- - PR -
【ADS】降格したDCのオブジェクトが消せない
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-01-20 14:31
お世話になっております。
SEVENです。 AD環境にて、DCかつプライマリDNSのサーバのハードを新しいものに変更する作業を実施後、サイト内に消せないDCオブジェクト残ってしまいました。 削除しようとすると「DSAオブジェクトは削除できません」と表示されます。 どなたか削除方法をご存知無いでしょうか? MicroSoftで公開している「ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法」 http://support.microsoft.com/default.aspx?scid=kb;ja;216498 も試してみましたが、「DsRemoveDsServerW エラー 0x20e3(DSA オブジェクトが見つかりませんでした」と表示されてしまい削除できません。 <障害発生前に実施した作業> 入れ替え前のサーバをOld(HOST名:DCServ)、入れ替え後のサーバをNew(HOST名:tmp)とする。 入れ替え対象のDCはFSMOは担っていない。 1.New上でDNSを構築し、OldからプライマリDNSを委譲する 2.OldをDC降格し、NWから切り離す 3.Newのホスト名をDCServに変更、IPもOldが使っていたものを設定してNW接続 4.New(DCServ)をDCに昇格 5.Oldのホスト名をtmpに変更、IPもNewが使っていたものを設定しNW接続 <障害状況> ・作業実施後、DCServ上でAD管理ツールを使用できたが、複製は出来なかった(名前解決がどうとか) ・情報がまだうまく複製できていないのだろうと思っていたが、数時間たっても状況が変わらない為、いろいろ見てみるとDCのオブジェクト・DNSの登録がおかしくなっていた。 1.AD ユーザとコンピュータのDomain Controllersの中にはオブジェクトは存在しなかった 2.DNS上の新旧サーバのホスト名・IPがあべこべになっていた。 3.DNS上のDCServのSRVレコードで抜けているところがあった(_ldap,_kpasswdはあるが、_keberosが抜けていたり) ・消せないDCオブジェクトはNTDS Settingsの後ろに「CNF:XXXXXXXX」とSID?がついている ・消せないDCオブジェクトの作成日時は、旧ハード時にセットアップした日時と一致している ・DNSのDCとしての登録情報は全て削除している(障害後、復旧を色々試している段階) うまく状況がまとめきれていないかもしれませんが、どなたか情報をお持ちでしたらよろしくお願いいたします。 | ||||||||||||
|
投稿日時: 2004-01-20 22:36
ちょっと危険な状況だと思われます。
慎重に行動してください。 DCは複数台あるようですね。 トラブル発生の発端は、Old DCの情報が全てのDCから削除される前に、 New DCのコンピュータ名をOld DCにしたことだと思います。 Old DC、New DCがFSMOではないということですので、Old DCならびにNew DCが無い状態で AD複製がきちんとできた状態にすると良いです。 まず、Old DCならびにNew DCをネットワークから切り離してください。 そして、 C:\> dcpromo /e で、全てのDCがきちんと複製できていることを確認してください。 その後、DC情報の削除を実施してください。 クライアントのDNSなどの事情で、Old DCのIPアドレスでDNSが必要な場合は、 一旦、Old DCとは違うコンピュータ名で、DNSサービスを立ち上げてください。 # DCは、全て同一ServicePackになっていますか? | ||||||||||||
|
投稿日時: 2004-01-21 00:24
ご返答ありがとうございます。
危険。ですか・・・。嗚呼 これはどのようなことが想定されるのでしょうか? ># DCは、全て同一ServicePackになっていますか? 現在はすべてSP4となっております。 NW切り離し、dcpromo /e を明日試してみたいと思うのですが、勉強不足ですいません。/eオプションはどういう効果があるのでしょうか? >トラブル発生の発端は、Old DCの情報が全てのDCから削除される前に、 >New DCのコンピュータ名をOld DCにしたことだと思います。 ntdsutilから消えずに残っているDCオブジェクトの情報をみると、 DCの名前 →DCServ DNSのホスト名 →tmp と食い違っていました。やはりご指摘の通り降格の情報が複製されきっていない段階にホスト名変更したため、登録情報がおかしくなってしまったような感じです。 ちなみに、NEW(DCServe)は複製も行われず、dcpromoでの降格も出来なかったため、強制降格(/FORCEREMOVALオプション)で無理やり降格し、現在は単なるメンバサーバ+プライマリDNSになっています。(これもまずかったかな・・・?) | ||||||||||||
