- ベストアンサー
ADのDC移行の手順と注意点
- AD(Active Directory)のDC移行手順や注意点について教えてください。
- Windows Server 2000からWindows Server 2003へのDC移行手順やIPアドレスの変更について教えてください。
- ADのDC移行におけるユーザーのDNS設定変更や新旧DCのIPアドレス変更を教えてください。
- みんなの回答 (18)
- 専門家の回答
質問者が選んだベストアンサー
ああ、やはり降格させないで撤去したDCがあったようでその亡霊の仕業ですね。 的確にアドバイスできずに随分遠回りさせてしまいました申し訳ありませんでした、 で、 >認証関連は旧2000ではなく2003のIPを見に行ってるように見受けられます。 旧2000の方のネットワークケーブルを抜いたままで問題なければそのとおりです。 >2003→2003R2はとくになにもないですよね? むしろIPアドレスとFQDNが旧2000と同じにしやすいですよね。 今の2003の方が移行中間サーバーとして動くのでやりやすいですよね。 2003→2003のスキーマ拡張は必要ないはずですので。 adprep/forestadprep adprep/domeinadprep は実行しなくてもOKでしょう。 単にメンバーサーバーからdcpromo.exeでいけるはずです。 ただし、DC昇格じにDNSは同時にインストールしない方が良いです。 DCに昇格したら跡からDNSをインストールしてください。 Win2000SRV撤去時は降格してDC上のDNSに反映させてから(普通はDC上でdcpromoで降格させればOK)撤去してください。 うまくいくことを祈ります、
その他の回答 (17)
- foitec
- ベストアンサー率43% (1080/2457)
ちょっと端折って書きます。 >レプリケーション接続は、次のソース ドメイン コントローラからローカル ドメイン コントローラに作成されました。 と言うことなのでADにはやはり昇格したDCはないですよね(当たり前のような気もします)。 で、 >ここで問題はCN=SUN2008の「SUN2008」というサーバーはすでに無いってことです。 先の記述でも >>inbound neighborsにすでにネットワークから排除したサーバーが表示されます。 これ、 Windws2000SRVの方で信頼関係を結んでいませんか? もしかして以前DCに昇格していて降格処理せずにそのDCを撤去したとか?じゃないでしょうかねぇ。 その「SUN2008」というサーバーはNTサーバだったとか? どうもやはりWin2000SRVの問題に感じますが・・・ 少なくとも件の「SUN2008」というサーバーはDNSエントリーに正しくエントリーされてないのでしょう(若しくはSRVレコードが残っている?)。 Win2000SRVのDNSも要チェックですね。 後でまた書き込みますが参考URLをご覧になってください。 私の説明よりはるかに分り易いようです。 Win2000SRV→WinSRV2003への移行は60ページから記載されています。
お礼
おっしゃるとおりSUN2008ともういっこの古いサーバーが悪さをしていたようです。 降格処理せずにそのDCを撤去したようにしかみえなかったので、降格処理せずにDCを撤去した対処法を調べて2000と2003のDCからこの二台を消しました。 すると「現在、このドメイン コントローラはグローバル カタログです」というLogが現れました。 スキーママスタの変更もできました。 新しい2003上で select operation target: list roles for connected server を実行すると5個の役割を認識しましたと出ます。 クライアントを再起動してもLogInに問題なく、ネットワークのLogでも認証関連は旧2000ではなく2003のIPを見に行ってるように見受けられます。 これで2000を降格→排除できる体制が整ったってことですよね。 あとは2003R2を再度DCにするトライをするだけです。 2003→2003R2はとくになにもないですよね? 思うに、2003に2003R2のDISK2を入れてadprep/forestadprepを実行 再起動後adprep/domeinadprepを実行 2003R2にADをインストール でFMSOの移動とスキーママスタの移動をする でOKでしょうか?
