ドメインコントローラーの状態について

Question

ドメインコントローラーとして機能していたWindowsサーバが

意図せず降格する事象が起きました。

(別の質問「サーバーマネージャーでのメッセージについて(ドメインコントローラーについて)」を

出させていただいております)

ドメインコントローラーとして【サーバA】と【サーバB】があり、

【サーバB】が今回ドメインコントローラーから降格したサーバーで、

【サーバA】は現状もドメインコントローラーとして機能しているサーバーです。

状況確認のため以下を実施しました。

≪状況確認①≫

=========================================

同じドメイン内のWindws端末で以下のコマンドを

実行したところ、ドメインコントローラーから降格したサーバが

ドメインコントローラーとして表示されました。

nltest /dclist:[ドメイン名]

ドメイン [ドメイン名] の DC 一覧を '【サーバA】[ドメイン名] から取得します。

【サーバA】[ドメイン名] [PDC]  [DS] サイト: Default-First-Site-Name

【サーバB】[ドメイン名]            [DS] サイト: Default-First-Site-Name

コマンドは正常に完了しました

=========================================

≪状況確認②≫

=========================================

【サーバA】【サーバB】共に

「Active Directoryユーザーとコンピューター」で

ドメインコントローラーの項目に両サーバー名が

表示されています。

=========================================

以下、おわかりでしたらお教えいただきたいことです。

≪確認したいこと①≫

---

上記の確認結果は【サーバA】【サーバB】共に

ドメインコントローラーとして機能していると考えているのですが、

表示上だけはドメインコントローラーとして存在しているが、

機能はしていないのでしょうか。

---

≪確認したいこと②≫

---

ドメインコントローラーとして機能している、していないを

確認出来る項目、方法はありますでしょうか。

「ここの表示が●●となっているからドメインコントローラーとして

機能している、機能していない」

などがありましたらお教えいただきたいです。

---

≪確認したいこと③≫

---

稼働しているドメインコントローラー【サーバA】と降格した【サーバB】で

ドメインコントローラーとして動作している状態を比較して確認する

方法などはありますでしょうか。

2台共にドメインコントローラーとして起動している場合、していない場合で

表示が変わる箇所などがあればお教えいただきたいです。

(≪確認したいこと②≫と内容が被るかもしれませんが)

---

よろしくお願いいたします。

2024/11/25

≪状況確認①≫の箇所に記載したカッコが文字コードに文字化けしていたので、修正しました。

Answer 1

チャブーンです。

この件ですが、回答のゴールがよくわからないですね。前提条件として、「勝手にドメインコントローラーは降格しない」ので、誰かが降格の指示をGUI or コマンドで実行した、か、そもそも昇格の作業を行っていない、のいずれかだと思います。

ご質問の中心として、GUIツール(Active Directoryユーザーとコンピューター他)の見え方を尋ねられている理解ですので、その前提でお答えします。

• [Active Directoryユーザーとコンピューター]からどうみえるのか
  ドメインコントローラーとして登録していれば、[Domain Contrillers] OUにコンピューターオブジェクトがあります。正常に降格した場合、[Computers]コンテナーに移動します。ただし、手動でもオブジェクト移動はできてしまうので、この情報では「機能しているか？」を担保することはできません。
• [Active Directoryサイトとサービス]からどう見えるのか
  ドメインコントローラーとして登録していれば、[Servers]内にコンピューターが存在し、その配下[NTDS Settings]以下にもオブジェクトが存在します。降格した場合コンピューターは残りますが、[NTDS Settings]以下は削除されます。
• [サービス]からどう見えるのか
  ドメインコントローラーとして動作していれば[Kerberos Distributed Center (KDC)]が実行中になります。サービスが存在しない、ないしは停止の状況になっていれば、正常に動作していません。

上記はいずれも「状況証拠」であり、過去からどういう経緯で今の状態になっているか？はわかりません。これを確認するには「Promotion(昇格)ログ」を、きちんと確認しましょう。

C:\Windows\debug\dcpromoui.log

上記のログには、昇格時(降格時)にどんな動作が発生したのか？の詳細が記録されています。これを見ると実際の昇格・降格作業の詳細がわかります。ログなので、実行日付も記録されてますので、どのような操作が行われたのかも、後から確認が可能になります。