|
投稿日時: 2004-01-21 08:17
AD複製が正常に行われない状態で、各DCに対して追加や削除を行うと... わけわからなくなります。 (わたしの知るところで、AD再構築になったケースもありましたので...。)
Enterpriseの頭文字です。 dcdiagを実施したDCだけでなく、全てのDCに対してdcdiagを実施します。 また、dcdiagでエラー発生時には、/vオプションもよく使います。 (/v ... 詳細情報の表示)
確実に安全を確保するならば、ネットワーク切り離しですが... 今回のケースでは、その手順で大丈夫だと思います。
| ||||||||||||
|
投稿日時: 2004-01-21 09:33
おはようございます。
SEVENです。 ご丁寧なご返答ありがとうございます!! 計画を十分に練ってから試してみたいと思います | ||||||||||||
|
投稿日時: 2004-01-21 18:43
作業試してみました。
結果として、削除は出来ませんでした。 状況に関する追加・修正 ・複数のサイトの各DCに対し、消せないDCオブジェクト情報が複製されている。 だが。他のDC間の複製は正常に実施されている。悪影響は現段階では出ていないようだ。 とあるDC上には、知識整合性チェッカーにより作成された複製接続に一つ消せないDCオブジェクトとの複製接続が作成されているあるが・・・。 ・オブジェクトの作成日付について NewでDCを構築した際の日付でした。 Oldを降格した後、NewをDC昇格したのですが、複製などが出来ず、結局降格したのですが、数時間後「サイトとサービス」の中に表示されていた。 よって、消せないDNSオブジェクトの後ろのCNF:xxxxxはNewでDCにした際に発行されたGUIDではないかと思っています。 そこで質問なのですが、GUIDはドメインに参加するたびに発行されるのでしょうか? Newを再度DCServという名前でDC昇格したらオブジェクトとのリンクが復活しないかなぁ? 多分無理でしょうが・・・?というより、危険度高そうですね・・・。 今回実施した作業 1.OldをNWから切り離す 2.New(DCServ)のホスト名を変更(DNSServとする) 3.NewのDNS登録が、DCServからDNSServとなったことを確認 4.その後1時間ほど放置 5.「dcdiag /e /n:domain」を実行 やはりDCServにもチェックしようとしている。但し(当然ながら)接続できずに 以下のようなエラーが表示される。 --------------------------------------------------- * Active Directory LDAP Services Check 12a3b4c5-6d7e-11xx-1234-12z12z12zz1z._msdcs.domain. local's server GUID DNS name could not be resolved to an IP address. Check the DNS server, DHCP, server name, etc ......................... DCServ failed test Connectivity 6.他のDCから「サイトとサービス」の該当サイトからDCservのオブジェクト削除を試みる →「DSAオブジェクトは削除できません」 NtdsutilからMetadata Cleanupを試みる →DsRemoveDsServerW エラー 0x20e3(DSA オブジェクトが見つかりませんでした。) 動作的に悪影響が出ないのならば、悔しいですが放置するしかないのかな・・・。 | ||||||||||||
|
投稿日時: 2004-01-21 21:33
AD複製が正常ということですので、Old DC,New DCを削除してください。
「DSAオブジェクトは削除できません」ですが、SP4適用とのことですので、 DSAオブジェクトの保護を解除する必要があります。 詳しくは、下記資料の「ドメインからのドメインコントローラの削除」の 「手順2」をご参照ください。 Active Directory障害復旧ガイド | ||||||||||||
|
投稿日時: 2004-01-21 23:25
ありがとうございます!
リンク先の障害復旧ガイド内容を確認しました。 ADSI Editを使用するのですか・・・。 | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。