AD環境が構築できません

すべての返信

• 

  

  0

  サインインして投票

  参考にした具体的な手順がわかれば、もう少し的確なアドバイスができるかと思います。

  見た限りだと、ADとDNSの役割を導入後、ドメインコントローラーに昇格していないように見受けられます。

  2016年6月5日 13:00

  返信

  |

  引用
• 

  

  0

  サインインして投票

  ドメインコントローラーへの昇格はさせています。

  手順的には

  ADとDNSの役割を導入→ドメインコントローラに昇格後、再起動→ログイン時は設定したドメイン￥Administratorでログイン

  ですね。本当に参考書通りに設定したという感じです。

  なのでなんで構築に失敗しているのが不思議でならないです。

  2016年6月5日 13:22

  返信

  |

  引用
• 

  

  0

  サインインして投票

  もう少し具体的な情報がほしいところですが、dcdiag /a コマンドでエラーとなっている項目やイベントログにヒントが有るかもしれません。インストール時に何かエラーが出ているかと思います。

  参考書通り
  →　物理環境で、GUIのActive Directoryの役割追加のウィザードを起動し、その際にDNSも同時に導入し、ドメイン名とディレクトリサービス復元モード用のパスワード以外のパラメータは、データベース保存先も含めて既定のまま。他に役割を追加したりはしていない、といった感じでしょうか。

  また昇格させている
  →　成功したように見えており、コンピューターのプロパティもWORKGROUPではなくドメイン名が表示されている？

  nslookupでDNSが正常であることを確認
  →「nslookup ドメイン名」で結果は帰ってくるが、ForestDNSZoneやDomainDNSZoneは存在しない？
  　同名のドメインがネットワーク上にすでに存在していて、そちらから結果が帰ってきていたりしないでしょうか。

  2016年6月5日 14:33

  返信

  |

  引用
• 

  

  0

  サインインして投票

  dcdiag /a　の結果からはグローバルカタログサーバーが見つかりませんのメッセージが表示されておりNTPタイムサーバーがみつかりませんも表示されております。

  >>

  ・参考書通り

  全くその通りです。

  ・また昇格させている

  ドメイン名になっています。

  nslookupでDNSが正常であることを確認

  ないと思われます。

  色々と調べているとグローバルカタログサーバーが機能していない事が問題のようです。

  2016年6月5日 15:15

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  この件ですが、DNSサーバのデータ元になっている「ForestDNSZones」「DomainDNSZones」が正常に設定されていない、ところがそもそもの原因のような気がします。ですから、この方面から、順に確認された方がいいと思います。

  まず、念のため「ForestDNSZones」および「DomainDNSZones」パーティションおよび必要なコンテナが作成されていることを確認します。

  1. ADSIエディタを起動し[操作]-[接続]で"識別名または名前付けコンテキストを選択または入力する"に「DC=DomainDNSZones,DC=Example,DC=com」(ドメインがexample.comの場合)を入力実行する
  2. そこから[CN=MicrosoftDNS]-[DC=example.com]ツリーをたどり、dnsNodeが入っていること
  3. ADSIエディタの[操作]-[接続]で"識別名または名前付けコンテキストを選択または入力する"に「DC=ForestDNSZones,DC=Example,DC=com」(ドメインがexample.comの場合)を入力実行する
  4. そこから[CN=MicrosoftDNS]-[DC=_msdcs.example.com]ツリーをたどり、dnsNodeが入っていること

  もしパーティションが存在しない場合、以下のコマンドでパーティション自体を作成してください。

  DomainDNSZonesがない場合:dnscmd <サーバ名> /CreateBuiltinDirectoryPartitions /domain
  ForestDNSZonesがない場合:dnscmd <サーバ名> /CreateBuiltinDirectoryPartitions /Forest

  
  

  パーティションが無事にできた場合(あるいは最初から存在はしている)、[DNSの管理]スナップインから現在のゾーンを削除したうえ、新規の前方参照ゾーンとしてそれぞれを再作成します。この際以下のようにする必要があります。

