC機能が正しいこと
      nltest /server:serverName /dsgetdc:domainName /gc /forceを実行して、GCのアドバタイズが正しいことを確認します。またRootDSEのisGlobalCatalogReady属性が正しいことを確認します。方法についてはしたのページにありますね。
      http://technet.microsoft.com/en-us/library/cc739901(v=ws.10).aspx
    2. GCのSRVレコードが正しいこと
      GCのSRVレコードは[_ldap._tcp._msdcs.<フォレストルート>]と[_ldap._tcp._Default-First-Site-Name._sites._msdcs.<フォレストルートDNS>]にありますので、そこが正常に登録されていることを確認します。

    追記:書き込みしている間に、処理が進行したようですね。別途追記を書きます。


    2013年12月4日 6:45
    モデレータ
  • 回答ありがとうございます。

    • nltest実行:「DC 名の取得に失敗しました: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN」のエラー
    • isGlobalCatalogReady:Trueであることを確認
    • GCのSRVレコード:正常に登録されていることを確認

    となりました。

    GCのSRVレコードについては、DNSの前方参照ゾーンからの確認でよかったでしょうか?

    追記:nltestですが、/ds /forceなしだと応答があり、応答のフラグにも『GC』がありました。

    2013年12月4日 7:05
  • チャブーンです。

    #追記がありましたので、回答内容を少し変えます。

    まず

    > nltestですが、/ds /forceなしだと応答があり、

    /gc です。/dsではないです。念のため正しいオプションで実行し直していただけますか?

    この状況を再確認したのですが、やはりDNS名前解決がうまくいっていない可能性が一番高いので、そこを確認することが優先かと思いました。念のためnslookupの対話モードで以下を実行してみてください。

    set type=srv
    _ldap._tcp.xxx.xxx.jp
    <SRVレコードの情報とサーバ一覧がでるはずです>
    _ldap._tcp.gc._msdcs.xxx.xxx.jp
    <SRVレコードの情報とサーバ一覧がでるはずです>

    あと客観的な状況を再取得することが必要なので、ドメインコントローラ上で dcdiag /vを実行してチェックをしてみてください。原則的に失敗した項目に問題があるので、これをヒントにトラブルシュートを行うことになります。

    2013年12月4日 7:50
    モデレータ
  • >/gc です。/dsではないです。念のため正しいオプションで実行し直していただけますか?
    すみません。コマンドは正しく実行できていたのですが、追記するときに間違えました。

    コマンド自体の結果は、先に記載した通りです。

    msDS-isGC属性はTrueでした。

    dcdiagコマンドは、実行したところ、以下のようなエラーが検出されました。

    ---------------------------------------------------------------------------
    必須の初期テストを実行しています
    サーバーをテストしています: Default-First-Site-Name\サーバーB
          テストを開始しています: Connectivity
             * Active Directory LDAP Services Check
             ホスト xxxxxxxxxxxxxxxxxxxxxxxxx._msdcs.domainname.xx.jp は
             IP アドレスに解決できませんでした。DNS サーバー、DHCP、サーバー名などを確認してください。
             ......................... サーバーB はテスト Connectivity に失敗しました

    (中略)
       
       エンタープライズ テストを実行しています: domainname.xx.jp
          テストはユーザーの要求により省略されました: DNS
          テストはユーザーの要求により省略されました: DNS
          テストを開始しています: LocatorCheck
             警告: DcGetDcName(GC_SERVER_REQUIRED) 呼び出しが失敗しました。エラー 1355
             グローバル カタログ サーバーが見つかりませんでした。すべての GC が停止しています。

             PDC Name: \\サーバーB.domainname.xx.jp
             Locator Flags: 0xe00013fd
             警告: DcGetDcName(TIME_SERVER) 呼び出しが失敗しました。エラー 1355

             タイム サーバーが見つかりませんでした。
             PDC の役割を保持しているサーバーが停止しています。
             警告: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) 呼び出しが失敗しました。エラー 1355
             正常なタイム サーバーが見つかりませんでした。

             警告: DcGetDcName(KDC_REQUIRED) 呼び出しが失敗しました。エラー 1355
             KDC が見つかりませんでした。すべての KDC が停止しています。
             ......................... domainame.xx.jp はテスト LocatorCheck に失敗しました
    ----------------------------------------------------------------------------

    nslookupは、SRVレコード情報が正しく表示され、サーバーAを参照していたものはありませんでした。



    2013年12月4日 8:19
  • チャブーンです。

    Connectivityでエラーが出たということは、まずDNS名前解決周りを疑うべきです。

    dcdiagを参考に、nslookupの対話モードで名前解決が可能か、確認をお願いします。

    set type=srv
    _ldap._tcp.domainname.xx.jp
    < SRVレコードの情報とサーバ一覧とIPアドレスがでるはずです>
    _ldap._tcp.gc._msdcs.domainname.xx.jp
    < SRVレコードの情報とサーバ一覧とIPアドレスがでるはずです>
    set type=any
    xxxxxxxxxxxxxxxxxxxxxxxxx._msdcs.domainname.xx.jp
    < canonical nameの名前解決とサーバ名とIPアドレスがでるはずです>



