- - PR -
小規模なWindows2000Serverの再構築
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-10-24 13:58
Windows2000Server(ActiveDirectory)のHW老朽化により
HWをリプレースし、Windows2000Serverの再構築をしています。 (ネットワークには上記サーバが1台のみです) ユーザ数が少なく(20人)、パスワードも管理者で管理しており 複雑なアクセス制限の設定もないので、新サーバに 現在のサーバと全く同じ設定内容をマニュアルで設定しました。 動作テストで 既存のサーバに接続しているクライアント(WinXP SP2)をネットワークから 切り離し、新サーバにクロスケーブルで接続し、ログインしようとしましたが 以下のエラーメッセージが表示され、ログインできません。 ★エラーメッセージ---------------------------------------------- @クライアント側( ログイン画面で) 「ログオンできません。ログオン先ドメインABC{既存ドメイン名}は 利用できません」 Aサーバ側(システムログ) 「コンピュータMYPC{クライアントのホスト名}は、 サーバSerHost{サーバホスト名}に ABC{既存ドメイン名}ドメインで確立された信頼関係を使用して 接続しようとしましたが、ドメインの再構成時に コンピュータは 正しいセキュリティ識別子(SID)を失いました。 信頼関係を再確立してください。」 --------------------------------------------------------------- 新サーバで、今まで使用したことのない新規のユーザIDを設定し ログオンを試みたのですが、同様のエラーメッセージが表示されます。 このようなメッセージについて、原因をご存知の方がおられましたら ご教示いただけないでしょうか? よろしくお願いします。 | ||||||||
|
投稿日時: 2005-10-24 16:32
同じドメイン名であらたにドメインを構築したということでしょうか? 1.名前が同じでも別のドメインが出来上がっているので クライアントは既存ドメインからワークグループメンバシップを変更し、 新たなドメインに参加させるか、 2.既存ドメインに追加ドメインコントローラとしてセットアップした上で ディレクトリ情報を複製、複製完了後 操作マスタを新ドメインコントローラに転送 既存ドメインコントローラを降格 などの手順を踏まなければなりません。 既存環境のハードウェア的リプレースでしたら、2. の手順が基本です。 | ||||||||
|
投稿日時: 2005-10-24 16:35
タイプミスにつき訂正 ワークグループにメンバシップを変更し、 | ||||||||
|
投稿日時: 2005-10-24 19:02
こんばんわ.
読み直して気がつきましたが, computer account まで移行したのでしょうか? 単に登録しただけなら SID が違うので, そのようになるのが普通の動作です. まるちねす様ご指摘の内容に補足して
ActiveDirectory Migration Tool による移行もひとつの手段かと. | ||||||||
|
投稿日時: 2005-10-25 10:21
ご回答ありがとうございます。
ドメイン名を変更すると、クライアントPCの変更が大変で 出来るなら、ドメイン名だけは変更したくありません。 そこで、まるちねす様のご指示通り、追加DCを昇格→既存DC降格を 設定しようとしましたが、追加DCの構成途中で新たな問題が発生しました。 ---------------------------------------------------------------- ●新サーバ側 ActiveDirectory→既存のドメイン追加ドメインコントローラで 画面の指示通りに設定し、ActiveDirectoryの構成中で 「次の理由のため、操作に失敗しました。コンピュータアカウント SerHost{新サーバホスト名}$に必要なプロパティの変更に失敗しました。 アクセスが拒否されました。」 「ABC.xxx.co.jp(既存FQDN)ドメインに追加ドメインコントローラを 作成するのに十分な特権のあるアカウントのユーザ名と パスワードを入力してください。」 ●既存サーバ側(セキュリティログ) 特権サービスの呼び出し; サーバー:Security Account Manager サービス:Security Account Manager プライマリユーザー名: {既存ホスト名}$ プライマリドメイン: {既存ドメイン名} プライマリログオンID:(0x0,0x***) クライアントユーザー名:Administrator クライアントドメイン:{既存ドメイン名} クライアントログオンID:(0x0,0xEDE***) 特権: SeEnableDelegationPrivilege ------------------------------------------------------- 別スレにしたほうがいいのかもしれませんが このような現象になりましたので、原因をご存知でしたらご教示ください。 (既存・新サーバともAdministratorのパスワードは同じで どちらもAdministratorに特殊な設定をしていません) 1つ気になるのが、サーバの入替えなので 既存・新サーバと同じWindows2000Serverライセンスを使用しています。 何か影響があるのでしょうか? 以上 よろしくお願いします。 | ||||||||
|
投稿日時: 2005-10-25 10:57
こんにちわ.
新 server をまず既存の Active Directory に参加させましょう. Active Directory に参加した上で問題なく logon できることを確認して, それから dcpromo しましょう. Active Directory へ参加する/Domain Controller への昇格の際は DNS の参照先は既存の Domain Controller になりますが, 新 Domain Controller へ DNS を構成して, zone 情報が複製されたら新 Domain Controller および各 client の DNS の参照先を新 Domain Controller へ変更します. その後 FSMO を新 Domain Controller へ移行し, 旧 Domain Controller を停止しても Active Directory が正常に機能することを確実に確認してから, 旧 Domain Controller を降格し, Active Directory から離脱させましょう.
license は別に準備する必要があります. 手段として「できないか?」と問われると支障は有りません. しかし法律的にはよろしくないです. 新と旧の Windows 2000 Server が同時に稼動するということは, 2つの Windows 2000 Server の license が必要ということです. | ||||||||
|
投稿日時: 2005-10-25 11:45
ご回答ありがとうございます。 Active Directory にlogon してから、dcpromo していますが 上記のような現象になっています。
ということは、新サーバは全く別の設定してLANに接続し 既存サーバをLANから切り離すしか方法はないようですね。。。 中途半端なスレになってしまい申し訳ありません。 | ||||||||
|
投稿日時: 2005-10-25 12:11
Administrator は Active Directory の Administrator ですか? local の Administrator ではなく?
いや,別の LAN でもなんでも, 「別の Windows 2000 Server を動かす」時点でもう一つの license が必要です. つまり,「1台でしか動いていない」のでなければ, OS の license が必要とうことです. なので,どうしても「license は買いたくない」のであれば, Active Directory を複製するのではなく, Active Directory の database などを backup して, 旧 server を停止した上で新 server を構築して, そこに backup した Active Directory の database を restore するなど, ややこしいことになります. これらは「動作に支障が有るから」ではなく法的によろしくないからです. なので素直追加 license でも購入するのがよろしいかと. | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。