  1. [example.com]:「プライマリ」「Active Directoryにゾーンを格納する」「このドメインのドメインコントローラー上で実行しているすべてのDNSサーバー」(真ん中の選択肢)
  2. [_msdcs.example.com]:「プライマリ」「Active Directoryにゾーンを格納する」「このフォレストのドメインコントローラー上で実行しているすべてのDNSサーバー」(最上段の選択肢)

  正常にゾーンを作成したら、あとは自動登録を行います。

  net stop netlogon && net start netlogon
  ipconfig /registerdns

  ただ、新規に1台のドメインコントローラを作るだけなら、ここまでやらなくても「最初からやり直す」方法がわかりやすく適切なように思います。注意点としては、降格させた後いったん「Active Directoryドメインサービス」機能はアンインストールし、もう一度インストールからやり直すことです。この作業を行わない場合、エラーがでて再昇格できないことがあります。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  
  
  
  

  • 編集済み チャブーンMVP, Moderator 2016年6月6日 3:44

  2016年6月6日 3:02

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  ADSIエディタでDomainDnsZones及びForestDnsZonesのパーティエーションの確認を実施しましたが、

  「指定されたドメインがないか、またはアクセスできません」のポップアップがあがり先に進めませんでした。

  ならばとパーティエーションの作成を行い、コマンドを入力しましたが

  「組み込みディレクトリパーティションを作成できませんでした。状態=9906(0×000026b2) コマンドを実行できませんでしたDNS_ERROR_DP_FSMO_ERROR」のメッセージが出て失敗します。

  ちなみに、今回の質問の段階ですでに２回程構築に失敗しアンインストール・再インストールを実施しています。その上でOSを再インストールしてリトライしています（今の状態ですね）。

  最初からやり直しても、今と同じ状況になると思われます。

  
  

  2016年6月6日 12:15

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  この件ですが、本当に最初から(AD DSの役割追加から)試していてうまくいかない、ということでしたら、より下位レイヤに問題がある可能性があります。

  一番疑わしいのは、ネットワークの設定です。たとえばIPアドレスの設定がネットワーク内で重複している場合や、スイッチのフィルターで接続が拒否されているような場合、AD DSの構成が正常動作しない可能性があります。ありがちなケースでは、IPアドレスの重複が発生しているのに、重複したマシンがLinux等の非Windowsのマシンの場合、Windows側(つまり自分)にIPアドレス重複の通知が来ないため、それと知らずに構成してしまうようなケースです。

  また、ネットワーク設定で参照先DNSサーバが自分自身以外を指している(代替DNSサーバ等で)可能性についても、念のため確認いただいた方がいいでしょう。

  上記の観点で、いったん確認いただいた方がよいように思います。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  
  

  • 編集済み チャブーンMVP, Moderator 2016年6月7日 4:48

  2016年6月7日 4:48

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  指摘していただいたIPアドレスの重複についてはありませんでした。

  元々、操作自体はクライアントPCからリモートデスクトップで接続して行っているので問題ないかと思います。

  (Windowsファイアウォールの可能性も考慮して現在はドメイン・プライベート・パプリックのすべてを無効にしています。)

  参照先DNSサーバーも自分自身以外のIPはいれていないのでこれも問題ないかと思います。

  現在、調査した上で解っていることは

  ・ドメインネットワークに繋がらない

  ・ADツールが使用できない（ドメインに接続できないのメッセージがでて先に進めない)

  ・DNSを開くと「ForestDnsZones」、「DomainDnsZones」が作成されていない。

  ・DNSにて逆引き登録しようとするもDNS  アプリケーションパーティエーションが作成されていないとのメッセージがでて登録できない。

  ・dcdiagコマンドを打つと

  1. 　DsGetDcNameの呼び出しに失敗し、Advertisingに失敗する。
  2. 　KccEventは次のディレクトリパーティションをホストしているドメインコントローラーと接続して識別名を解決できませんでした　の警告メッセージが記録されるが成功する。
  3. NETLOGON共有に接続できない
  4. SystemLogでは色々とメッセージがでておりDNSの_msdcs_(ドメイン名).の名前解決は出来ない・DNSのKerberos系の動的削除に失敗しました・ドメインネットワークに接続できない。等のメッセージがでて失敗している。
  5. グローバルカタログサーバーが見つからない