- foitec
- ベストアンサー率43% (1080/2457)
昇格できたServer2003は先に >inbound neighborsにすでにネットワークから排除したサーバーが表示されます なのかなぁ? そうなると先の2003の方はインストールしなおせばOK?かも。 さて「Knowledge Consistency Checker(KCC) 知識整合性チェッカー」でのエラーですが ファイルレプリケーションサービス(FRS)がうまくいっていないのではないでしょうか。 まずWindows 2000 Server側で FRS が有効になっているか(単独DC環境のデフォルトでは無効)確認してください。 FRS が DFS コンテンツのサイトとサイト内のレプリケーション用のプロトコルでは (TCP) 経由で RPC を指定します。 機械語訳で少々おかしい記述ですが ここ ↓ 参照 http://support.microsoft.com/kb/220938/ja http://support.microsoft.com/kb/911799/ja なお、元質問の >新サーバーをDCに昇格し終えた後ユーザーのDNSを全て192.168.31.10に変えなければならないのでしょうか? >あるいは新サーバーをDCに昇格したのち、旧DCを外してしまい新DCのIPアドレスを192.168.31.2にしてもいいのでしょうか? 無事Server2003がADに昇格できたら動作を確認後既存のWin2000をメンバーサーバに降格(dcpromo.exe)します。 撤去前に必ず降格処理を行ってください。 降格後そのサーバはネットワークから撤去またはIPアドレスを変更します。 次にServer 2003のIPアドレスを192.168.31.2 に変更します。 DNSを開き nsレコードを昇格した Server2003にします。 Aレコードを編集し 192.168.31.2 を 昇格したServer2003のホスト名にします。 SOAのシリアルを増やします(多分既に増えている)。 逆引きは作っていなければ何もしません。 クライアントPCを一端ログアウト・ログインし クライアントPC側で nslookupしDefault Serverで新ADサーバ名が出ればOKですね。
お礼
>昇格できたServer2003は先に >>inbound neighborsにすでにネットワークから排除したサーバーが表示されます >なのかなぁ? ではないです。 ずっとプリンtなサーバとして稼動していましたがnbound neighborsには出ていなかった気がします。 なんで突然出たんだろ・・・ でFRSの有効化してみました。 2000側で分散ファイルシステムを起動し、適当な共有フォルダを指定し、2003側の分散ファイルシステムでルートターゲットの上記の共有フォルダを出すと「DFS紹介」が有効「状態」がオンラインです。 しかし、やはりNTDS KCCエラーが出ます --------------------------------------- イベントID:1925 種類:警告 説明: 次の書き込み可能なディレクトリ パーティションのためにレプリケーション リンクを確立しようとして失敗しました。 ディレクトリ パーティション: CN=Configuration,DC=[ドメイン名],DC=local ソース ドメイン コントローラ: CN=NTDS Settings,CN=[2003server名],CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=[ドメイン名],DC=local ソース ドメイン コントローラのアドレス: 9665a409-3737-438d-891a-01c7ff7651f0._msdcs.[ドメイン名].local サイト間トランスポート (存在する場合): このドメイン コントローラは、この問題が修正されるまでソース ドメイン コントローラとレプリケートできなくなります。 ユーザー操作 ソース ドメイン コントローラにアクセス可能か、またはネットワーク接続が利用可能かどうかを確認してください。 追加のデータ エラー値: 8524 DNS 参照エラーのため、DSA 操作を続行できません。 詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。 --------------------------------------------- とのこと。 NTDS Generalログで「Active Directory により、次のサイトでグローバル カタログが検出されました」の後に出ています。 とおもったけど・・・15:26を最後にLogが出てきません。 これは・・・いけてるのかな?