    2013年12月4日 8:45
    モデレータ
  • 横からすみません。

    元々の話にもどりますが、サーバー B にはユーザー アカウントなどの情報が正しく存在するとなると、サーバー A が健在だったときにはサーバー B への複製は問題がなかったと想定できます。
    SRV レコードは netlogon サービスが定期的に動的更新していますので、現在 DNS レコードが存在しないと仮定するならば、恒常的に DNS の動的更新に失敗していた可能性が考えられると思います。

    そういった意味から申し上げますと、サーバー B の netlogon.dnb が破損している可能性を私は疑っています。
    その為、サーバー B 上で以下のファイルを削除した上、netlogon サービスを再起動し、SRV レコードが再登録されるかを確認してはいかがでしょうか?

    C:\Windows\System32\config\netlogon.dnb
    C:\Windows\System32\config\netlogon.dns

    その上で dcdiag /v の結果が知りたいです。

    • 回答としてマーク LocalAdminLL 2013年12月5日 2:28
    2013年12月4日 8:52
  • チャブーンです。

    たしかにおっしゃるとおり、netlogon.dns/.dnbの再作成は意味がありそうですね。ただその場合、DNSイベントが出ると思うのですが、やっていただく価値はありますね。

    http://support.microsoft.com/kb/311354/ja

    2013年12月4日 9:09
    モデレータ
  • ご回答ありがとうございます。

    まず、QSEさんからご指摘のあったnetlogon.dnbとnetlogon.dnsの再作成を行い、再度dcdiagを実行しました。
    結果は、残念ながら再作成前と全く変わらず、Connectivityで失敗しその他の結果も同じでした。

    次に、nslookupの対話モードでの名前解決の確認ですが、上記再作成後にConnectivityで失敗した名前と_ldap._tcp.domainname.xx.jp、_ldap._tcp.gc._msdcs.domainname.xx.jpをご教授頂いたコマンドにて確認し、いずれもサーバーBのIPアドレスに解決できました。

    取り急ぎ確認結果のみの報告ですが、本日確認しても、やはりGCのエラーとDNSの警告は相変わらず出ているようです。

    2013年12月5日 2:28
  • チャブーンです。

    ということであれば、一応DNS周りの問題をもう少し対応した方がいいのかもしれません。別の投稿にあるエラー

    DNS サーバーは、ビルトイン ディレクトリ パーティション ForestDnsZones.domainname.xx.jp を作成できませんでした。
    DNS サーバーは、ビルトイン ディレクトリ パーティション DomainDnsZones.domainname.xx.jp を作成できませんでした。

    これの対応方法ですが、[DNS]コンソールから手動で作成します。Enterprise Admins権限がないと作成できません。ForestDNSZoneとDomainDNSZones両方について対応する必要があります。方法についてはしたをご覧ください。

    http://technet.microsoft.com/en-us/library/cc735663(v=ws.10).aspx


    追記:でこれがうまくいった場合ですが、Windows 2000相当のDNSデータをldifdeでバックアップ→ADSIエディタでDNSゾーン自体を削除→Windows Server 2003相当のDNSゾーンを手動で作成→nltest /dsregdnsでSRVレコード再登録という流れで改善する可能性はありますが、手順があるので自己流で実施しない方がいいかもしれません。
    2013年12月5日 4:21
    モデレータ
  • 回答ありがとうございます。

    ご教授頂いたURLを元に、Forest~とDomain~を手動で作成しようとしたところ、「ドメイン名前付けマスタの役割を持つドメインコントローラがダウンしているか、要求を処理できないかまたはWindowsServer2003が実行されていません。」のダイアログがでて、作成できませんでした。

    Active Directory ドメインと信頼関係のツールで操作マスタを確認したところ、サーバーBになっていたのですが、これではないのでしょうか。

    2013年12月5日 4:50
  • チャブーンです。

    状況からDNS上に何らかの問題があってGCが認識できず、GCが認識できないのでドメイン名前付けマスタが認識できない、というデッドロック状態なのかもしれません。

    http://technet.microsoft.com/en-us/library/cc526629.aspx

    (前にも書きましたが)Windows 2000 Serverとの同時運用ということで、現状のDNSデータはDC=domainname.xx.jp,CN=MicrosoftDNS,CN=System,DC=domainname,DC=xx,DC=jpに格納されていると判断しています。先にこれをリセット(作り直し)してみる方法があると思います。