Answer 2

チャブーン様

ご解説いただきありがとうございます。

お知らせいただいた項目を【サーバB】(降格疑いありサーバ)で確認いたしました。

・[Active Directoryユーザーとコンピューター]からどうみえるのか

　[Domain Contrillers] 内にサーバーAとサーバーBが共に存在し、

　[Computers]内は同ドメイン内の他PCやサーバがありますが

　サーバーAとBは存在していませんでした。

・[Active Directoryサイトとサービス]からどう見えるのか

　[Servers]内にサーバーAとサーバーB共に存在し、その配下[NTDS Settings]にも

　サーバーAとBが存在していました。

　[NTDS Settings]での表示

　名前：＜自動生成＞

　レプリケート元サーバ：【サーバA】を選択時は【サーバB名】、【サーバB】を選択時は【サーバA名】

　レプリケート元サイト：Default-First-Site-Name

・[サービス]からどう見えるのか

　[Kerberos Distributed Center]が実行中になっておりました。

・C:\Windows\debug\dcpromoui.logの内容

　dcpromoui.logは存在しておりましたが、タイムスタンプが2019年6月になっており、

　最後の行に「Dcpromo is running」と表示されていました。

上記の結果で、

・2019年6月以降、ドメインコントローラーとしての状態は変わっていない認識でよいでしょうか。

　(2019年6月から昇格していない)

・現状、ドメインコントローラーとして機能していないのでしょうか。

・やはりドメインコントローラーの昇格は必要でしょうか。

※※※※※※※

条件的にはドメインコントローラーとして動作していそうですが、

「ドメインコントローラーの役割のインストールはされているが、

ドメインコントローラーへの昇格が行われていない状態 」であって、

ドメインコントローラーの昇格は必要？

このあたりが理解できておらず申し訳ございません。

※※※※※※※

ご確認いただけますと幸いです。

どうぞよろしくお願いいたします。

Answer 3

この応答は自動的に翻訳されています。 その結果、文法上の誤りや奇妙な言い回しが生じる可能性があります。

こんにちは

あいさつ！

すべてのドメイン コントローラーに関する DC の正常性を確認してみることができます。すべての DC で Dcdiag /v を実行してください。

また、ADレプリケーションが正常に機能しているかどうかを確認します。

また、グループポリシーの適用とAD認証も確認し、それらすべてに問題がなければ、監視を続けることができます。

よろしくお願いいたします
デイジー・ジョウ

Answer 4

Daisy Zhou123様　Hebikuzure様　チャブーン様

ドメインコントローラーの【サーバA】と【サーバB】で

以下のコマンドを実行しました。

ほとんどの箇所で成功や正常となっていましたが、

一部で失敗の表示がありました。

【サーバA】と【サーバB】で同じ箇所で

失敗しています。

ご確認をお願い出来ますでしょうか。

=======================================

●repadmin /showrepl

以下の表示がされていました。

※***は個別情報のためマスクしています。

Default-First-Site-Name\***

DSA オプション: IS_GC

サイト オプション: (none)

その後の項目は「～最後の試行は成功しました。」が

続いていますが、以下2項目は拒否されたと表示されています。

DsReplicaGetInfo() に失敗しました。状態: 8453 (0x2105):

レプリケーション アクセスが拒否されました。 

DsReplicaGetInfo() に失敗しました。状態: 8453 (0x2105):

レプリケーション アクセスが拒否されました。 

=======================================

●net share

内容に差分は無く、「コマンドは正常に終了しました。」と

表示されております。

=======================================

●dcdiag /v

こちらも「コマンドは正常に終了しました。」になっている項目が多いですが、

以下の項目で「に失敗しました」と表示されています。

  テストを開始しています: NetLogons 

     \* Network Logons Privileges Check 

     Verified share \\\*\*\*\netlogon 

     Verified share \\\*\*\*\sysvol 

     [\*\*\*] ユーザー資格情報にはこの操作を実行する権限がありません。 

     このテストに使用するアカウントには、このコンピューターのドメインへの 

     ネットワーク ログオン特権が必要です。 

     ......................... \*\*\* はテスト NetLogons に失敗しました 

   テストを開始しています: Replications 

     \* Replications Check 

     [レプリケーションの確認、\*\*\*] DsReplicaGetInfo(PENDING\_OPS, NULL) が失敗しました。エラー 0x2105 "レプリケ ーション アクセスが拒否されました。" 

     ......................... \*\*\* はテスト Replications に失敗しました 

  テストを開始しています: Services 

～中略～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

        \*\*\* で NTDS サービスを開くことができませんでした。エラー 0x5 "アクセスが拒否されました。" 

～中略～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

     ......................... \*\*\* はテスト Services に失敗しました 

=======================================

以上です。

よろしくお願いいたします。

Answer 5

伏字があるのでどの DC からどの DC への同期がエラーなのか分からないのですが、
repadmin /syncall /aed

を実行すれば、どこからどこへの同期がエラーなのか分かると思います。