現象
ドメイン ネーム システム (DNS) サービスがインストールされたドメイン コントローラが _msdcs.ForestDnsName ドメイン (フォレスト ルート) に対する権限を備えていると、Active Directory 複製への参加が正常に行われない場合があります。
この動作は、次の状況下で発生することがあります。
この動作は、次の状況下で発生することがあります。
- 複数のドメイン コントローラが、DNS サービスをインストールしたフォレスト ルートにある。
- DNS サービスをインストールしたドメイン コントローラが _msdcs.ForestDnsNameドメインに対して権限をもっている。
- DNS サービスをインストールしたドメイン コントローラが、優先 DNS サーバーまたは代替 DNS サーバーとして自身にポイントされている。
原因
この現象は、DNS サーバーが、もう一方のドメイン コントローラに対して、自身のゾーンの DsaGuid._msdcs.ForestDnsName用に必須であるドメイン コントローラ ロケータ CNAME レコードを備えていないために発生する可能性があります。
解決方法
この現象を解決するには、次の例を参照し、2 つの方法のいずれかを使用します。
例
フォレスト ルートの 2 つのドメイン コントローラは DC1.example.com と DC2.example.com を複製していません。いずれのドメイン コントローラも DNS サービスを備えており、example.com ドメインに対する権限があります。
両方のドメイン コントローラの NetLogon サービスは、自身の DNS レコードを登録しようとするときに、優先 DNS サーバー (それら自体) が example.com ゾーンに対して権限を持つことを検出します。いずれのサーバーもそれら自体のローカル DNS サービスでレコードを登録します。これらのレコードの 1 つが DsaGuid._msdcs.ForestDnsName 用のドメイン コントローラ ロケータ CNAME レコードです。DC1 が DC2 との複製を行おうとすると、DC1 は DC2 に対するこの CNAME レコードについてローカル DNS サーバーに問い合わせますが、検出できません。このため、複製処理は成功しません。
この現象を解決するには複数の方法を利用できます。特定の組織に対して最良となる方法は、サーバーの負荷とネットワークの検討事項によって異なります。可能な 2 つの方法を次に示します。
方法 1
フォレスト ルートにある DNS サーバーを 1 つ選択して、ルート ドメインにある他のすべてのドメイン コントローラで、その DNS サーバーをそれらのプライマリ DNS サーバーとしてポイントします。それぞれのドメイン コントローラは、自身をポイントしないのであれば、代替 DNS サーバーを使用して設定することもできます。他のフォレスト ルート ドメイン コントローラのプライマリ ロケーション(優先 DNS サーバーとして選ばれた唯一のドメインコントローラ) として機能するドメイン コントローラは、自身をポイントして DNS 解決を行います。
注: この実装処理は、プライマリ サーバーとして機能するサーバーが高負荷になりやすい場合や、フォレスト ルート内のドメイン コントローラが地理的に分散している場合は適切ではありません。
例
ドメイン = example.com (フォレスト内の最初のドメイン)
DNS サービスを備えた 3 つのドメイン コントローラ = DC1、DC2、DC3
example.com は Active Directory を統合したゾーンです。
DC1 は、この構成の中でプライマリ ロケーションとして扱われています。
DC1 は、TCP/IP プロパティの DNS サーバー設定に対して自身をポイントするように設定されます。
DC2 は、DC1 をプライマリ ロケーション、DC3 を代替としてそれぞれポイントします。
DC3 は、DC1 をプライマリ ロケーション、DC2 を代替としてそれぞれポイントします。方法 2
サーバーをフォレスト ルート内のドメイン コントローラに昇格させる場合、ルート内の他のすべてのドメイン コントローラに対して、DsaGuid._msdcs.ForestName に対するドメイン コントローラ ロケータ CNAME レコードを備えているドメイン コントローラまたは DNS サーバーとしてプライマリ DNS サーバーを設定します。
DNS サービスをインストールし、統合 Active Directory DNS ゾーンを有効にして、この新しいドメイン コントローラを複製できるようにします。すると、ドメイン コントローラは優先 DNS サーバーまたは代替 DNS サーバーとして自身をポイントするように変更されることがあります。