    • ldifde等でうえのレコードをエクスポートする(万一の場合の書き戻しの為)
    • ADSIエディタでうえのDNごと削除する
    • [DNSコンソール]で新規にAD統合ゾーンを作り、複製範囲を「このドメインのすべてのドメインコントローラー」にする(Windows 2000互換で作る必要があります)
    • nltest /dsregdnsでSRVレコードを再登録する
    2013年12月6日 2:25
    モデレータ
  • ご回答ありがとうございます。取り急ぎ、結果のご報告です。

    ご教授頂いた手順に従い、ADSIエディタでDNごと削除→DNSコンソールで新規AD統合ゾーンをWindows 2000互換で作成→nltest /dsregdnsまで作業を行いました。

    その後、再度Forest~とDomain~を手動で作成しようとしたところ、依然「ドメイン名前付けマスタの役割を持つドメインコントローラがダウンしているか、要求を処理できないかまたはWindowsServer2003が実行されていません。」のエラーになりました。

    2013年12月6日 3:58
  • チャブーンです。

    現状でですが、当初のエラー(GCにアクセスできない)はどうなっていますか?変わっていませんか?dcdiagも一応再実行してみてください。

    2013年12月6日 4:09
    モデレータ
  • 情報をマスクしてでかまいませんので、サーバー B 上で以下のコマンドを実行し、結果を貼り付けて頂けませんか?

    > netdom query fsmo

    スキーマ マスター                ServerB.xxxxxxx.co.jp
    ドメイン名前付けマスター        ServerB.xxxxxxx.co.jp
    PDC                         ServerB.xxxxxxx.co.jp
    RID プール マネージャー        ServerB.xxxxxxx.co.jp
    インフラストラクチャ マスター    ServerB.xxxxxxx.co.jp

    念のため、FSMO はどこなのかを確認したいです。

    よろしくお願いいたします。

    2013年12月6日 4:11
  • >当初のエラー

    まだ出ています。本日AD統合ゾーンを再作成した後にも出ているので、解消されていないようです。

    >dcdiag

    実行しましたが、変化はありませんでした。

    >netdomコマンド

    スキーマ マスタ                サーバーB.domainname.xx.jp
    ドメイン名前付けマスタ        サーバーB.domainname.xx.jp
    PDC                         サーバーB.domainname.xx.jp
    RID プール マネージャ        サーバーB.domainname.xx.jp
    インフラストラクチャ マスタ    サーバーB.domainname.xx.jp
    コマンドは正しく完了しました。

    になりました。
    ただ、最初に実行した際には「指定されたドメインがないか、またはアクセスできません。」のエラーになり、dsmodコマンドで再度GC設定をしたところ上記の結果が得られました。



    2013年12月6日 4:58
  • チャブーンです。

    いったんマークされたGCの設定が外れてしまったということですが、ディレクトリサービスのデータベースの不整合等で無効なデータとして登録されてしまった可能性もなくはない状況かなと(現時点でそこまではわからないですが)。

    念のため、「Directory Service」ログを再確認していただいた方がいいと思います。この状況で何のエラーも出ていないとは考えられないので。すべてのエラーが確認の対象だと思います。

    設定したGCが消えないようにする場合、,CN=NTDS Settings,CN=<サーバ名>1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domainname,DC=xx,DC=jpのmsDS-isGC属性に書き込み拒否(Everyoneの「このオブジェクトのみ」の「msDS-isGCの書き込みの拒否」を設定)をすることで、値が変わらないようにすることはできると思いますが、付け焼刃的な対応方法で本質的な問題解決には結びつかないように思います。

    これ以上の対応方法が必要な場合、以下の情報のすべてを見ないと責任ある回答は難しいと思います。

    1. msinfo32で取得したシステム環境の詳細すべて(シングルフォレスト・シングルドメイン・1台のみのDC環境なのかどうかも含めた総合的な状況の確認も必要)
    2. CN=Configuration,DC=domainname,DC=xx,DC=jpとDC=domainname,DC=xx,DC=jpの全情報(ldifdeで出力ができます)
    3. システム・アプリケーション・Directory Service・DNS・FRS Repricationの各ログのすべて

    この件は時間も経ってしまっており、無償掲示板でうえのレベルの対応はムリなので、ここで対応を続けるかどうかはともかく、MS有償サポートにあわせて問い合わせいただくことをお奨めします。ひとまずご自身で判断なさってください。情報をいただければ、お答えできることはしますが、適切な回答が差し上げられにくい状況であることはご了解ください。

