DC の複製が失敗し、Windows サーバ 2012 の非複製の複製 DC を作成

文書翻訳 文書翻訳
文書番号: 2742970
すべて展開する | すべて折りたたむ

現象

次のシナリオを検討してください:
  • 仮想化ドメイン コント サーバ 2012 の Windows を実行しているコンピューター上の機能を複製を使用します。
  • IP アドレスの自動割り当てを使用します。
  • ドメイン コント ローラー (DC) のクローンを作成しようとしました。
このシナリオで、元 DC のクローンは作成されませんと正常に起動します。ただし、2 番目の DC はありません、元 DC の複製が作成されますが、ソース ドメインの完全な複製です。この 2 番目の DC がアクティブに要求を処理するが、その確実に Active Directory ドメイン サービス (AD DS) の変更は複製されません送信または受信、2 つの Dc は実行するときに同時にします。また、2 つの Dc AD DS のローカルの変更を許可します。

原因

この問題は、次の理由のいずれかの発生します。
  • クローンのオペレーション中に作成された DcCloneConfig.xml ファイルのいずれかの次の適切な場所でです。
    • DSA 作業ディレクトリ
    • %systemroot%\NTDS
    • ルート ドライブ レベルのリムーバブル読み取り/書き込みメディア
  • DcCloneConfig.xml ファイルの適切な場所の 1 つであるが、クローン ・ オペレーションを実行する前に、移行元コンピューターを再起動します。これにより、タイム ・ スタンプを使用して、DcCloneConfig.xml ファイルの名前を変更するのにはなった。世代の VM ID が変更されていないために、偶発的なクローン作成を回避するには、このアクションが実現しました。

解決方法

この問題を解決するには、次の手順を実行します。

注意
  • 次の手順では、以下の用語との例を使用します。
    • DC1.corp.contoso.com-「新規または既存のドメイン コント ローラー」: が存在する環境では、既に、または修復処理の一部として昇格した非複製 DC
    • DC2.corp.contoso.com:「元のソース ドメイン」: クローンにコピーされた、DC
    • 「ドメイン コント ローラーの重複」DC2.corp.contoso.com::、DC、という、元 DC からのクローンを作成するが、コピーは
  • Domain Admins グループのメンバーとしてログオンし、管理者特権のコマンド プロンプトから以下の手順を実行する必要があります。リカバリを効率化するには、すべての Dc と同じ DNS サーバーには、主を示されます。
  • 次の手順を開始する前に、 dsrm のパスワードを設定するオプション、 ntdsutil.exeコマンドを使用して明らかであるか設定すること)、ディレクトリ サービスの復元モード パスワード、元 DC のいることを確認します。
  1. 元のソース DC 上で、次の例のコマンドを実行します。
    bcdedit.exe safeboot 仕様の設定

    shutdown.exe/s/t 0
    これらのコマンドは、元のソース ドメインをシャット ダウンします。DC は、DS 修復モードで起動します。誤って、次の手順を完了する前に、いつでも、DC を再起動すると、[プロシージャの先頭から再起動する必要はありませんを確認します。
  2. 適切に以下のコマンドの例を使用して重複する DC を再起動します。
    shutdown.exe/r/t 0
  3. 次の例のコマンドを使用して重複する DC 上の Netlogon サービスを一時停止します。
    sc.exe の一時停止の netlogon
    このコマンドは、ユーザーとコンピューターで重複している DC の自動位置さらにできなくなります。
  4. ローカル受信 AD DS 複製の複製 DC は、次のコマンドの例を使用して、無効にします。
    repadmin.exe/options <duplicate dc="" name=""></duplicate> + DISABLE_INBOUND_REPL
    たとえば、次のコマンドを実行します。
    repadmin.exe/options DC2.corp.contoso.com + DISABLE_INBOUND_REPL
    このコマンド以降の更新プログラムの他の Dc から、重複するドメイン コント ローラーに加えられないを防ぐことができます。
  5. オプション:「既存の DC」の 3 番目がないかどうか (つまり、ドメインにあった唯一の DC のクローンを作成すると)、実稼動サイトと複製 DC、AD と同じドメインに正常に昇格する必要があります。このドメイン内の既存の DC に複製されましたいない場合は、この手順を省略します。
  6. 5 の手順を実行すると、新規または既存の DC は、入力方向のレプリケーション パートナーシップ重複している DC からを持っているかどうかを確認します。必要がある場合は、 DsSites.mscまたはrepadmin.exe/addrepstoコマンドを使用して手動で接続を作成します。重複している DC が重複しているドメイン コント ローラーで次のコマンドを実行するローカルで新規または既存の DC に正常に送信をレプリケートするために構成されていることを確認します。
    Repadmin.exe/showrepl<new dc="" name=""></new>
    たとえば、次のコマンドを実行します。
    repadmin.exe/showrepl dc1.corp.contoso.com
    重要次の手順に進む前に、新規または既存の DC は、入力方向のレプリケーション接続重複している DC からが必要です。