補足
やはりダメですね・・・ 17:26に ------------------------------------------------ ソース NTDS General 分類 内部処理 種類 情報 イベントID 2041 内容 重複するイベント ログ エントリは抑制されました。 詳細については、前のイベント ログ エントリを参照してください。イベント コードおよび すべての挿入パラメータが同じ場合、エントリは重複とみなされます。この重複の実行の期間 は前のイベントの時刻からこのイベントの時刻です。 イベント コード: 80000785 重複するエントリの数: 7 ---------------------------------------- というLogが出て、その後17:26に ---------------------------------------- ソース NTDS KCC 分類 知識整合性チェッカー 種類 情報 イベントID 1128 内容 レプリケーション接続は、次のソース ドメイン コントローラからローカル ドメイン コントローラに作成されました。 ソース ドメイン コントローラ: CN=NTDS Settings,CN=SUN2008,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=[ドメイン名],DC=local ローカル ドメイン コントローラ: CN=NTDS Settings,CN=[2003server名],CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=[ドメイン名],DC=local 追加のデータ 理由コード: 0x2 作成ポイント内部 ID: f0a025a ------------------------------------------- というのが出ます ここで問題はCN=SUN2008の「SUN2008」というサーバーはすでに無いってことです。 その後やはりずっと ------------------------------------------- ソース NTDS KCC 分類 知識整合性チェッカー 種類 警告 イベントID 1925 内容 次の書き込み可能なディレクトリ パーティションのためにレプリケーション リンクを確立しようとして失敗しました。 ディレクトリ パーティション: CN=Configuration,DC=[ドメイン名],DC=local ソース ドメイン コントローラ: CN=NTDS Settings,CN=[2003server名],CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=[ドメイン名],DC=local ソース ドメイン コントローラのアドレス: 9665a409-3737-438d-891a-01c7ff7651f0._msdcs.[ドメイン名].local サイト間トランスポート (存在する場合): このドメイン コントローラは、この問題が修正されるまでソース ドメイン コントローラとレプリケートできなくなります。 ユーザー操作 ソース ドメイン コントローラにアクセス可能か、またはネットワーク接続が利用可能かどうかを確認してください。 追加のデータ エラー値: 8524 DNS 参照エラーのため、DSA 操作を続行できません。 ------------------------------------------------ となります。 なんでやろか・・・
- foitec
- ベストアンサー率43% (1080/2457)
間違いました 最終行 >OKならば adprep /forestprep を実行後 adprep /forestprep を実行します。 OKならば adprep /forestprep を実行後 adprep /domainprep を実行します。
お礼
間が開いてしまい申し訳ないです。 教えていただいたことを全て実行しましたがだめでした。 ところが repadmin/showreps を実行したときに別の2003サーバー(スタンダード)がレプリケーションが実行されていることに気がつきました。 このサーバーは通常プリンタサーバーとして使用しているのですが、思い切ってこちらにADをインストールすると素直にインストールでき、FSMOの転送もでき、操作マスタでRID、PDC、インフラストラクチャの移行もできました。 G.Cも現在移行中のようです(時間掛かっているようです) 少し気になるログも出ていますが、このまま移行できそうな感じです。 そこで続きの指南をお願いしたいと思います。 気になるエラーログを記載しておきます。 ----------------------------------------- 種類:警告 ソース:NTDS KCC 分類:知識整合性チェッカー イベントID:1925 コンピューター:新しくDCになった2003server 説明: 次の書き込み可能なディレクトリパーティションの為にレプリケーションリンクを確立しようとして失敗しました。 ディレクトリパーティション: CN=Configuration,DC=[現在DC移行中のドメイン名],DC=local ソース ドメエイン コントローラー: CN=NTDS Settings,CN=[このサーバー名],CN=server,CN=Defolt-First-Site-Name,CN=Configration,DC=[現在DC移行中のドメイン名],DC=local ソース ドメイン コントローラーのアドレス: 9665a409-XXXX(略)-01c7ff7651f0._msdcs.[現在DC移行中のドメイン名] サイト間トランスポート(存在する場合): ---------------------------------------------- 以上です。