    2013年12月6日 6:56
    モデレータ
  • チャブーンさんと同じ意見ではありますが、複数の問題を抱えていそうなので、1 つのインシデントでは対応が難しいのではないかなぁと思います。
    有償サポートはこちらに電話番号が載っていますので、ご検討頂ければと存じます。

    http://www.microsoft.com/ja-jp/services/professional.aspx

    私も個人的には可能な範囲ではご支援したいと思うので、この件以外でもお困りごとがあれば投稿して頂ければと存じます。
    お力になれず、申し訳ございませんでした。

    2013年12月6日 7:11
  • ご回答ありがとうございます。

    現在の状況ですが、チャブーンさんにご教授頂いた方法でmsDS-isGCの書き込みを拒否に設定し、数日ほど様子を見ました。結果としては、相変わらずサーバーBのリモートログイン等は問題なくできるものの、下記2つの警告・エラーが定期的に出続ける状況も変わりませんでした。

    -----------------------------------------------------------
    ログの名前:         Directory Service
    イベント ID:       1844
    タスクのカテゴリ:      名前の解決
    レベル:           警告
    ユーザー:          SYSTEM
    説明:
    ローカル ドメイン コントローラは、次のディレクトリ パーティションをホストしている次のドメイン コントローラと接続して識別名を解決できませんでした。 
     
    ドメイン コントローラ:
     
    ディレクトリ パーティション:
    domainname.xx.jp 
     
    追加データ 
    エラー値:
    1355 指定されたドメインがないか、またはアクセスできません。 
    -----------------------------------------------------------
    ログの名前:         Directory Service
    イベント ID:       1126
    タスクのカテゴリ:      グローバル カタログ
    レベル:           エラー
    ユーザー:          ANONYMOUS LOGON
    説明:
    Active Directory ドメイン サービスは、グローバル カタログとの接続を確立できませんでした。 
     
    追加データ 
    エラー値:
    1355 指定されたドメインがないか、またはアクセスできません。 
    -----------------------------------------------------------

    ディレクトリサービスとDNSのログも確認しましたが、上記二つ以外には警告もエラーも出ていないようです。

    これ以上は問題の特定が難しく有償サポートを利用したほうがよいとのことで、上記の報告でここでの質問は切り上げ、有償サポートを利用することを検討したいと思います。

    最後になりますが、上記の状況をみてなにか考えられることがありましたら、ご教授頂けると有りがたいです。
    色々とご教授頂き、ありがとうございました。

    2013年12月9日 1:00
  • チャブーンです。

    いただいたエラーイベントは一般的なエラーイベントであり、LDAPの内部的な状況等はわからないと思います。これらのイベントしか出ていないということであれば、ひとまずデータベースの不整合といった問題はなさそうということは言えるかもしれません。

    ご懸念と思われるドメイン名前付けマスタの整合性ですが、LDAP的にはCN=Partitions,CN=Configuration,DC=domainname,DC=xx.DC=jpのfSMORoleOwner属性で確認することができます。ここにCN=NTDS Settings,CN=<自分のサーバ名>,CN=Servers,CN=Default-First-Site-Name,CN=Sites,<構成パーティションDN>と入っていれば大丈夫だと思います。

    これ以降については、ひとまず有償サポートの支援を受けられた方がよいと思います。

    2013年12月9日 2:42
    モデレータ
  • ご回答ありがとうございます。

    上記パーティション設定についてですが、ntdsutilで確認したところ、下記3つのパーティションがありました。

    0 - CN=Configuration,DC=domainname,DC=xx,DC=jp
    1 - CN=Schema,CN=Configuration,DC=domainname,DC=xx,DC=jp
    2 - DC=domainname,DC=xx,DC=jp

    すべての属性を確認しましたが、いずれもfSMORoleOwnerは未設定になっていました。

    これらすべてについて、「CN=NTDS Settings,CN=<自分のサーバ名>,CN=Servers,CN=Default-First-Site-Name,CN=Sites,<構成パーティションDN>」の設定が必要ということでしょうか?

    また、設定値のうち<構成パーティションDN>というものがわからなかったのですが、何の値をいれればよいのでしょうか?

    2013年12月9日 3:08
  • チャブーンです。

    ntdsutilではなく、ADSIエディターで直接確認してください。

    「構成」パーティションに接続し、CN=Partitions,CN=Configuration,DC=domainname,DC=xx.DC=jpを右クリックして[プロパティ]からfSMORoleOwnerを直接確認します。


    入っているべき値は、[CN=NTDS Settings,CN=<自分のサーバ名>,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domainname,DC=xx,DC=jp]です。

    2013年12月9日 3:12
    モデレータ
  • 回答ありがとうございます。

    確認したところ、fSMORoleOwnerは正しく設定されていました。
    やはり別の原因があるようですので、有償サポートを検討させて頂きたいと思います。

    ご教授頂きありがとうございました。

    2013年12月9日 6:17