Q&A
raccyさん
早々に、しかも非常に丁寧なご回答ありがとうございます。
あれから本番業務に影響がないことを確認し、新AD#2のDNSサービスを停止してます。
本日、新AD#2を降格して状況確認、新AD#2昇格の対応を予定しています。
IPv6は利用していませんが、新AD#1,2にIPv6のレコードが存在します。削除しても再出現します。これが問題かと思い、どこかにDNSサービスが起動しているのかと仮定。
これからの作業で新AD#2を降格させた際の状況を確認してみたいと思います。
既存のActiveDirectoryサーバ2台のドメインに移行するために2台のActiveDirectoryサーバを追加しました。
本日、OSのライセンス認証作業を行い、追加後、新ADサーバのOS再起動を行ったところ、ドメインメンバーのサーバで以下3種類のエラーを検知しました。
1.
kerberos クライアントはサーバー [新AD#1のホスト名]$ から KRB_AP_ERR_MODIFIED エラーを 受信しました。使用したターゲット名は cifs/[新AD#1のホスト名].[ドメイン名].local でした。これは kerberos サービス チケットの暗号化に使用されたパスワードはターゲット サーバーにあるパスワードと同じではないことを示します。通常これは、ターゲット領域 (NITASP.LOCAL) および クライアント領域にある同じ名前のコンピュータアカウントが原因です。 システム管理者に問い合わせてください。
2.
GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=NITASP,DC=local 用のファイル gpt.ini にアクセスできません。ファイルは場所 <\NITASP.local\sysvol\NITASP.local\Policies{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> に存在する必要があります(ログオン エラー: 対象のアカウント名は間違っています。 )。グループ ポリシーの処理は中止されました。
3.
グループ ポリシー オブジェクトの一覧を照会できません。このエラーの理由を説明するようなメッセージをポリシー エンジンが記録していないかどうか、イベント ログを確認してください。
新AD#1から新AD#2へnslookup,pingコマンドでは、名前解決できるが、エクスプローラで\ホスト名で接続しようとすると、「アクセスできません」という旨のメッセージが表示されます。しかし、//IPアドレスで接続は可能。
新AD#2のDNS管理画面がエラーで開けません。既存AD2台、新AD#1のdns管理画面は、正常に開けます。
新AD#2のDNSサーバが不正な状態のように思えます。1度新AD#2のOS再起動を行いましたが改善しませんでした。
ぜひ対処法ご教示ください!!
回答2件
0
さまざまな対応をほどこし、いったん状況は、ほぼ改善しました。
ただ、原因が判明していないため、移行作業を中断し方針を再検討しました。
当初は、同じドメイン内にWindows2012R2のADサーバ2台を参加せようとしましたが、
Windows2012R2のADサーバ2台で別ドメインを作成して構築、移行することに変更になりました。
これで事象の再現を防ぎ、移行を完了させようと思います。
raccyさん
いろいろとご助言ありがとうございました。
はじめてteratail利用させて頂きましたが、今後も利用し、また、回答記入し他の方に貢献できたらなと思います。
投稿2016/03/29 09:40
総合スコア13
0
ベストアンサー
おそらくですが、何らかの原因で新AD2のDC追加の処理に失敗し、新AD2と他ADで不整合が発生していると思われます。新AD2をDC降格して、再度DC昇格するのが一番早いかと思います。DC降格に失敗する場合は、強制DC降格で他ADにある新AD2の情報を手動で削除して下さい。もしかしたら、新AD1もおかしくなっている可能性がありますので、新AD2のDC降格後もエラーが発生する場合は、新AD1も降格してから、すべてをやり直して下さい。
不整合が発生する原因ですが、次のような事が考えられます。
- サーバをバックアップやスナップショットから巻き戻しを行った。
- 新AD2と同じ名前のサーバがいる。または、いた。(以前同じ名前のDCを使っていた場合、ADおよびDNSにその情報が残っているとうまくいかない場合があります。)
- Windows Serverの不具合。(その昔、Windows Server 2008で日本語環境だけで発生する不具合がありました)
- DC昇格時にエラーが発生していたけど、無視した。(エラーが発生した場合、通常は自動的に巻き戻しの処理が行われますが、エラーの箇所によっては巻き戻しが行われない場合があります。)
既存と新でOSのバージョンが異なる場合は、スキーマ拡張などの移行手順が全て終わっていることを確認して下さい。また、既存ADも新ADも重要な更新と推奨される更新を確認し、AD関係は全て適用しておいて下さい。安定運用のため、セキュリティの更新以外は適用しない運用をしている場合は、特に注意が必要です。
他には、NIC二枚差しでIPアドレスが2つ以上存在する、Windows標準ではないサードパーティのファイアウォールを使用している、怪しいベンダーのウィルス対策ソフトが使用している、といった場合もエラーの原因になりますので、注意して下さい
投稿2016/03/12 01:51
総合スコア21749
ADは自分が持っているアドレスを自動的に登録する仕組みのため、IPv6がOS側で完全に無効になっていないと、一定のタイミングで登録させられます。ネットワークのプロパティなどでIPv6を使わないという設定をしても、IPv6は内部で使われるため、完全に無効にしないといけません。ただ、その状態でも、クライアントでIPv6を使っていなければ特に問題が起きたことはなかったと思います。
状況お伝えします。
まだ、原因は判明していません。
名前解決に関する別のエラーが発生しました。
MSサポートに詳細を伝え、その回答を踏まえて対応を検討することになりました。
sysvolを新旧ADの4台でDFS設定しています。特定のサーバ以外の「状態」が、到達不可となります。そのOKとなる特定のサーバを「アクティブ」はいに設定しました。ひとまず、これでsysvolにアクセスできている状況にしています。
MSの回答を待ち、それを踏まえて対策検討していくことになっています。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。