none
windows2003のアクティブディレクトリ移行について RRS feed

  • 質問

  • はじめまして。
    質問させていただきます。

    今回、windows2003にてアクティブディレクトリサーバを運用しております。
    現在のサーバのHW耐用年数も過ぎたので、これを機に仮想化を行おうと思っている次第です。
    現在の構成及び、移行後の構成は以下のとおりです。

    <旧サーバ:物理サーバ>
    OS:Windows2003
    サーバ名:SWING(仮名)
    ドメイン名:test(仮名)
    稼動しているサービス:A/D、DNS、ファイルサーバ
    IP:192.168.26.xx
    明示的に開放したポート:137~139(TCP)

    <新サーバ:仮想サーバ>
    OS:Windows2003 SP2
    サーバ名:SWING(仮名)
    ドメイン名:test(仮名)
    稼動させる予定のサービス:A/D、DNS。ファイルサーバ
    IP:172.16.1.x

    今回の移行に際して、条件があり、【サーバ名】と【ドメイン名】を同一な物にしたいと思います。
    また、NWの要件として、現在のセグメントから全く別のセグメントに移動する予定です。
    (192.168.26.x/24→172.16.1.x/24)

    いろいろと調べたのですが、
    1)【現行サーバ:サーバ名[SWING]】と【テンポラリサーバ:サーバ名[SWINGTEMP]】とし、ドメイン参加をする。
    2)テンポラリサーバをDCに昇格させて、現行サーバからのA/D情報をテンポラリにコピィをする。
    3)現行サーバをDC降格させる
    4)【テンポラリサーバ】と【仮想環境サーバ:サーバ名[SWING]】をドメイン参加させる。
    5)仮想環境サーバをDCへ昇格させてテンポラリサーバのDC降格させる。

    この手順で行いたいと思い、一度検証環境にて試したのですが、まず、手順1)で以下のようなエラーメッセージが出てしまい、ドメイン参加ができません。

    ----------------------------------------------
    エラー: "DNS 名がありません。"
    (エラー コード 0x0000232B RCODE_NAME_ERROR)
    クエリは _ldap._tcp.dc._msdcs.JNXC の SRV レコードでした
    このエラーの一般的な原因として挙げられるのは:

    - ドメインにドメイン コントローラの場所を決める必要がある DNS SRV レコードが DNS で登録されていない。これらのレコードは、ドメイン コントローラがドメインに追加されるときに自動的に DNS サーバーに登録されます。レコードは、設定された間隔でドメイン コントローラによって更新されます。このコンピュータは次の IP アドレスの DNS サーバーを使って構成されています:

    192.168.26.xx
    - 次のゾーンのうち 1 つ以上が、その子ドメインへの委任を含んでいない:
    TEST
    . (ルート ゾーン)
    ----------------------------------------------

    この場合、どのようにすれば、ドメイン参加が可能になるのでしょうか?
    また、そもそも、A/D移行に際して、上記手順で大筋あっているかどうかご助言いただけると幸いです。

    よろしくお願いいたします。

     

    2010年7月26日 3:36

回答

  • まず、文章がよく解りません・・・

    が、一般的には以下の手順でよろしいのではないでしょうか?

    1.現行DCはそのまま

    2.仮想サーバーを現行サーバーとは別の名前で構築し、ドメインに参加

    3.仮想サーバーをDCに昇格

    4.ファイルサーバーを仮想サーバーに移動(この手順は5の後でもよい)

    5.現行DCから仮想サーバーにAD情報が複製されたら現行DCを降格

    6.旧現行DCをドメインから削除

    7.仮想DCを旧現行サーバー名に変更

     

    情報が記載されていないだけかも知れませんが、DCは冗長化させるため2台以上での運用が望ましいです。

    また、FISMO機能をもっているDCにはDC以外の機能を載せない方が無難です。

    2010年7月26日 7:18
  • 情報が漏れていました。

    現行DCにFISMO機能があった場合が動いている場合の前提ですが・・・

    仮想DCを昇格させて、現行DCを降格させるまでの間にFISMOの移動を忘れずに行ってください。

    ※3~5の間

    2010年7月26日 7:26
  • チャブーンです。

    この件、DNS エラーについてですが、ドメイン名を「TEST」(NetBIOSドメイン名)で参加させようとしていませんか?Active DirectoryではDNSドメイン名が必要なので、たとえばtest.local(TEST)ドメインに参加させたいのであれば、(システムのプロパティ画面で)「test.local」と入れなければいけません。もちろん参加させるコンピュータが参照するDNSサーバはドメインコントローラを指していないといけません。

    また当然ですが、DNSでの名前解決が必要ですから、ファイアウォールでDNS(53/udp、53/tcp)を解放していないと名前解決はできません。それ以外にも必要なポートがいくつもありますので、ファイアウォールの制限自体をいったんやめた方がいいでしょう。

    2010年7月26日 20:11
    モデレータ

すべての返信

  • まず、文章がよく解りません・・・

    が、一般的には以下の手順でよろしいのではないでしょうか?

