- PR -

ActivedirectoryでFSMOを強制移動する際の注意点について

参照元記事 | 同じ記事を参照しているスレッド一覧
1|2 次のページへ»
投稿者投稿内容
見習管理者
ベテラン
会議室デビュー日: 2003/06/17
投稿数: 64
投稿日時: 2005-03-01 15:21
お世話になっております。

FSMOを強制移動しようとしているのですが、その作業を行ううえで気になる点があります。

過去ログを参照しながらたどっていくと

ActiveDirectory障害復旧ガイドホワイトペーパー

に辿りついたのですが、その文中によると
引用:

移動元になるドメインコントローラが再びオンラインに復帰してはいけません。
したがって、役割の強制移動を始める前に、そのドメインコントローラを物理的に
ネットワークから切断し、確実に無効にしてください。

とあります。
文中の移動元のドメインコントローラが稼動している場合、一時ネットワークから
切り離して強制移動が完了したらネットワークにつなげれば大丈夫なのでしょうか?


強制移動しなくてはいけなくなった経緯は、
先日ActiveDirectoryのシングルドメインで
DC1とDC2というドメインコントローラのうち
DC1がクラッシュしてしまいまして再インストールしました。
DC1を再インストール後、ドメインコントローラに昇格させたのですが、
DC1のイベントログに
--------
イベントの種類:エラー
ソース:SAM
イベントID:16650
アカウント識別子アロケータは初期化に失敗しました。
レコード データに障害の原因となる NT エラー コードが含まれています。
Windows 2000 は成功するまで初期化を試みます。それまでこのドメイン コントローラ
でのアカウントの作成は拒否されます。 この障害の原因が示されている可能性がある、
ほかの SAM イベント ログを参照してください。
--------
というものが上がっていました。
調べていくと再インストールしたDC1がFSMOだったので、それが原因で出ているようでした
(参照元記事と同様な現象です)。
また、ドメインコントローラセキュリティポリシーを開くと
指定されたドメインがないか、またはアクセスできません。
というエラーが表示され、グループポリシーのアイコンにバツ印になり
一覧が表示されません。


すでにDC1はファイルサーバなどで稼動しているのですが、一時的に切り離せば大丈夫
なのでしょうか?それともドメインコントローラから降格させて再度ドメインコントローラ
にすればよろしいのでしょうか?
ちなみにDC1のコンピュータ名は再インストール後も前と同じ名前です。

乱文で申し訳ありません。なにか不明な点があれば言ってください。

アドバイスよろしくお願いします。



[ メッセージ編集済み 編集者: 見習管理者 編集日時 2005-03-01 15:29 ]

[ メッセージ編集済み 編集者: 見習管理者 編集日時 2005-03-01 15:34 ]
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-03-01 15:40
FSMOの占有(強制移動)を行う際には、そのFSMOがネットワーク上に存在しない
状況にする必要があります。
なので、FSMOなDCがいるか否かを判別するのが最初。
その後、いるなら移動を試みてみて、移動に失敗するならそのFSMOをオフラインにして占有。
いないなら、そのまま占有、でいいでしょう。

ntdsutilを利用すれば、以下の一行のコマンドで、どのDCがFSMOかは判別できます。
ntdsutil roles connections "connect to server <DCのDNS名>" Quit "select Operation Target"
"list roles for connected server"

念のため、接続先DCとして、それぞれのDCを指定して、結果を確認してください。
見習管理者
ベテラン
会議室デビュー日: 2003/06/17
投稿数: 64
投稿日時: 2005-03-01 16:11
Mattun さん、こんにちは。
ありがとうございます。

引用:

ntdsutil roles connections "connect to server <DCのDNS名>" Quit "select Operation Target"
"list roles for connected server"

をDC1、DC2を指定して確認したところ、どちらも
-----------
サーバー "DC2" は 5 個の役割を認識しています
スキーマ - CN="NTDS Settings
DEL:3b1249cc-426b-45b6-adfb-2b6887337bca",CN=DC1,CN=Servers,CN=Default-First
-Site-Name,CN=Sites,CN=Configuration,DC=foo,DC=bar,DC=co,DC=jp
ドメイン - CN="NTDS Settings
DEL:3b1249cc-426b-45b6-adfb-2b6887337bca",CN=DC1,CN=Servers,CN=Default-First
-Site-Name,CN=Sites,CN=Configuration,DC=foo,DC=bar,DC=co,DC=jp
PDC - CN="NTDS Settings
DEL:3b1249cc-426b-45b6-adfb-2b6887337bca",CN=DC1,CN=Servers,CN=Default-First
-Site-Name,CN=Sites,CN=Configuration,DC=foo,DC=bar,DC=co,DC=jp
RID - CN="NTDS Settings
DEL:3b1249cc-426b-45b6-adfb-2b6887337bca",CN=DC1,CN=Servers,CN=Default-First
-Site-Name,CN=Sites,CN=Configuration,DC=foo,DC=bar,DC=co,DC=jp
インフラストラクチャ - CN="NTDS Settings
DEL:3b1249cc-426b-45b6-adfb-2b6887337bca",CN=DC1,CN=Servers,CN=Default-First
-Site-Name,CN=Sites,CN=Configuration,DC=foo,DC=bar,DC=co,DC=jp
-----------
となり、5つの役割の全てがDC1を指していました。

引用:

FSMOの占有(強制移動)を行う際には、そのFSMOがネットワーク上に存在しない
状況にする必要があります。

ということは上記の結果から現在DC1がFSMOとなっているので、DC1をネットワークから
切り離して実行すればよろしいのですね。

その後、DC1をネットワークに接続しても問題ないでしょうか?

