none
ActiveDirectoryのDNSが機能していない RRS feed

  • 質問

  • はじめまして
    Windws Server 2008 R2 で下記のような現象になっております
    DNSの機能を回復させたいのですが何か情報はありませんでしょうか?


    ・現象
    DCのDNSサーバーが機能していません

    管理ツールのDNSマネージャーから接続しようとすると「アクセスは拒否されました」と表示されます

    接続すると「このDNSサーバーは構成されていません」との表示になり
    サービスの起動/停止やログを確認する以外の操作ができません

    ・診断
    > dcdiag /q
             ホスト aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee._msdcs.test.local は IP
             アドレスに解決できませんでした。DNS サーバー、DHCP、サーバー名などを確認してください。
             LDAP および RPC の接続を確認中にエラーが発生しました。ファイアウォール設定を確認してください。
             ......................... dc はテスト Connectivity に失敗しました


    dcdiag /test:dns でも初期テストの段階で同様のエラーが発生して正常なテストが続けられません

    (略)

             DNS テスト結果の概要:

                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                ドメイン: test.local
                   dc                           PASS FAIL n/a  n/a  n/a  n/a  n/a

             ......................... test.local はテスト DNS に失敗しました


    ・経緯
    (現在は発生から日数が経過しています)

    ログから推定したトラブル発生日には外付けHDDが故障し
    コンソールからのログインが不可能になりDCを強制再起動させました

    ドメイン内PCからの名前解決はもう一台のDCに問い合わせるよう設定していましたが
    別の障害のためこのDCは現在切り離されています

    その対応中にDNSのトラブルに気づきました

    システムバックアップを行っていたのですが
    壊れたHDDがバックアップ先だったため発生前の状態に戻すことは難しそうです

    ・ログ
    一件、下記のエラーがありました
    このログが外付けHDDの故障が発生した日と同じためトラブルの原因だと推定しました

    ソース: DNS
    イベント ID: 4015
    種類: エラー
    説明: DNS サーバーは Active Directory からの致命的なエラーを発見しました。Active Directory が正しく機能していることを確認してください。拡張エラーのデバッグ情報は "" です。これは空の場合もあります。イベント データにはエラーが含まれています。

    現在、約10分間隔で下記のエラーが続いています

    ソース: DNS
    イベント ID: 4000
    種類: エラー
    説明:DNS サーバーは Active Directory を開けませんでした。この DNS サーバーはディレクトリから情報を取得しこのゾーン用に使用するように構成されており、その情報なしではゾーンを読み込むことができません。Active Directory が正しく機能していることを確認してから、ゾーンを再度読み込んでください。イベント データはエラー コードです。

    ・試したこと
    DNSの再起動
    DCの再起動
    サーバマネージャーの役割からDNSを削除し再度追加

    2015年1月15日 5:16

回答

  • JJJ-Ran様、チャブーン様、情報ありがとうございました

    DC間のレプリケーションが壊れていました
    チャブーン様に教えて頂いたレジストリ設定を含めいくつか策を講じましたが「データベースが正しければ」という前提から崩れていたようです

    一旦、行った操作をキャンセルしてレプリケーションを強制することでDNS機能も回復できました
    以下、他の方のご参考になればと経緯と対応を記載させていただきます

    ==
    DC1:本件で相談させて頂いたDNSが機能していないサーバ
    DC2:相談時に障害を起こしていたサーバ(FSMO)

    ・ログや診断で得た経緯
    DC1の外付けHDDが故障する(この時からDNSエラーが記録される)
    (しばらく経過)
    DC間のレプリケーションが出来なくなる
    (しばらく経過)
    DC2に障害が発生する

    ・レプリケーションのエラー
    DC1で repadmin /showrepl を実行すると”対象のプリンシパル名が間違っています。”とエラーが続いている
    これはDC2に障害が発生する前からのエラーでした

    ・仕切り直し
    DC2をリストア
    DC1のADを対応開始前にリストア(wbadmin start systemstaterecovery)
    DC2をネットワークに復帰(レプリケーションエラーは続いています)

    ・対応
    DC1のサービスの「Kerberos Key Distribution Center」を停止し無効に変更

    「Active Directory サイトとサービス」を使用してDC2からDC1へレプリケーション(この時点でDC1のDNSが回復)

