ADがおかしくなり、DC間で同期がとれななくなったときの対応

更新日 2018-01-13 (土) 01:53:30 いたるところで、「対象のプリンシバル名が間違っています」のエラーがでてDC間でコミュニケーションできなくなった。その時の対応

vmwin2012r2上で実行

以下の強制同期を実行

C:\Windows\system32>Repadmin /replicate vmwin2012r2 win2012r2-fsmo DC=vmw,DC=ism21,DC=net
win2012r2-fsmo から vmwin2012r2 への同期を完了しました。
  • vmwin2012r2上ではwin2012r2-fsmoからvmwin2012r2に同期ができる
  • 逆にwin2012r2-fsmo上ではin2012r2-fsmoからvmwin2012r2に同じコマンドの強制同期がエラーする。

vmwin2012r2上で実行しwin2012r2-fsmo上のパスワードをリセット

win2012r2-fsmo上にあるvmwin2012r2のパスワードをリセットする。

サーバ指定するとサーバ指定したサーバ上のある実行したサーバのパスワードがリセットされる。

C:\Windows\system32>netdom resetpwd /server:win2012r2-fsmo /ud:vmw\je2ism /pd:*****

ローカル コンピューターのコンピューター アカウント パスワードは正常にリセットさ
れました。

コマンドは正しく完了しました。

win2012r2-fsmo上で管理さているvmwin2012r2のプリンシバル名のパスワードがおかしくなっていた結果「対象のプリンシバル名が間違っています」のエラーがいろんなところで出ていたようだ

同期コマンドのいろいろ

予備知識

表示はActive Directoryの名前付けコンテキストごと。同期は名前付けコンテキストごとに行われている。
ディレクトリサーバが管理する範囲(とその名前)を名前付けコンテキストと呼ぶ。

Directoryの名前付けコンテキストは5つ

  • ドメイン:DC=vmw,DC=ism21,DC=net
  • 設定:CN=Configuration,DC=vmw,DC=ism21,DC=net
  • スキーマ:CN=Schema,CN=Configuration,DC=vmw,DC=ism21,DC=net
  • DomainDnsZones:DC=DomainDnsZones,DC=vmw,DC=ism21,DC=net
  • ForestDnsZones:DC=ForestDnsZones,DC=vmw,DC=ism21,DC=net
  • LDAPの一般的な属性名
属性型名説明
c2文字の国(Country)コード
cn一般名(Common Name)。そのオブジェクトの名前としてよく使われる
o会社・組織名(Organization)
ou組織・組織単位名(Organization Unit)
dcドメイン名(Domain Compornent)

ADの構造.png

win2012r2-fsmoで実行

  • 同期最後の時間確認
C:\Windows\system32>repadmin /showrepl

Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています
Default-First-Site-Name\WIN2012R2-FSMO
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: c3d1304e-a147-4d0c-9c50-642022df60e9
DSA 起動 ID: 3377fd50-6305-4c87-8b4e-6a0541f73af4

==== 入力方向の近隣サーバー======================================

DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-06 22:36:26 の最後の試行は成功しました。

CN=Configuration,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-06 22:36:26 の最後の試行は成功しました。

CN=Schema,CN=Configuration,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-06 22:36:26 の最後の試行は成功しました。

DC=DomainDnsZones,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-06 22:36:26 の最後の試行は成功しました。

DC=ForestDnsZones,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-06 22:36:26 の最後の試行は成功しました。
  • 同期の出力方向の確認
repadmin /showrepl /repsto

C:\Windows\system32>repadmin /showrepl /repsto

Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています
Default-First-Site-Name\WIN2012R2-FSMO
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: c3d1304e-a147-4d0c-9c50-642022df60e9
DSA 起動 ID: 3377fd50-6305-4c87-8b4e-6a0541f73af4

==== 入力方向の近隣サーバー======================================

DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 05:15:53 の最後の試行は成功しました。

CN=Configuration,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 04:58:00 の最後の試行は成功しました。