たびたび申し訳ありません。
NAO
ぬし
会議室デビュー日: 2001/10/24
投稿数: 1256
お住まい・勤務地: 神奈川のはずれから東京の下町
投稿日時: 2005-03-01 16:27
今日は。

引用:

その後、DC1をネットワークに接続しても問題ないでしょうか?

DC1にFSMOの役割が5つ残っているので、ダメです。
MSの手順書にもあるかと思いますが、役割を解除しないと
ダメです。
見習管理者
ベテラン
会議室デビュー日: 2003/06/17
投稿数: 64
投稿日時: 2005-03-01 18:10
NAOさん、こんにちは。

引用:

DC1にFSMOの役割が5つ残っているので、ダメです。
MSの手順書にもあるかと思いますが、役割を解除しないと
ダメです。

これは、「ドメインからドメインコントローラの削除」
でActiveDirectoryのサイトとサービスからDC1を削除
するということでしょうか?

もしそうであれば、以下のような移行手順を考えたのですが、

DC1、DC2稼動中という状況で、
1. DC2でADSIEditを使用してDC1を削除できる環境にする(SP4があたっている為)。
2. DC2でntdsutilを使用してDC1を削除できる環境にする。
3. DC1をネットワークから切り離す(ネットワークケーブルを抜く)。
4. DC2でActiveDirectoryサイトとサービスを立ち上げてServersの中のDC1を削除する。
5. DC2でntdsutilを使用してFSMOをDC2に強制移動する。
6. DC1をネットワークに接続する。
7. 完了。

これでどうでしょうか?
なな
ぬし
会議室デビュー日: 2003/06/22
投稿数: 659
お住まい・勤務地: 愛知県
投稿日時: 2005-03-01 19:10
非常に危険な状況と思われます。

先ず、DC1をネットワークから切り離すべきです。
ファイル・サービスをしているとの事ですが、一旦、別サーバ(例えば、DC2)で
サービス提供してください。

引用:

DC1を再インストール後、ドメインコントローラに昇格させたのですが、


既存フォレスト・既存ドメインの追加ドメイン・コントローラでしょうか?
それとも、新規ドメインのドメインコントローラでしょうか?
見習管理者
ベテラン
会議室デビュー日: 2003/06/17
投稿数: 64
投稿日時: 2005-03-01 21:18
なな さん、こんにちは。

引用:

非常に危険な状況と思われます。

先ず、DC1をネットワークから切り離すべきです。
ファイル・サービスをしているとの事ですが、一旦、別サーバ(例えば、DC2)で
サービス提供してください。

休日にはサービスを止められる程度のサービス提供なので、何よりも先にDC1を切り離して
作業を進めてみます。

あと、書いていて思ったのですが、DC1を切り離した際、ドメインコントローラから降格
させなくてもいいのでしょうか?
強制移動した後、再度DC1をつなげたときにDC1の中にもSAMファイルは持っていると思うので、
そこで競合してしまうのかなと。
# ホワイトペーパーの中に書いてあったかな?確認

引用:


引用:

DC1を再インストール後、ドメインコントローラに昇格させたのですが、


既存フォレスト・既存ドメインの追加ドメイン・コントローラでしょうか?
それとも、新規ドメインのドメインコントローラでしょうか?

既存ドメインの追加ドメインコントローラです。

この違いによって作業の進め方が違ってくるのでしょうか?
なな
ぬし
会議室デビュー日: 2003/06/22
投稿数: 659
お住まい・勤務地: 愛知県
投稿日時: 2005-03-02 08:23
引用:

この違いによって作業の進め方が違ってくるのでしょうか?


手順をミスすると、Active Direcotry情報を壊す可能性がありますので、状況を
きちんと把握したいと思っています。
急いで復旧したいかと思いますが、もう少々状況を確認させてください。

現状、下記のとおりで正しいでしょうか?

■正常時
・DCは2台。(DC1,DC2)
・FSMOはDC1が所有。

■障害発生!
・DC1がクラッシュ!

■現在までに行った障害復旧
・DC1 再インストール。
・DC1を既存のドメインのドメインコントローラとして追加。
・FSMOの強制移動は未実施。


DNSサーバは、DCと同じサーバで稼動しているのでしょうか?
ActiveDirectory統合ですか?


[ メッセージ編集済み 編集者: なな 編集日時 2005-03-02 08:26 ]
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)