トラブル内容
Linux AD参加で冗長化されたドメインコントローラを1台シャットダウンし、認証テストをしたところ上手く認証できなかった。
環境情報
・OS
Windows Server 2012 R2 Standard
・フォレスト機能レベル
2012
・ドメイン機能レベル
2012
・ドメインコントローラ
サーバA(FSMO)とBの2台構成
・ドメイン名
exsample.com
サーバAをシャットダウンすると、認証が上手くいかない感じです
トラブルチェック
①DNSの確認(問題なし)
・ドメイン名を名前解決できるか
nslookup exsample.com
・サーバ名を名前解決できるか
nslookup A
nslookup A.exsample.com
nslookup B
nslookup B.exsample.com
②簡易ファイアウォール確認(問題なし)
イベントログ等の画面で「別のコンピュータ」へ接続を実施する。
・A→B
・B→A
③共有の確認(NG)
ドメインコントローラとして「SYSVOL」と「Netlogon」が共有されている必要があるので、チェックをしてみる。
net share
・サーバA:OK
・サーバB:NG
どうやらここがダメっぽい
④ドメインの状態チェック(NG)
dcdiag
・サーバA:OK
・サーバB:NG
AdvertisingとかいうものとNetlogonでエラー
やっぱりNetlogonが異常になっていそう
⑤イベントログ確認(NG)
サーバA(FSMO)側で以下のイベントログが出力していた
ソース:DFSR
イベントID:4012
説明の中に「MaxOfflineTimeInDaysパラメータで許可される時間(60)よりも長いXXX日間、他のパートナーから切断されています。DFSRレプリケーションはこのフォルダーのデータが執行したと判断し、このサーバーは このエラーが修正されるまでフォルダーをレプリケートしません。」とあった。
サーバAのレプリ相手が居らずDFSRが止まってしまっていて、追加のドメインコントローラに諸々がレプリケートできなかったようです。どうりで追加ドメインコントローラのSYSVOLやNetlogonフォルダの中身が空な訳だ・・・
対応
色々調べて実行したが上手くいかず、「MaxOfflineTimeInDays」を延長してみることに。
・コマンドプロンプト(管理者)で以下を実行
wmic.exe /namespace:\\root\microsoftdfs path DfsrMachineConfig set MaxOfflineTimeInDays=365
・管理ツールの「サービス」で「DFS Replication」を再起動
上記で上手く行き、サーバB側でもSYSVOLやNetlogonが共有されました!!
上手く行かなかった手順メモ
以下は上手く行かなかった手順です(笑)
・コマンドプロンプトで以下を実行
wmic /namespace:\\root\microsoftdfs path dfsrReplicatedFolderInfo get replicatedFolderName,State
※結果が「2」の場合のみ以降を実施
今回の結果は「2」だった
・「管理ツール」⇒「ADSIエディター」を選択
・「ADSIエディター」を右クリックし、「接続」を選択。「OK」をクリックする。
・左ペインを展開していき、「OU=DomainControllers」→「CN=A」→「CN=DFSR-LocalSettings」→「CN=Domain System Volume」 をクリック
・右ペインに表示された 「CN=SYSVOL Subscription」 を右クリックしてプロパティを表示
・msDFSR-Options 属性の値を 「1」 に変更してエディタを閉じる
・1号機のコマンドラインで dfsrdiag pollad を実行
⇒コマンドが無いと言われた。機能の追加がなされていないとエラーになる
・役割と機能の追加
機能の追加で以下をインストール
[リモートサーバー管理ツール]-[役割管理ツール]-[ファイルサービスツール]-[DFS 管理ツール]
・コマンドプロンプトから以下を実行
dfsrdiag pollad
「成功した操作」というのが表示される