    同じサイト内で重複している DC の出力方向のレプリケーション接続を確認したり、サイト間のリンクの変更の通知が構成されているかどうかを判断する/repsto 引数を使用することもできます。
  7. 次のポートへの受信の規則を設定することによって重複したドメイン コント ローラーで、セキュリティが強化された Windows ファイアウォール (またはサードパーティのファイアウォール) を構成します。 ブロック:
    • ポート 138 および 445 (TCP および UDP) より
    • ポート 389 と 636 (over TCP)
    たとえば、次のコマンドを実行します。
    netsh.exe advfirewall のファイアウォール規則の名前を追加します"MSFT ブロック LDAP"プロトコル = tcp dir = でのローカル ポート = 389 アクション = = block。

    netsh.exe advfirewall のファイアウォール規則の名前を追加します"MSFT ブロック LDAPS"プロトコル = tcp dir = = のローカル ポートを 636 アクション = = block。

    netsh.exe advfirewall のファイアウォール規則の名前を追加します"MSFT ブロック SMB"プロトコル = tcp の dir = でのローカル ポート = 445 アクション = = block。

    netsh.exe advfirewall のファイアウォール規則の名前を追加します"MSFT ブロック NB DG"プロトコル = tcp dir = でのローカル ポート = 138 アクション = = block。
    ここは、さらに元の更新を複製の DC AD DS の共通のプロトコルを使用からユーザーを防止します。
  8. すべての保留中の変更、新規または既存の DC に複製 DC からをレプリケートするかどうかを確認します。これを行うには、重複するドメイン コント ローラーで次のコマンドを使用してローカルのすべての変更をレプリケートしていることを確認して、ドメインの名前付けの構成名前付けや DNS の名前付けコンテキストから送信します。

    これらのコマンドでは、repadmin コマンドで、手順 6 で表示される DSA GUID が必要です。
    Repadmin.exe/showchanges <new xisting="" dc="" name=""> <Duplicate dc="" dsa="" guid=""> <naming context="">/statistics</naming> </Duplicate> </new>
    たとえば、次のコマンドを実行します。
    /showchanges dc1.corp.contoso.com5d083398 ・ 4bd3 ・ 48a4 ・ a80d ・ fb2ebafb984f dc の repadmin.exe corp、= dc contoso = dc = com

    repadmin.exe/showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fcn = 構成、dc corp、= dc contoso = dc = com

    repadmin.exe/showchanges dc1.corp.contoso.com5d083398 ・ 4bd3 ・ 48a4 ・ a80d ・ fb2ebafb984fdc domaindnszones、= dc corp、= dc contoso = dc = com

    repadmin.exe/showchanges dc1.corp.contoso.com5d083398 ・ 4bd3 ・ 48a4 ・ a80d ・ fb2ebafb984fdc forestdnszones、= dc corp、= dc contoso = dc = com
    すべてのレプリケーションを同期すると、フィールドのすべてのオブジェクトおよび属性の統計値は「0」(ゼロ) になります。/Statistics 引数を削除すると、特定のオブジェクトや保留中のレプリケーションの属性参照してください。
  9. グループ ポリシー管理コンソール スナップイン (Gpmc.msc) Windows Server 2012 GPMC.msc を使用して SYSVOL のすべての変更から重複する DC を新規または既存パートナー DC にレプリケートされているかどうかを確認します。これを行うをクリックして、 ステータス スナップインでは、タブをクリックし、タブの内容を調べます。