    1.現行DCはそのまま

    2.仮想サーバーを現行サーバーとは別の名前で構築し、ドメインに参加

    3.仮想サーバーをDCに昇格

    4.ファイルサーバーを仮想サーバーに移動(この手順は5の後でもよい)

    5.現行DCから仮想サーバーにAD情報が複製されたら現行DCを降格

    6.旧現行DCをドメインから削除

    7.仮想DCを旧現行サーバー名に変更

     

    情報が記載されていないだけかも知れませんが、DCは冗長化させるため2台以上での運用が望ましいです。

    また、FISMO機能をもっているDCにはDC以外の機能を載せない方が無難です。

    2010年7月26日 7:18
  • 情報が漏れていました。

    現行DCにFISMO機能があった場合が動いている場合の前提ですが・・・

    仮想DCを昇格させて、現行DCを降格させるまでの間にFISMOの移動を忘れずに行ってください。

    ※3~5の間

    2010年7月26日 7:26
  • まず、文章がよく解りません・・・

    申し訳ございません。。。

    が、一般的には以下の手順でよろしいのではないでしょうか?
    有難うございます!
    1.現行DCはそのまま 2.仮想サーバーを現行サーバーとは別の名前で構築し、ドメインに参加

    この時点で、テンポラリのサーバ(サーバ名【SWING】を新規構築予定のサーバに名乗らせるために一次的な名前【SWINGTEMP】をつけております。)についてDC参加ができずにおります。
    (エラーメッセージは上記にある通りです。)

    その際に、上記エラーメッセージが帰ってきて困っております。。。</p> NWセグメントが違うと、ドメインへの参加ってできないものなのでしょうか?
    現行のDCサーバは192.168.26.xx/24で、検証用の【SWINGTEMP】はルータを介して172.19.1.x/24に所属しております。
    双方のサーバではポートの制御は特にせず、双方Pingも通りますし、【SWINGTEMP】から【SWING】に対して名前解決もできます。
    この現象はどうしたら解消できますでしょうか。。。
    諸兄の皆様ご教授お願いいたします。

    2010年7月26日 8:25
  • 有難うございます。
    まずは、示していただいた手順2の問題を解消したら、進みたいと思います。
    2010年7月26日 8:26
  • チャブーンです。

    この件、DNS エラーについてですが、ドメイン名を「TEST」(NetBIOSドメイン名)で参加させようとしていませんか?Active DirectoryではDNSドメイン名が必要なので、たとえばtest.local(TEST)ドメインに参加させたいのであれば、(システムのプロパティ画面で)「test.local」と入れなければいけません。もちろん参加させるコンピュータが参照するDNSサーバはドメインコントローラを指していないといけません。

    また当然ですが、DNSでの名前解決が必要ですから、ファイアウォールでDNS(53/udp、53/tcp)を解放していないと名前解決はできません。それ以外にも必要なポートがいくつもありますので、ファイアウォールの制限自体をいったんやめた方がいいでしょう。

    2010年7月26日 20:11
    モデレータ
  • チャブーンです。

    この件、DNS エラーについてですが、ドメイン名を「TEST」(NetBIOSドメイン名)で参加させようとしていませんか?Active DirectoryではDNSドメイン名が必要なので、たとえばtest.local(TEST)ドメインに参加させたいのであれば、(システムのプロパティ画面で)「test.local」と入れなければいけません。もちろん参加させるコンピュータが参照するDNSサーバはドメインコントローラを指していないといけません。

    また当然ですが、DNSでの名前解決が必要ですから、ファイアウォールでDNS(53/udp、53/tcp)を解放していないと名前解決はできません。それ以外にも必要なポートがいくつもありますので、ファイアウォールの制限自体をいったんやめた方がいいでしょう。


    チャブーンさん
    ドメイン参加できました!!
    どうもありがとうございます。

    上記ステップにて検証作業を進めたいと思います。

    有難うございました。

    2010年7月28日 2:49