    ソース: DNS
    イベント ID: 4
    種類: 情報
    説明:DNS サーバーはゾーンのバックグラウンド読み込みを完了しました。各ゾーンの構成で許可されている場合は、すべてのゾーンで DNS の更新とゾーンの転送を行えます。

    DC1のサービスの「Kerberos Key Distribution Center」を自動に変更し起動

    2015年1月20日 5:28

すべての返信

  • こんにちは。

    >ゾーンを再度読み込んでください。イベント データはエラー コードです。

    このあとのエラーコードもあれば,原因がどこかわかるかもしれません。

    なお,MICROSOFTサポートにはosのバージョンが違う情報しか見つからないですね・・・

    http://support.microsoft.com/kb/305837/ja

    2015年1月15日 6:07
  • チャブーンです。

    この件ですが、ドメインコントローラ起動時にDNSデータベースが読み込めず、デッドロックで正常に動作していない可能性があります。

    Windows Server 2008 R2では、複数環境では自分自身のデータ整合性を確認するため、起動時に複製チェックを行います。このとき相手側の情報(DNS情報を含む)を基に自分のAD DSを起動しますが、相手先が一時的にダウンしているような場合、AD DSが正常に起動しないことがあり、自分のデータベースが一部読めなくなることがあります。

    うえを停止させるには、したにあるようなレジストリ値を手動で設定し、ドメインコントローラを再起動します。こうすれば自分自身のデータベースを正常に読み込んで、データベースが正しければAD DSは正常に起動します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    Value name:  Repl Perform Initial Synchronizations
    Value type:  REG_DWORD
    Value data: 0

    うえのレジストリは名前にスペースが含まれますが、大文字小文字含めこの通りに記載してください(新規に作成することになります)。関連情報はしたのMSKBに書いてあります。

    http://support.microsoft.com/kb/2001093/en-us/


    2015年1月15日 8:03
    モデレータ
  • お返事ありがとうございます

    イベントデータには 2D230000 が格納されていました

    調べてみます

    2015年1月15日 10:28
  • JJJ-Ran様、チャブーン様、情報ありがとうございました

    DC間のレプリケーションが壊れていました
    チャブーン様に教えて頂いたレジストリ設定を含めいくつか策を講じましたが「データベースが正しければ」という前提から崩れていたようです

    一旦、行った操作をキャンセルしてレプリケーションを強制することでDNS機能も回復できました
    以下、他の方のご参考になればと経緯と対応を記載させていただきます

    ==
    DC1:本件で相談させて頂いたDNSが機能していないサーバ
    DC2:相談時に障害を起こしていたサーバ(FSMO)

    ・ログや診断で得た経緯
    DC1の外付けHDDが故障する(この時からDNSエラーが記録される)
    (しばらく経過)
    DC間のレプリケーションが出来なくなる
    (しばらく経過)
    DC2に障害が発生する

    ・レプリケーションのエラー
    DC1で repadmin /showrepl を実行すると”対象のプリンシパル名が間違っています。”とエラーが続いている
    これはDC2に障害が発生する前からのエラーでした

    ・仕切り直し
    DC2をリストア
    DC1のADを対応開始前にリストア(wbadmin start systemstaterecovery)
    DC2をネットワークに復帰(レプリケーションエラーは続いています)

    ・対応
    DC1のサービスの「Kerberos Key Distribution Center」を停止し無効に変更

    「Active Directory サイトとサービス」を使用してDC2からDC1へレプリケーション(この時点でDC1のDNSが回復)

    ソース: DNS
    イベント ID: 4
    種類: 情報
    説明:DNS サーバーはゾーンのバックグラウンド読み込みを完了しました。各ゾーンの構成で許可されている場合は、すべてのゾーンで DNS の更新とゾーンの転送を行えます。

    DC1のサービスの「Kerberos Key Distribution Center」を自動に変更し起動

    2015年1月20日 5:28
  • チャブーンです。

    無事に直ってよかったですね。フィードバックありがとうございます。

    状況として、ドメインコントローラ自身のコンピュータアカウントパスワードが不整合状態になってしまって(長期間複製ができない場合発生します)、複製の前提である認証がうまくいかなくなってしまったようですね。リストアして以前の環境に戻したのでパスワードも以前のものに戻った、ということかと思います。

    このようなケースでリストアができないような場合、したの方法でドメインコントローラのパスワードをリセットし、複製を正常化することができます。参考としてあげておきます。

    http://support.microsoft.com/kb/325850/ja

    2015年1月21日 1:58
    モデレータ