CN=Schema,CN=Configuration,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 04:58:00 の最後の試行は成功しました。

DC=DomainDnsZones,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 04:58:00 の最後の試行は成功しました。

DC=ForestDnsZones,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 04:58:00 の最後の試行は成功しました。

==== 変更通知のための出力方向の近隣サーバー============

DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 04:59:07 の最後の試行は成功しました。

CN=Configuration,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 03:03:06 の最後の試行は成功しました。

CN=Schema,CN=Configuration,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2017-04-07 20:54:57 の最後の試行は成功しました。

DC=DomainDnsZones,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 01:58:52 の最後の試行は成功しました。

DC=ForestDnsZones,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 02:00:05 の最後の試行は成功しました。
  • ほかのドメイン・コントローラから複製を実行できるよう,複製パートナーとして自動的に接続オブジェクトが設定されます。この接続オブジェクトに関する情報表示
C:\Windows\system32>repadmin /showrepl /conn

Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています
Default-First-Site-Name\WIN2012R2-FSMO
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: c3d1304e-a147-4d0c-9c50-642022df60e9
DSA 起動 ID: 3377fd50-6305-4c87-8b4e-6a0541f73af4

==== 入力方向の近隣サーバー======================================

DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 05:23:54 の最後の試行は成功しました。

CN=Configuration,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 04:58:00 の最後の試行は成功しました。

CN=Schema,CN=Configuration,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 04:58:00 の最後の試行は成功しました。

DC=DomainDnsZones,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 04:58:00 の最後の試行は成功しました。

DC=ForestDnsZones,DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\VMWIN2012R2 (RPC 経由)
        DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
       2018-01-07 04:58:00 の最後の試行は成功しました。

==== KCC 接続オブジェクト ============================================
接続 --
    接続名 : ca4020c7-dfbe-4060-91e8-a7aa537d542b
    サーバー DNS 名 : win2012r2-fsmo.vmw.ism21.net
    サーバー DN  名 : CN=NTDS Settings,CN=WIN2012R2-FSMO,CN=Servers,CN=Default-
First-Site-Name,CN=Sites,CN=Configuration,DC=vmw,DC=ism21,DC=net
        ソース: Default-First-Site-Name\VMWIN2012R2
                エラーなし。
        トランスポートの種類: サイト内 RPC
        オプション:  isGenerated
        レプリケート NC: CN=Schema,CN=Configuration,DC=vmw,DC=ism21,DC=net
        理由:  RingTopology
                レプリカ リンクが追加されました。
        レプリケート NC: DC=vmw,DC=ism21,DC=net
        理由:  RingTopology
                レプリカ リンクが追加されました。
        レプリケート NC: CN=Configuration,DC=vmw,DC=ism21,DC=net
        理由:  RingTopology
                レプリカ リンクが追加されました。
        レプリケート NC: DC=DomainDnsZones,DC=vmw,DC=ism21,DC=net
        理由:  RingTopology
                レプリカ リンクが追加されました。
        レプリケート NC: DC=ForestDnsZones,DC=vmw,DC=ism21,DC=net
        理由:  RingTopology
                レプリカ リンクが追加されました。
1 個の接続が見つかりました。
  • リモートDC上のこれらの情報を表示(DCがvmwin2012r2の内容を表示)
C:\Windows\system32>repadmin /showrepl vmwin2012r2
Default-First-Site-Name\VMWIN2012R2
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 84c2ec79-d11e-496e-b661-af1b38b90544
DSA 起動 ID: dbcbe096-20d0-46d8-b83e-cff93892f900

==== 入力方向の近隣サーバー======================================

DC=vmw,DC=ism21,DC=net
    Default-First-Site-Name\WIN2012R2-FSMO (RPC 経由)
        DSA オブジェクト GUID: c3d1304e-a147-4d0c-9c50-642022df60e9
       2018-01-07 05:30:09 の最後の試行は成功しました。

(以下略)

参考


添付ファイル: fileADの構造.png 89件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-01-13 (土) 01:53:30 (671d)