DNS インフラストラクチャ マスターに接続できない場合、DCPROMO 降格が失敗する

  • [アーティクル]

この記事では、Active Directory Domain Services (AD DS) またはドメイン コントローラー サーバーの役割をホストする Windows Server コンピューターの降格が失敗する問題を解決します。

適用対象: Windows Server 2012 R2
元の KB 番号: 2694933

現象

AD DS またはドメイン コントローラー サーバーの役割をホストしている Windows Server コンピューターの正常な降格が失敗します。 次の画面エラーが表示されます。

タイトル バーのテキスト: インストール ウィザードActive Directory Domain Services
メッセージ テキスト:
操作は次の理由で失敗しました。
Active Directory Domain Servicesディレクトリ パーティション内の残りのデータを転送できませんでした
DC=DomainDNSZones,DC=<DNS domjain name> to Active Directory ドメイン Controller
サービス降格に使用されるヘルパー DC の \\<DNS 名>
"ディレクトリ サービスには必須の構成情報がないため、フローティング シングル マスター操作ロールの所有権を判断できません。

DCPROMO の関連部分。LOG ファイルには、次のテキストが含まれています。

<date> <time> [INFO] Transferring operations master roles owned by this Active Directory Domain Controller in directory partition  
DC=DomainDnsZones,DC=contoso,DC=com to Active Directory Domain Controller \\<DNS name of helper DC...  
<date> <time>  [INFO] EVENTLOG (Warning): NTDS Replication / Replication : 2091

画面上の DCPROMO エラーと DCPROMO で参照される DNS アプリケーション パーティションのインフラストラクチャ オブジェクトと属性のレビュー。ログ:

Expanding base 'CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com'...  
Getting 1 entries:  
Dn: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com  
cn: Infrastructure;  
distinguishedName: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=corp,DC=microsoft,DC=com;  
dSCorePropagationData: 0x0 = (  );  
fSMORoleOwner: CN=NTDS Settings\0ADEL:<NTDS Settings objet GUID>,CN=\<hostname of last DC to host the partition infrastructure role>,CN=Servers,CN=<active directory site name>,CN=Sites,CN=Configuration,DC=contoso,DC=com;  
instanceType: 0x4 = ( WRITE );  
isCriticalSystemObject: TRUE;  
name: Infrastructure;  
objectCategory: CN=Infrastructure-Update,CN=Schema,CN=Configuration,DC=contoso,DC=com;  
objectClass (2): top; infrastructureUpdate;  
objectGUID: <object guid>;  
showInAdvancedViewOnly: TRUE;  
systemFlags: 0x8C000000 = ( DISALLOW_DELETE | DOMAIN_DISALLOW_RENAME | DOMAIN_DISALLOW_MOVE );  
uSNChanged: <some USN #>;  
uSNCreated: <some USN #>;  
whenChanged: <date> <time>;  
whenCreated: <date> <time>;

サンプル ドメイン CONTOSO.COM から取得された LDAP 出力内の区別要素には、次のようなものがあります。

  1. fSMORoleOwner属性には、DC の NTDS Settings オブジェクトを所有するロールが削除されたことを示す文字列 0ADEL が含まれています。

  2. fSMORoleOwner属性には、所有している DC NTDS Settings オブジェクトの 32 文字の英数字 GUID が xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx の形式で含まれています。

  3. 削除された NTDS Settings オブジェクトを持 fSMORoleOwner つ DC に属性が割り当てられている既定の DNS アプリケーション パーティションの名前。 この場合、エラーは DomainDNSZones を参照しました。 この同じエラーは、ForestDNSZones アプリケーション パーティションでも発生する可能性があります。

原因

このエラーは、降格中のドメイン コントローラーが、DCPROMO [log] エラーで参照されているパーティションのインフラストラクチャ FSMO または運用ロールを所有する DC に変更を送信レプリケートできない場合に発生します。

具体的には、降格の試行は、データ損失から保護するために中止されます。 DNS アプリケーション パーティションの場合、降格はブロックされ、次のデータがレプリケートされます。

  • ライブ DNS レコードと削除済み DNS レコード
  • DNS レコードの ACLS
  • メタデータ (登録や削除日など)

[現象] セクションでエラーが発生する可能性があるパーティションの DN パスは次のとおりです。

  • CN=Infrastructures,DC=DomainDNSZones....
  • CN=Infrastructures,DC=ForestDNSZones....

解決方法

注:

DomainDNSZones など、DNS アプリケーション パーティション上の削除された NTDSA にインフラストラクチャ マスターが割り当てられている場合、ForestDNSZones パーティションに存在しないか、またはその逆の場合もあります。 ドメインDNSZones パーティションと ForestDNSZones パーティションの両方について、問題の DNS Server ロールとパーティションをホストするライブ Windows Server 2003 以降のドメイン コントローラーに割り当てられていることを確認することをお勧めします。

この問題を解決するには、以下のいずれかの方法を使用します。

  1. 属性の DN パスを、元の fsMORoleOwner FSMO ロール所有者の直接レプリケーション パートナーであったライブ DC に割り当てる場合に使用ADSIEDIT.MSCします。 次に、降格中の DC への受信レプリケートへの変更を待ちます。

  2. 問題のパーティションのKB949257[解決策] セクションでスクリプトを実行します。

  3. 降格中の DC が、対象のディレクトリ パーティションの変更を受信レプリケートできない場合は、コマンドを DCPROMO /FORCEREMOVAL 実行してドメイン コントローラーを強制的に降格します。

詳細

DCPromo は、一意の変更が失われないように、ローカルに保持されているすべての NC で変更を送信レプリケートしようとします。 データが DNS ゾーンに格納されている場合、DCPROMO は DNS ゾーンの内容を、問題の DNS パーティションのインフラストラクチャ マスターに送信レプリケートしようとします。

関連する問題:

KB949257 は、1 つ以上の ADPREP /RODCPREP DNS アプリケーション パーティションのインフラストラクチャ マスターが削除された NTDSA に割り当てられると、コマンドが失敗する問題について説明します。