- - PR -
RIDマスタが復旧不可
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-01-25 02:07
RIDマスタを所有するドメインコントローラのAD情報が壊れてしまいました。
NTDSコマンドで強制的に役割を移譲しようとしても、すべて下記エラーになってしまいます。 DsBindW Error 0x6ba (The RPC server unavailable) サービス等チェックするべき項目はチェックしたつもりで、RIDマスタの情報が完璧に壊れてしまったのかなと推測しています。 RIDマスタを復旧する方法はどのようにすればよいのでしょうか? ぜひ、ご存知の方お教え下さい。 | ||||||||
|
投稿日時: 2006-01-25 02:37
こんばんわ.
RID master 云々よりも,RPC での通信ができなくて支障を来たしているのでは? DNS の設定に不備はありませんか? ※RID master の役割から,その情報が「完璧に壊れる」の意味がわかりません. | ||||||||
|
投稿日時: 2006-01-25 02:58
DNSは問題ないと思います。きちんと名前解決しますし、一応逆引きも問題ありません。
イベントログにも特にエラーが出ていない状態です。 完璧に壊れるというのは抽象的でした。すみません。大抵はNTDSのSeizeコマンドで強制的にRoleを移譲できると思っていたので、もう他に方法がないのかなということでした。 なにかアドバイスを頂けると助かります。 | ||||||||
|
投稿日時: 2006-01-25 08:55
おはようございます.
Active Directory のための DNS Server がどこで稼動していて, Domain Controller はそれを参照していて, Dynamic DNS も有効で,zone 情報の更新もちゃんとされていて... といった内容を踏まえて「問題ない」という意味ですか? そういうのがなく「問題ない」では「あぁそうなの」としか返ってこないかと.
Domain Controller が何台あるかわかりませんが, 本当に「壊れている」なら, それ以外の Domain Controller に強制移動させるのだと思いますが, 「壊れている」Domain Controller 上で処理していますか? 何れにせよ「現象だけ」で環境が全く想像もできないので, 助言もしようが無いと思います. | ||||||||
|
投稿日時: 2006-01-25 18:33
Domian Controllerは2台ありまして、それぞれDNSがActive Directory Integratedで稼動しております。
お互いDNSのゾーン情報は確認したところ正常に同期が走っていて、問題なく更新されています。 イベントログのDNSにも特に何も表示されておらずDNS上は問題ないと思っています。 今回問題となっているDCのほうでFSMOをすべて稼動させています。PDCエミュレータ等他の役割はすべて、もう一台のDCへ移譲できたのですが、RIDマスタのみ問題があり移譲できない状態です。 作業としては正常なほうのDCからNTDSコマンドで、問題のあるDCに接続使用としていますが、下記のエラーとなります。 DsBindW Error 0x6ba (The RPC server unavailable) 問題のある接続先のサーバではRPCサービスのステータスは「開始」になっていて、何度かサービスの再起動を実施しています。 復旧方法がご教授頂ければありがたいのですが、RIDマスタの復旧ができない場合は通常どうなるのでしょうか?ドメイン自体を再構築する必要があるのでしょうか? もう一方のDCからAD情報をバックアップして、問題のあるDCにリストアなど可能なのでしょうか? 長くなりましたが、ご存知の方、アドバイスをいただけると幸いです。 宜しくお願い致します。 | ||||||||
|
投稿日時: 2006-01-25 19:22
NTDSコマンドの動作として強制移動をやった場合、
最初は安全転送を試みて失敗したら強制移動が動作したと思います。 なので、安全転送に失敗したら表示上は 一度は必ずエラーが出たと思うのですがそのこととは違いますか? エラーが出た後、強制移動されて実は移動出来てるなんてないですよね? list roles何とかで役割の一覧を出せませんでしたっけ。 ちなみにRIDマスタが壊れていなくなるというのは考えたことも、 調べたことも無いのでよく分かりません。 いまいちイメージがつきませんが 実は大量のアカウントを一気に作成しない限り運用上問題ない?かも。 ですが、異常な状態なので復旧させるべきです。 それからもう一方のDCからAD情報...で復旧させるのは 出来ないと思いますよ。MSが公開しているAD復旧ガイドにも 載ってませんし、そもそもDCのリストアやる場合はシステム状態の リストアをやる必要があったと思います。 これにはレジストリ情報も含まれるので別サーバの システム状態をリストアする多分、大変なことになると思います。 | ||||||||
|
投稿日時: 2006-01-26 00:25
こんばんわ.
この部分だけ. RID マスタは本来「RID プールマスタ」という名称だと記憶しています. RID は SID を生成する「素」で,RID が枯渇すると 新たに user account や computer account が生成できなくなります. つまり,事実上 SID を必要とする Active Directory の object を 増やせなくなるので,削除できても登録できない状態になります. 通常は全ての Domain Controller が RID をいくつか保持していて, それが減ると RID マスタが新たに RID を生成?して RID が減った Domain Controller に割り当てます. このことから,RID マスタと通信できない Domain Controller は 新たに SID を生成できない,つまり新たに object を生成できない状況に陥ります. 「一気に作ったら」ではなく,「予め保持している分を消費したら」 打ち止めになります. 以上,ご参考までに. | ||||||||
|
投稿日時: 2006-01-26 00:36
お困りのようですね。
> 作業としては正常なほうのDCからNTDSコマンドで、 > 問題のあるDCに接続しようとしていますが、 > 下記のエラーとなります。 Seizeコマンドで強制的にRoleを移動するなら壊れてしまったDCに接続する必要はありません。手順を再確認してください。新たにRIDマスタにするDCに接続します。NTDS Utilを実行しているのがそのDCならば自分自身に接続します。そもそも、Seizeで移動しなければならない状況とは、FSMOをもったDCが起動不可で再度ネットワークに接続できなくなった状態となった場合です。ですので、旧FSMOのDCが立ち上がっている状態は不自然です。 故障(?)したDCはシャットダウンしてSeizeしてください。Seizeが完了したら故障したDCは復旧しようとせずOSの再インストールをします。Seizeが完了した後のネットワーク接続は厳禁です。(故障したDCにすべてのFSMOがのっていてひとつでも既に強制移動したなら故障DCは起動してはいけません) ちなみにRIDマスタはDCにSIDの番号を配っています。DCサーバはRIDマスタにRIDプールを要求します。RIDマスタは要求を受けると1度に500のRIDをDCに配ります。RIDマスタが壊れるということは新たなRIDのプールがDCに配ることが出来なくなるので、各DCは500のRIDを使い切ってしまうとADに新たなオブジェクトが作成できなくなります。ADのオブジェクトはユーザ・グループ・コンピュータだけでなくさまざまなシステムオブジェクトが存在するのでシステムに支障をきたすのは時間の問題です。 ちなみに故障したDCのディレクトリサービスイベントログには何か重大な問題を示すエラーはあがっているのでしょうか?出てなければ復旧できそうです。が!Seizeをしてしまったならつぶすより他ありません・・。 RIDといえば、以前うちの管理しているドメインがRIDの二重払い出しをして大変な目にあいました・・・。 | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。