3 つの AD サーバーを持つドメインを所有しており、ここでは次のように呼びます。
- AD01 (Win 2008 GC、オペレーション マスター)
- AD02 (Win 2008 GC)
- AD03 (Win 2003 GC)
数か月間、AD01 でハードウェアの問題が発生していたため、操作マスター、PDC、インフラストラクチャ マスターは AD02 に移動されました。この間、すべてのマシンはオンの状態でした。
- AD01 (Win 2008 GC)
- AD02 (Win 2008 GC、オペレーション マスター)
- AD03 (Win 2003 GC)
AD01 はその後 1 か月間シャットダウンされました。ハードウェア (NIC および RAID カード) を交換してこのマシンを起動すると、奇妙な問題が発生しました。
- AD01 は、ローカル ボックスの AD でまだ操作マスターであると考えています。
- AD02とAD03は、AD02が両方のボックスのADの操作マスターであると考えています。
- AD01 で DCDIAG を実行すると、いくつかの問題が発生します (以下にリストします)
AD01 で「dcdiag /test:advertising」を実行する場合:
Doing primary tests
Testing server: Default-First-Site-Name\AD01
Starting test: Advertising
Warning: DsGetDcName returned information for \\ad02.domain.local, when
we were trying to reach AD01.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... AD01 failed test Advertising
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : domain
Running enterprise tests on : domain.local
AD01 で「dcdiag」を実行すると、次のエラーが発生します (最終出力の抜粋):
Testing server: Default-First-Site-Name\AD01
Starting test: Advertising
Warning: DsGetDcName returned information for \\ad02.domain.local, when
we were trying to reach AD01.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... AD01 failed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
Starting test: NCSecDesc
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=ForestDnsZones,DC=domain,DC=local
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=DomainDnsZones,DC=domain,DC=local
Starting test: Replications
[Replications Check,Replications Check] Inbound replication is
disabled.
To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
[Replications Check,AD01] Outbound replication is disabled.
To correct, run "repadmin /options AD01 -DISABLE_OUTBOUND_REPL"
問題は、操作マスターを移動したときに AD01 がメモを受け取らなかったことのようです。起動した今、他のすべての AD サーバーは、複製などを試みるときに、AD01 がボスであるとは考えていません。そのため、AD01 を手動で更新して、操作マスター、インフラストラクチャ、PDC が誰であるかを認識できるようにする必要がありますが、うまくいきません。
ほぼ1日グーグル検索をしましたが、すべての解決策は「ケーキは嘘だ」という結果に終わりました
あなたの忍者のスキルは大いに評価されます
答え1
AD01 で dcpromo を実行し、ドメイン コントローラーから降格し、再起動してから、再度 dcpromo を使用してドメイン コントローラーにバックアップすることができない理由はありますか?
答え2
問題は解決したようです。エラー内のコメントに注意してください:
To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
ログに記載されている両方のオプションに対してこれを実行しました - その後、何らかの奇妙な理由で netlogon サービスが一時停止されていることに気付きました... 何ですって?
次に、netlogon を起動し、強制同期を実行しました。今回は同期が機能し、すべてが復活しました。
次に試したのは、Josh の提案どおりにボックスを dcpromo でダウンさせることでした。
DNS に関する jason のコメントも非常に役に立ちました。これは私が最初に考えたことの 1 つなので、他の誰かが来たらまずそれをチェックします。
素早い返信をありがとうございます。私は長年 StackOverflow のサポーターであり、これが本当に素晴らしいものであることを知り、とても嬉しく思います :-)
答え3
操作マスターの役割が 01 から移動されるのではなく、02 によって押収されたのではないかと思います。この場合、説明されている動作は正しいです。01 は、もはやマスターではないことを認識していません。
もう 1 つの可能性としては、役割は移動されたが、何らかの理由で変更されたすべての DNS エントリが AD 統合ゾーンで 01 にレプリケートされないまま、01 がシャットダウンされたことが考えられます。
どちらの場合でも、レプリケーションが何らかの理由で無効になっているため、ドメインからdc1を削除し、Dcpromoを使用して再度追加します。
答え4
早々に話しました。どうやら「USNロールバック問題」が発生していたようです http://support.microsoft.com/kb/875495/ja-jp
これは非常に頭の痛い問題でした。その過程で AD にダメージを与えてしまったようです。NETLOGON を再起動して同期を再度有効にすると、他のボックスの AD に不正なデータが戻ってしまいました。
先週、私たちは新しいメールストアに大規模なメールボックスの移動を行いましたが、これですべてのメールボックスにメールが詰まったようです。 :(
このことから学ぶべきことが一つあります。
NetLogon が「一時停止」される場合は、おそらく正当な理由があると考えられます。