- foitec
- ベストアンサー率43% (1080/2457)
Windows2000Serverのスキーマ拡張が失敗しているようなので再度強制方法を記します。 1.Schema Admins のメンバであるアカウントを使用して、Win2000DCにログオンする。 2.、[ファイル名を指定して実行] で、[名前] ボックスにnotepad.exe と入力し、[OK] をクリックする。 3.次のテキストを、"schemaUpdateNow: 1" の後の "-" も含め、メモ帳にコピーします。 dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X changetype: Modify replace:LDAPDisplayName LDAPDisplayName: msExchAssistantName - dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X changetype: Modify replace: LDAPDisplayName LDAPDisplayName: msExchLabeledURI - dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X changetype: Modify replace: LDAPDisplayName LDAPDisplayName: msExchHouseIdentifier - dn: changetype: Modify add: schemaUpdateNow schemaUpdateNow: 1 - 4.各行の末尾に"空白"がないことを確認します。(重要!!) 5. [上書き保存] をクリックし。[名前を付けて保存] ダイアログ ボックスで、次の手順を実行します。 1)[ファイル名] ボックスに、次のように入力します。 \%userprofile%\InetOrgPersonPrevent.ldf 2)[ファイルの種類] ボックスの一覧の [すべてのファイル] をクリックします。 3)[文字コード] ボックスの一覧の [Unicode] をクリックします。 4)[保存] をクリックします。 5)メモ帳を終了します。 6.InetOrgPersonPrevent.ldf スクリプトを実行します。 1)コマンド プロンプトで、次のように入力し、Enter キーを押します。 cd %userprofile% 2)次のコマンドを入力します。 c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain 【注意】 DC=X 大文字のこと。 ルート ドメインのドメイン名パス (domain name path for forest root domain) は、二重引用符で囲む必要があります。 例えばフォレストのルート ドメインが testdomain.localである A.Dフォレストの場合 c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=testdomain,dc=local" 7.スキーマ名前付けコンテキストの CN=ms-Exch-Assistant-Name 属性、CN=ms-Exch-LabeledURI 属性、 および CN=ms-Exch-House-Identifier 属性の LDAPDisplayName が、msExchAssistantName、msExchLabeledURI、 および msExchHouseIdentifier として表示されていることを確認します。 (スキーマ名前付けコンテキストはADSI Edit mmcでできます) 異常なければ 再度 repadmin /showreps を実行しFSMO によってスキーマ パーティションの入力方向のレプリケーションが実行されていることを確認します。 OKならば adprep /forestprep を実行後 adprep /forestprep を実行します。
- foitec
- ベストアンサー率43% (1080/2457)
>この欄に新DC候補の2003R2があるのですが、その中にNTDS Settingsというファイルが無い状態です。 >2003R2にADがインストールされてないからでは?と思い・ これから2003の方をDCにする為の前手順の段階ですから当然です。 >追記:inbound neighborsにすでにネットワークから排除したサーバーが表示されます それって、DCだったのでしょうか? う~ん・・ では前レスの 問題がなければWindws 2000Serverの「出力方向=オウトバウンド」のレプリケーションを一時的に無効化します 唐崎を実行してみてください。
お礼
すみません、仕事がいそがしくお礼がとまっておりました 作業もとまっております。 この「出力方向=オウトバウンド」のレプリケーションを一時的に無効化」はシステム稼働中やってはいけないのですよね?
