DC追加の時によくあるミス

追加ＤＣをインストールする時にこのようなミスをよくしました。

 

（質問）

既存ドメコン上のDNSにおいてレコードが削除されてしまう

 

○○○○と申します。

社内環境で発生したWindowsDNSの障害について、障害原因、対応手順などを調査しております。
お忙しいなかお手数ですが、お手すきの際ご教授いただければと思います。


■経緯
　既存ドメイン環境へ新たにメンバサーバを追加して、その後、当サーバをドメコンへ昇格、DNSサーバのインストールを行いました。
　作業はDNSサーバのインストールまで正常に作業は完了したのですが、既存ドメインコントローラのゾーン内にあった
　レコードの大部分が削除されてしまう現象が発生しました。それによりサーバにアクセスできないという影響がありました。
　削除されたレコードは、手動で追加することで解消しました。

■環境
　ドメイン環境：シングルドメイン
　既存ドメインコントローラはWindows2003 Standard Edtion が2台
　追加したドメインコントローラもWindows2003 Standard Edtion

■行った作業手順
　１）ドメコンへの昇格
　　サーバの役割追加により正常昇格。その後再起動。

　２）DNSサーバの構築
　　１）の作業実施後、サーバの役割追加。
　　・サーバの種類：ActiveDirectory統合
    ・ゾーンの種類：プライマリゾーン
　　・ゾーン名指定：既存ゾーンを記載
　　・動的更新：セキュリティで保護された動的更新のみを許可する
　　正常完了。ただし、ゾーン内のレコードは既存ドメコンにあるものがなかな
か登録されませんでした。

　　その後、理由があって、別ネットワークへ追加したドメインコントローラを
移動（既存ドメコンとは通信できない環境になりました）。
　　

■自分なりに考えた障害原因

　いろいろ調べたのですが、以下二つの情報を見つけました。
①書籍：Windows2000Server リソースキット内TCP/IPガイド
　”ActiveDirectory統合ゾーンの作成”の説明内の注意書き
「あるドメインコントローラ上でゾーンを作成した後、ActiveDirectoryによる
複製が終わる前に2番目のドメインコントローラで同じゾーンを作成すると、最
初のゾーンがActiveDirectoryによって削除されます。その結果、最初のドメイ
ンコントローラ上のゾーンに加えた変更がすべて失われてしまいます。」

②Web：@IT
　http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=37867&forum=6

上記二つから、以下仮設を立てました。
　ドメコンへの昇格直後に時間を空けずに、DNSサーバの構築を行ったため
　既存ドメコン内のゾーン情報が新ドメコンのゾーンに上書きされてしまったの
ではないか

■質問
　１）このような（または類似する）障害はご存じでしょうか。またWindowsDNSの追加手順についてご存じでしょうか。
　２）そもそも、ドメイン内で複数のActiveDirectory統合DNSを構築する場合
　　　2台目以上のDNSはセカンダリとして構築する必要があるのでしょうか
　３）リソースキットでに記載されている”あるドメインコントローラ上で
　　ゾーンを作成した後、ActiveDirectoryによる複製が終わる前に”という
　　記述ですが、”ActiveDirectoryによる複製が終わった”ことはどこから確
認すれば良いのでしょうか

以上です。
誠にお手数ですが、お時間のある時にご教授いただければ幸いでございます。

何卒宜しくお願いいたします。

 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

（回答１）

××××です。

この件ですが、これは「追加ドメインコントローラ上の DNS サーバに『手動で Active Directroy ゾーンを作ってしまった』ため」にいままであった DNS ゾーン (Active Directory 統合ゾーン)と衝突してしまったのでしょう。

Windows Server 2003 ではアプリケーションパーティションという複製パーティションが存在しますが、DNSサーバのActive Directory統合ゾーンはこれを使います。具体的には、DC=ForestDNSZones,DC=example,DC=comとDC=DomainDNSZones,DC=example,DC=com(Example.comドメインなら)というパーティションです。

2台目や3台目の追加ドメインコントローラにDNSサーバを追加する場合、一番簡単なのは事前に DNS サーバをインストールしておく(ただしゾーンは作成しない)ことです。こうするとアプリケーションパーティションの内容も複製され、DNSサーバに内容が反映されます。(DNSサーバが正常に動作したら、参照先DNSサーバを優先[127.0.0.1]代替[ほかのドメインコントローラ]にすることを忘れずに)

DNSサーバに内容が反映しない場合、複製の関係でしばらくすると反映されるはずですが、きちんとしたい場合 repadmin コマンドで強制的に複製する方法があります。複製するパーティションは、うえの例ならDC=ForestDNSZones,DC=example,DC=comとDC=DomainDNSZones,DC=example,DC=comのパーティションになります。

 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

（回答２）

××××さんのおっしゃる通りなのではと思います。
もともと、アプリケーション パーティションに作成していた DNS ゾーンの環境に
新しく追加した DC にドメイン パーティションに同名のゾーンを作成したことが原因だと思います。

イベント ログをみて DNS に 4515 が記録されていれば、この現象が発生しています。
詳細はこの KB に記載されていますので、参照してみてください。
http://support.microsoft.com/default.aspx/kb/867464/ja

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/b7120d4b-4ecf-491d-9016-d2c277a9d970