  といった結果がでてくる。

  ・net shareコマンドを打つとNETLOGON/SYSVOLが共有化されていない。

  以上の事が判明しております。

  2016年6月7日 15:55

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  現状ですが、おっしゃることがすべて正しいとすると、普通では考えられないことですので、直接の原因を探すことは、現時点では難しいでしょう。可能性があるとすれば、素のOSインストールディスクからインストールしたのではなく、OSイメージディスク等で複製展開している環境で「事前に内部設定の変更」が行われているようなケースですが、これはこちらではわかりかねますので。

  仕方がないので、どうしてもインストールしたいということでしたら、以下の方法を採ってみるとよいと思います。

  1. まず[システムのプロパティ]-[コンピュータ名]-[このコンピューターのプライマリDNSサフィックス]で、構成するドメインDNS名<example.com>を事前に入れておく
  2. 次に「DNSサーバ」だけを最初にインストールする(AD DSはインストールしない)
  3. DNSサーバで[example.com]および[_msdcs.example.com]ゾーンを「プライマリ」「非セキュリティ保護およびセキュリティ保護の両方による動的更新を許可」でそれぞれ作成する
  4. [example.com]ゾーン内で「新しい委任」設定で[_msdcs]を指定し、委任先を自分自身に設定する(こうすることで[_msdcs.example.com]と連結します)
  5. この状態でAD DSをインストールし、ドメインコントローラを構成する

  うえが成功すれば、ひとまず非AD統合ゾーンのDNS環境ではありますが、これ以外の項目は問題なくActive Directoryが構成できます。あくまで問題がないという前提ですが、非AD統合ゾーンをAD統合ゾーンに後から変更することも可能です。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  
  
  
  

  • 編集済み チャブーンMVP, Moderator 2016年6月8日 3:24

  2016年6月8日 2:59

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  チャブーンさんが書かれていました手順にて試してみました

  結果はかわらず、依然としてドメインネットワークに接続できない状態です。

  AD統合ゾーンにもしようとするもディレクトリパーティションがみつかりませんでしたのポップアップがあがり変更できず。

  ADDSのインストールの段階から（昇格時の再起動で失敗している？）しっぱいしているんですかね。

  2016年6月8日 15:23

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  ええと。この件ですが、今ちゃんとやらないといけないのは「ひとまず非AD統合ゾーンのDNS環境ではありますが、これ以外の項目は問題なくActive Directoryが構成できます。」を達成することです。これはちゃんとできましたか？

  で、

  AD統合ゾーンにもしようとするもディレクトリパーティションがみつかりませんでしたのポップアップがあがり変更できず。

  これは、うえの状況(非AD統合ゾーンの状態)では、当たり前の挙動です。AD統合ゾーン化で最初にやらないといけないことは、[DNSの管理]から[既定のアプリケーションディレクトリの作成]で組み込みアプリケーションディレクトリを作成することで、これをしないとおっしゃるエラーが発生します。

  状況から、段階ごとにきちんとできていることを確認しながら進むことが重要だと思います。ですからまず、非AD統合ゾーンできちんとActive Directoryが構成されたことは、確認いただく必要があります。

  追記:もし「非AD統合ゾーンできちんとActive Directoryが構成されていない」場合ですが、状況からDNSサーバの動作に問題がある可能性が高いので、AD DS導入前のDNSサーバが「きちんと動作しているか」を、確認する必要があります。つまりより細かいステップごとに、動作を確認しないと先に進まないでしょう。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  
  
  

  • 編集済み チャブーンMVP, Moderator 2016年6月9日 1:49

  2016年6月8日 22:59

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  試してみました、結果は変わらずできませんでした。

  AD統合ゾーン化されていないだけで、症状としてはかわっていません。

  ADDSインストール前でのDNS上の動きはnslookupで見る限りでは正常でした。

  
  

  2016年6月9日 17:06

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  この件ですが、大前提として「1台のコンピュータ上に『新規フォレスト』で構成」ということで間違いはないのですよね？(既存フォレスト内での新規ドメインを作成するということなら、話しはまったく変わってきますので)。