- foitec
- ベストアンサー率43% (1080/2457)
続いて Microsoft Windows 2000 または Windows Server 2003 のメディアの Support\\\\Tools フォルダから repadmin (複製管理ツール)をインストールしておいてください。 インストール後 次のコマンドを入力しそのスキーマの FSMO によってスキーマ パーティションの「入力方向=インバウンド」のレプリケーションが実行されていることを確認。 repadmin /showreps 画面に一杯に情報が現れます・・ INBOUND NEIGHBORS が表示されないとか複製状態エラーがあるか否か・・ ここを↓参照して万一エラーがあれば対策してください。 http://technet.microsoft.com/ja-jp/library/cc984984.aspx 問題がなければWindws 2000Serverの「出力方向=オウトバウンド」のレプリケーションを一時的に無効化します repadmin /options +DISABLE_OUTBOUND_REPL 無効化されたら 再度 Windws 2000 Server上でWindws Server 2003のDISK2(必ず”Disk2)の\\CMPNENTS\\R2\\ADPREP\\の中にあるadprepを使います。 > adprep /forestprep を実行 Cを押してEnter。 完了後 Windws 2000Serverの「出力方向=オウトバウンド」のレプリケーションを一時的に有効化化します。 repadmin /options -DISABLE_OUTBOUND_REPL 実行後 Windws 2000 Server上でWindws Server 2003のDISK2(必ず”Disk2)の\\CMPNENTS\\R2\\ADPREP\\の中にあるadprepを使い > adprep /domainprep を実行。 完了できればスキーマの更新は完了です。
お礼
だめです・・・ INBOUNDに新しいDC候補のサーバー名が出ません。 で、「AD サイトとサービス」を確認しますと Active Directory サイトとサービス[<DC名><domein名>] └Sites └Default-First-Site-Name └Servers ├現DC この欄に新DC候補の2003R2があるのですが、その中にNTDS Settingsというファイルが無い状態です。 って、書いててこれは2003R2にADがインストールされてないからでは?と思い・・・今はそのインストール(追加DCとして)ができない=Adprepができてない為にこれをやっているんだと思い・・・ こんがらがってきました。
補足
ん~わかりません・・・ inbound neighborsが表示されない場合のトラブルシューティングを見て repadmin /kcc を実行したのですが、ディレクトリサービスのログにイベントID1264が現れません・・・ ご指南よろしくお願いいたします。 追記:inbound neighborsにすでにネットワークから排除したサーバーが表示されます。 「AD サイトとサービス」で消そうにも消せないのですが、これって今回の原因のひとつですかね?
- foitec
- ベストアンサー率43% (1080/2457)
では・・ Windws 2000 ServerがWindws Server 2003をDCとして受け入れるべく、 ntdsutilでスキーママスタが[DC1]であることを確認します。 Windws 2000 Server上で >ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to domain <実際のドメイン名> \\<サーバー名.実際のドメイン名>に結合しています... ローカルでログオンしているユーザーの資格情報を使って \\<サーバー名.実際のドメイン名>に接続しました。 server connections: quit fsmo maintenance: select operation target select operation target: list roles for connected server サーバー "\\<サーバー名.実際のドメイン名>" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sit es,CN=Configuration,DC=microsystem-sales,DC=co,DC=jp ドメイン - CN=NTDS Settings,CN=AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sit es,CN=Configuration,DC=microsystem-sales,DC=co,DC=jp PDC - CN=NTDS Settings,CN=AD01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN =Configuration,DC=microsystem-sales,DC=co,DC=jp RID - CN=NTDS Settings,CN=AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN =Configuration,DC=microsystem-sales,DC=co,DC=jp インフラストラクチャ - CN=NTDS Settings,CN=AD02,CN=Servers,CN=Default-First-Site -Name,CN=Sites,CN=Configuration,DC=microsystem-sales,DC=co,DC=jp これで間違いなくWindws200 Serverがスキーママスタであることが確認できました。 select operation target: quit fsmo maintenance: quit ntdsutil: roles fsmo maintenance: quit ntdsutil: quit \\<サーバー名.実際のドメイン名>から切断しています... 確認だけです。 この後裏技を使います・・でもないか(^^;
お礼
確認しました。 記述の通り現DCの2000は5個の役割をしていました。 裏技!よろしくお願いします!!!
- foitec
- ベストアンサー率43% (1080/2457)
回答が前後しちゃって申し訳ないです。 それに加えて今更ながらなのですが・・・ Windws 2000 Server では当然administratorでログインしているかadministratorsのメンバでログインしていると思いますが そのユーザーは SchemaAdminsグループである必要があります。 そのあたりは如何でしょうか?
