- ベストアンサー
ドメインコントローラの同期を取得する方法と注意点
- ドメインコントローラの同期方法として、BDC側でレプリケーションのサービスを止めて再起動する方法や、BDCを一旦普通のサーバーに降格させて再度PDCにする方法があります。
- ただし、これらの手段を実施する際には注意が必要です。万が一のダメージの場合に備えて、事前にデータのバックアップを取ることが重要です。また、CE部隊にSE作業ができるメンバーがいない場合は、他の専門家に助けを求めることも検討してください。
- ドメインコントローラの同期トラブルは、HW交換などの要因によって発生することがあります。このような問題は保守契約作業の範囲外であることもありますが、経験者に相談することで解決策を見つけることができる場合もあります。
- hatsuzo
- お礼率83% (120/144)
- Windows系OS
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
dcdiagの結果を見るとセキュリティチャンネルが破損しているためにレプリケーションが出来ない状態のように見えます。 一応ここが参考になるかもしれません。 http://support.microsoft.com/kb/288167/ja ただ、載せて頂いたdcdiagの結果は全てでは無いとのことですので、他にも問題を抱えているかしれません。 そのため、BBBを降格する方向の方が良いと思います。(つまり、2の手順) ただ、OSがWindows Server 2003 R2ということですのでWindows Server 2008以降で追加されたdcpromo /forceremovalは使用できません。 こちらの手順を実施することになります。 http://support.microsoft.com/kb/216498/ja なお、上記のWebサイトに書かれている方法でADからBBBの情報を削除してもBBBは壊れたDCのままですのでBBBはOS再インストールするほうがいいでしょう。 DCの強制的な降格はもう何十回と実施していますが、特にトラブルが発生したことはありません。 手順をきちんとして作業すれば問題無いと思います。
その他の回答 (4)
- EF_510
- ベストアンサー率50% (306/604)
操作マスターの時刻は正しいですか? どうもActiveDirectoryがきちんと構成されているのか疑問になってきました。 まず、PDCとやらの時刻を正しく構成してください。 次にドメインメンバーと時刻の同期が取れているかを確認します。 最後に追加のコントローラーを構成します。(2の手順を実施する) マスターになるコントローラーの時刻があやふやだから他のコントローラーに影響するのではないですか? そして、それはハードウェアの問題ではなく、システム構成の問題です。
お礼
お礼が遅れまして大変失礼しました。 メーカーは保守作業により、時刻のズレが生じてセキュアチャネルが破損しているとの見解を認めました。 長い時間が掛かりましたが、結局、ドメインの降格により、同期を取り直す作業の実施を立ち合って貰うことで同意が取れました。 どうも有難うございました。
- maesen
- ベストアンサー率81% (646/790)
詳細な情報が無いのでなんともいえませんが、 ただ、詳しい情報が無くこんな感じのことが発生したという情報で解決できるほどには簡単なものでは無いように思います。 dcdiagでfailedがあるのならその部分だけでも提示するとか、イベントログにも関連のエラーが出ているはずなのでそれを提示されたほうがよろしいかと。 1.の手順はファイルレプリケーションの再構成なので、問題がファイルレプリケーションにあり他の問題が発生していなければ解決の可能性があります。 内容を見る限りではこれでは解決しない可能性が高いと思われます。 そもそもWin2008R2以降の場合はFRSを使用していないかもしれないですし。 実施するのならば2でしょう。 その場合は、他の方も書かれていますがバックアップと操作マスタの確認は必須です。 問題となっているDCを切り離すことが出来たらOS再インストールするつもりならばdcpromo /forceremovalは不要で こちらだけを実施すればいいでしょう。 http://support.microsoft.com/kb/216498/ja あと、これも他の方も書かれていますがPDCとBDCはやめましょう。 NT4.0時代つまりActive DirectoryではないNTドメインの用語なので。 用語が正しくないということは理解していません言っているようなものですから。 PDC、BDCと言っていると問題の本質が理解できなくなるのが懸念されます。
お礼
maesenさん、アドバイス有難うございました。 お礼が遅れてしまいまして失礼いたしました。 ご相談したのは、事が重大なのか、簡単に治ったりするような比較的単純なことかを知りたかったため、敢えて詳しいログは出しませんでした。 これだけの情報では重大なのかそうでないかを判断することも難しいかもしれませんね。 全部は出せませんので、DCDIAGの結果は以下のような感じです。 BBBのほうがAAAに対して同期が取れていないように見えます。 Testing server: Default-First-Site-Name\AAA Starting test: Replications REPLICATION LATENCY WARNING ERROR: Expected notification link is missing. Source BBB Replication of new changes along this path will be delayed. This problem should self-correct on the next periodic sync. REPLICATION LATENCY WARNING ERROR: Expected notification link is missing. Source BBB Replication of new changes along this path will be delayed. This problem should self-correct on the next periodic sync. ......................... AAA passed test Replications Testing server: Default-First-Site-Name\BBB Starting test: Replications [Replications Check,BBB] A recent replication attempt failed: From AAA to BBB Naming Context: CN=Schema,CN=Configuration,DC=mydomain,DC=local The replication generated an error (-2146893022): 対象のプリンシパル名が間違っています。 