    注意
    • 重複する DC を基準計画として設定します。
    • すべてのサーバーは、Server Core インストールを実行すると、Microsoft リモート サーバー管理ツール (インストール RSAT) を持つ Windows 8 クライアントから GPMC を使用します。
    • 場合は、サーバーの配布前に、未適用の更新プログラムからの他の DC にレプリケート、次の手順に続行かどうかを確認します。この例では、更新プログラムは手順 4 でこのサーバーに入力方向のレプリケーションを無効にした後に適用されたグループ ポリシーの変更になります。
  10. 重複している DC が複製と再開されないようにします。これを行うには、重複した DC は、ディスクをオフサイトに定期的にバックアップを正常に停止し、バーチャル マシンとそのディスクを破棄します。
  11. 新規または既存の DC は、他の Dc に送信されるすべての重複する DC 更新がレプリケートされたことを確認してください。

    この操作が重複しているドメイン コント ローラーで作成した変更のデルタない永遠にフォレストに失われるされます。
  12. オプション:新しい DC を手順 5 で作成する場合は、適切に新しい DC を降格します。
  13. 元 DC] を起動し、DSRM の管理者アカウントを使用してログオンします。
  14. 次のコマンドを実行します。
    Bcdedit.exe/deletevalue セーフ ブート

    Shutdown.exe/r/t 0
    これらのコマンドは、自動 DSRM ブート フラグはすべての後の再起動を削除します。
  15. ローカル受信 AD DS レプリケーション、元 DC 上で次のコマンドの例を使用して、有効にします。
    repadmin.exe/options <duplicate dc="" name="">-DISABLE_INBOUND_REPL</duplicate>
    たとえば、次のコマンドを使用します。
    repadmin.exe/options DC2.corp.contoso.com-DISABLE_INBOUND_REPL
  16. (両方を出し、元 DC からの環境で作成された新しいオブジェクトを既存の DC にレプリケートされていることを確認してください。

詳細

DC のクローンを作成すると、ドメイン コント ローラーの仮想化対策が新しい起動 ID を作成して、ローカル RID プールを無効にすることによって実装します。これは、複製された DC 複製を続行することができます受信および新しいセキュリティ プリンシパルを作成します。ただし、他の重複するサーバー メタデータ AD ディレクトリ サービスと SYSVOL の出力方向のレプリケーション環境での中の他の Dc との作業からなります。重複する DC が以前に関連付けられていない新しい DC だけが重複している DC から入力方向のレプリケーションを許可できます。

「解決方法」セクション手順完全に失われた変更デルタがないことを確認してください。この損失は、重複する DC 電源をオンにし、それを破棄する場合に発生します。重複する DC を起動し、重複していることを確認する場合は、重複する DC 電源をオンにして、この資料の手順を実行せずに破棄するためのオプションがあります。ただし、重複する DC (最近使用したオブジェクトの作成、パスワードの変更、グループのメンバーシップの変更など) に加えられたすべての変更完全に失われることもあります。

Windows 2000 年以降は DC の重複の可能性が存在しています。ただし、Windows Server 2012 VDC DC 複製により、以前のバージョンのオペレーティング システムで発生する可能性が高くなります。DC の複製されませんが、代わりに、ディスクのクローン作成によって作成された重複する DC (仮想または物理) から回復しようと、次の手順を適用できます。

すべてのドメインが複数の DC があることをお勧めします。

DSA 作業ディレクトリは、次のレジストリ値を REG_SZ に定義されています。
しますDSA の作業用ディレクトリ

関連情報

リモート サーバー管理ツールを Windows 8 をダウンロードするには、次のマイクロソフト ダウンロード センター web サイトを参照してください。
http://www.microsoft.com/en-us/download/details.aspx?id=28972
DSRM パスワードをリセットする方法の詳細については、Knowledge Base の資料を参照してください次の資料番号をクリックしてください。
322672 Windows Server 2003 でディレクトリ サービスの復元モードの管理者アカウント パスワードをリセットするには、方法
構成およびドメイン コント ローラーの仮想化をトラブルシューティングする方法の詳細については、次の Microsoft TechNet のトピックを参照してください。

プロパティ

文書番号: 2742970 - 最終更新日: 2012年9月14日 - リビジョン: 1.0
キーワード:?
kbmt KB2742970 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:2742970
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com