補足
administratorにてLogInし作業しております。 もちろんSchemaAdminsにもなっております。
- foitec
- ベストアンサー率43% (1080/2457)
既存のWindws2000Serverは現A.D /ドメインの最初の且つ唯一のD.Cですから フォレスト全体に対する操作マスタでありフォレスト全体に対する操作マスタを兼ねている訳です。 従ってドメイン全体の操作マスタ=フォレスト全体に対する操作マスタ=スキーママスタ & ドメイン名付けマスタ で、且つ ドメイン全体の操作マスタ=相対識別子マスタ(RID) & プライマリドメインコントローラエミュレータ (PDC)& インフラストラクチャマスタ な訳です。 これらをWindws Server 2003で構成されるA.Dへ移行する為にWindws 2000 Serverの各操作マスタを更新するのです。 従ってadprep.exe /forestprepの実行後 adprep.exe /domeinprepを実行する必要があります。 さて、件のエラーメッセージは更新したWindws 2000 Server 自身に対してレプリケートされていないことを表します(Windws Server 2003に対してではありません) Windws 2000 Serverが再起動されてから、CN=Schema パーティションの入力方向のレプリケーションがこのD.Cで実行されている必要があります。 Windws 2000 Serverは「再起動」させましたか? 再起動後 adsiedit.msc を実行し [CN=Schema,CN=Configuration,DC=<ドメイン名>] を右クリックし、プロパティをクリックします。 [objectVersion] の値を確認します。 31であればOKです。
補足
2003を再起動してました(^^; 2000を再起動後adsiedit.mscを実行し確認しました。 残念ながら30でした。 どうしましょう?
- foitec
- ベストアンサー率43% (1080/2457)
>Adprepを実行しろと書いてありますが・・・実行したんですがねぇ・・・ 今更なのですが・・・ 最初のレスの1行目を免罪符として(^^; 確認 増設するWindws Server 2003はSP1ではなくR2ですよね???それであれば Windws2000 Serverの既存D.Cに Windows Server 2003 R2 のインストール ディスク 2 を挿入して 次のコマンドを入力します。 <CDドライブ名> \CMPNENTS\R2\ADPREP\adprep.exe /forestprep C キーを入力した後、Enter キーを押します。 ↑ 前レスで少々いい加減だったかも・・済みません。←免罪符・・ 実行後 ADPrep.exe が正しいバージョンになっているかは次のレジストリキーで判断できます。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters 正しいバージョンは 5.2.3790.2075 のはずです。 再度確認をお願いします。
お礼
R2です。 教えていただけるだけありがたいです。 さて実行しました・・・が --------------------------------------------- Adprepはスキーマを拡張できませんでした。 [状態/結果] スキーママスタは、前回再起動後のレプリケーション サイクル完了しませんでした。スキーマを拡張できるようにするためには、スキーマ マスタは、少なくとも1回のレプリケーションサイクルを完了しなければなりません。 [ユーザーによる操作] スキーマ マスタがネットワークに接続されており、他のドメインコントローラーと通信できることを確認してください。サイトとサービスのスナップインを使ってスキーマ マスタと、少なくとも1つのレプリケーション パートナーの間でレプリケートさせてください。レプリケーションのかんりょう後、Adprepを再実行してください。 ------------------------------------------ とのこと。 疑問1:レプリケーションするには2003R2側にADをインストールせねばならないんだろうけど、いまはそのインストールすらできない。 疑問2:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parametersを既存DC2000でみましたが、バージョンらしき記述が無いです。 疑問3:adprep.exe /forestprepではなくadprep.exe /domeinprep?
- 1
- 2
お礼
ありがとうございます。 2003R2へADのインストールも終わり、GCになりました。 なにもなければこんなにスムーズに行く作業だったんですね(^^; ほんとうにいろいろありがとうございました! できれば100ptくらいお礼ポイントを差し上げたいぐらいです。 おかげで2000serverを撤去できそうです。 ほんとうにありがとうございました!!!!1!!!