  率直に申し上げるのですが、これは以下の順番で設定が正しいかどうか、動作が正常かどうかを割と丁寧に確認する必要があるでしょう。

  1. IPv4ネットワーク接続の設定(DNSの項目と「動的更新のチェックがONになっているか」)
  2. プライマリDNSサフィックスの設定(インストールするDNS名とあっているか)
  3. DNSサーバの設定(DNSゾーン名があっているか、DNS動的更新がきちんと行えるか)
  4. AD DSの設定(正常にインストールが行えているのか)

  上記はAcitve Directoryに相応に精通していないと対応は難しく、うえのチェック事項を逐一お伝えするのは、無償レベルのコミュニティでの対応ははっきりいってムリです。

  こちらですが、業務上必要事項として行っておられるなら、サーバ購入元ベンダーのサポートにまずは問い合わせていただく方がよいでしょう。購入元ベンダーがOEMでWindowsを供給していれば(一般的にはこの形態です)、ベンダーからMSに問い合わせを行ってくれます。

  どうしても問い合わせができない場合、以下のログのすべてを見せていただければ、(AD DSのインストール状況がわかるので)何か言えることがあるかもしれませんが、結果的にうえの1～4は必ず確認がいるので、問題解決の直接の答え、は事実上お伝えできません。

  C:\Windows\debug\DCPROMO.LOG
  C:\Windows\debug\dcpromoui.log

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  • 回答の候補に設定 Suguru KUNIIMVP 2016年6月12日 11:43
  • 回答としてマーク 星 睦美 2016年11月30日 7:08

  2016年6月10日 2:28

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  チャブーンさん、色々と回答をいただきありがとうございます。

  指示いただいた通り確認しながら再設定をしていましたが、結果としてはやはりかわりませんでした。

  過去の質問に類似したケースがないか調べましたら、そこでも解決していなさそうでしたので有償サポートなりになりそうです。

  その前に今は、ネットワーク面から見つめなおしております。

  自宅の契約したプロバイダのモデムに直接つなぎにしていたので、そこから新たにルーターを加えてネットワークを分けてやってみたいと思います。

  2016年6月12日 17:14

  返信

  |

  引用
• 

  

  0

  サインインして投票

  やきです。
  
  > IPアドレス:192.168.0.2
  > GWアドレス:192.168.0.1
  > DNSサーバー:127.0.0.1
  
  上記のことから、モデム直結でもすでにルーターが間に入っているものと思われます。
  ルーターを加える際、ネットワークが2重ルータ―構成にならないようご注意ください。
  
  ネットワークを分けるのであれば、まずはハブだけで構成してみてはどうでしょうか。
  

  2016年6月13日 4:16

  返信

  |

  引用
• 

  

  0

  サインインして投票

  ルーターを加えてやってみましたが、やはり現状から変わりませんでした。

  一応、二通りのパターンで試してみました、内訳は以下になります。

  パターン１：モデム-ルーター-ローカルサーバ

  モデム-ルーター間のネットワークアドレス:192.168.0.0

  ルーター-サーバー間のネットワークアドレス:192.168.1.0

  パターン２：ルーター-ローカルサーバ

  ルーター-サーバー間のネットワークアドレス:192.168.1.0

  パターン１はともかく２でも駄目になると、なにがなにやら…。

  サーバー本体がおかしい可能性も出てきましたが、１台のみのＡＤ構築自体が無理なのではないかという気が

  してきました。（本当はそんな事はないのだろうでしょうけど）

  購入先や有償サポートへの問い合わせを考えておりますが、自分の知識不足も否めないところはありますのでネットワーク面からＡＤ構築を教えてくれるようなサイト等はないでしょうか？

  2016年6月19日 12:12

  返信

  |

  引用
• 

  

  0

  サインインして投票

  こんにちは、ライガー さん
  フォーラムオペレータの佐伯 玲 です。
  
  解決が残念ながら難しそうで購入先や有償サポートへの問い合わせを考えているとのことですのでもし弊社のお問い合わせについては以下をご利用頂けましたらと思います。
  
  マイクロソフトへのお問い合わせ
  https://support.microsoft.com/ContactUs
  
  こちらのスレッドについてはどこか区切りの場面で「回答としてマーク」と設定いただきスレッドをクローズいただけましたらと思います。
  
  
  宜しくお願い致します。

  ---

  TechNet Community Support 佐伯 玲

  2016年6月20日 4:58

  返信

  |

  引用