The failure occurred at 2013-07-18 17:47:44. The last success occurred at 2013-05-31 11:46:56. 1158 failures have occurred since the last success. [AAA] DsBindWithSpnEx() failed with error -2146893022, 対象のプリンシパル名が間違っています。. [Replications Check,BBB] A recent replication attempt failed: From AAA to BBB Naming Context: CN=Configuration,DC=mydomain,DC=local The replication generated an error (-2146893022): 対象のプリンシパル名が間違っています。 The failure occurred at 2013-07-18 18:10:12. The last success occurred at 2013-05-31 11:52:28. 2726 failures have occurred since the last success. [Replications Check,BBB] A recent replication attempt failed: From AAA to BBB Naming Context: DC=mydomain,DC=local The replication generated an error (-2146893022): 対象のプリンシパル名が間違っています。 The failure occurred at 2013-07-18 18:12:17. The last success occurred at 2013-05-31 12:01:12. 51453 failures have occurred since the last success. REPLICATION-RECEIVED LATENCY WARNING BBB: Current time is 2013-07-18 18:12:32. CN=Schema,CN=Configuration,DC=mydomain,DC=local Last replication recieved from AAA at 2013-05-31 11:46:56. CN=Configuration,DC=mydomain,DC=local Last replication recieved from AAA at 2013-05-31 11:52:28. DC=mydomain,DC=local Last replication recieved from AAA at 2013-05-31 12:01:12. ......................... BBB passed test Replications
- m-take0220
- ベストアンサー率60% (477/782)
> DCDIAGやREPADMINなどのコマンドで調べると、PDCとBDCの同期が取れてないことが判りました。 同期がとれていないというのがどんな状況なのかによりますが。 FSMOを担っていたDCを、役割を移動せずに停止したために、本来1つのDCにしかないはずの機能が複数のDCで動作して、お互いの変更が反映されなくなるというのは、良くある障害ですが。 ActiveDirectoryなら、PDC、BDCという呼び方はしないので、その辺から勉強したほうがいいかもしれません。PDCエミュレータという役割は存在するので、PDCという言葉は使うことがあっても、BDCはまず使いません。 > いずれも再起不能になってしまうのが恐ろしくて実施に至ってません。 どんな操作でも、危険はつきものです。 以前の状態に戻せるようにバックアップ等の対策をしてから作業するべきです。 環境が用意できるのであれば、P2Vで仮想マシンを作成して、仮想環境で試してみるという手もあります。
お礼
コメント有難うございました。 PDC、BDCという言葉は今は使わないんですね。勉強になりました。 ネットで検索しても、たくさん出てくるので、よくある障害なんですね。 社内SEさんは自社対応されてるんでしょうか? そうした対応のできる要員体制が取れないのと、SW保守契約も入っていないので、その辺を考えていかないといけないようですね。
- EF_510
- ベストアンサー率50% (306/604)
ここで言うところの「再起不能」とはどのような状態ですか? とりあえずOSとかは書きましょう。 操作マスター(FSMO)などがどこにいるのかをはっきりさせて、まずは1台に集約してください。 BDCがドメインのサービスだけを提供しているのであれば降格させる手順の方が手っ取り早いかもしれません。最悪、同じアドレスでインストールをやり直せば良いだけですし… また、PDCのハードウェア保守が原因でBDCが…なのにCEの責任はないと思いますし、現在の主流ではハードウェアの保守契約とOSなどの保守契約は明確に別れています。
お礼
有難うございました。 詳しい情報が漏れておりまして失礼しました。 サーバーはWindows2003R2です。 再起不能とは、ドメインの認証が完全にできなくなってしまうことをイメージしています。 現在は、サブドメインで認証している場合のみ異常な振る舞いをしているようなので、最悪はサブドメインを止めれば見かけ上は正しく動作するんじゃないかと思うのですが。 保守契約の範囲はそうだと思うのですが、設置作業の段階でBIOSの時間設定をしてから起動しないといけないというCE作業が漏れていた可能性が高いと思うので、納得がいきません。 (先方も半ばそれを認めています)
お礼
お礼が遅れまして大変失礼しました。 メーカーは保守作業により、時刻のズレが生じてセキュアチャネルが破損しているとの見解を認めました。 仰る通り、ドメインの降格により、同期を取り直す作業の実施を立ち合って貰うことで同意が取れました。 どうも有難うございました。
補足
作業員が、ご指摘の方法の通り、降格~ドメイン再参加の手順で作業を行い、無事数時間で復旧することができました。やれやれです。 アドバイス参考になりました。有難うございます。