ルートでドメイン コントローラのインターネット プロトコル (IP) アドレスが変更された場合、必要がなくなるまで方法 1 の手順を実行する必要が生じることがあります。変更がドメイン コントローラの DNS ゾーンに複製されていることを確認した時点で、そのドメイン コントローラはプライマリ DNS サーバーまたは代替 DNS サーバーとして自身をポイントするように設定されているはずです。
例
フォレスト ルートの 2 つのドメイン コントローラは DC1.example.com と DC2.example.com を複製していません。いずれのドメイン コントローラも DNS サービスを備えており、example.com ドメインに対する権限があります。
両方のドメイン コントローラの NetLogon サービスは、自身の DNS レコードを登録しようとするときに、優先 DNS サーバー (それら自体) が example.com ゾーンに対して権限を持つことを検出します。いずれのサーバーもそれら自体のローカル DNS サービスでレコードを登録します。これらのレコードの 1 つが DsaGuid._msdcs.ForestDnsName 用のドメイン コントローラ ロケータ CNAME レコードです。DC1 が DC2 との複製を行おうとすると、DC1 は DC2 に対するこの CNAME レコードについてローカル DNS サーバーに問い合わせますが、検出できません。このため、複製処理は成功しません。
この現象を解決するには複数の方法を利用できます。特定の組織に対して最良となる方法は、サーバーの負荷とネットワークの検討事項によって異なります。可能な 2 つの方法を次に示します。
方法 1
フォレスト ルートにある DNS サーバーを 1 つ選択して、ルート ドメインにある他のすべてのドメイン コントローラで、その DNS サーバーをそれらのプライマリ DNS サーバーとしてポイントします。それぞれのドメイン コントローラは、自身をポイントしないのであれば、代替 DNS サーバーを使用して設定することもできます。他のフォレスト ルート ドメイン コントローラのプライマリ ロケーション(優先 DNS サーバーとして選ばれた唯一のドメインコントローラ) として機能するドメイン コントローラは、自身をポイントして DNS 解決を行います。注: この実装処理は、プライマリ サーバーとして機能するサーバーが高負荷になりやすい場合や、フォレスト ルート内のドメイン コントローラが地理的に分散している場合は適切ではありません。
例
ドメイン = example.com (フォレスト内の最初のドメイン)
DNS サービスを備えた 3 つのドメイン コントローラ = DC1、DC2、DC3
example.com は Active Directory を統合したゾーンです。
DC1 は、この構成の中でプライマリ ロケーションとして扱われています。
DC1 は、TCP/IP プロパティの DNS サーバー設定に対して自身をポイントするように設定されます。
DC2 は、DC1 をプライマリ ロケーション、DC3 を代替としてそれぞれポイントします。
DC3 は、DC1 をプライマリ ロケーション、DC2 を代替としてそれぞれポイントします。
方法 2
サーバーをフォレスト ルート内のドメイン コントローラに昇格させる場合、ルート内の他のすべてのドメイン コントローラに対して、DsaGuid._msdcs.ForestName に対するドメイン コントローラ ロケータ CNAME レコードを備えているドメイン コントローラまたは DNS サーバーとしてプライマリ DNS サーバーを設定します。DNS サービスをインストールし、統合 Active Directory DNS ゾーンを有効にして、この新しいドメイン コントローラを複製できるようにします。すると、ドメイン コントローラは優先 DNS サーバーまたは代替 DNS サーバーとして自身をポイントするように変更されることがあります。
ルートでドメイン コントローラのインターネット プロトコル (IP) アドレスが変更された場合、必要がなくなるまで方法 1 の手順を実行する必要が生じることがあります。変更がドメイン コントローラの DNS ゾーンに複製されていることを確認した時点で、そのドメイン コントローラはプライマリ DNS サーバーまたは代替 DNS サーバーとして自身をポイントするように設定されているはずです。
詳細
ドメイン コントローラは、自身を優先 DNS サーバーまたは代替 DNS サーバーとしてポイントするように設定できます。この " 孤立 " 問題が発生する可能性のある唯一のシナリオは、ドメイン コントローラが自身を優先または代替 DNS サーバーとしてポイントしており、サーバーが DNS (ゾーンである必要はありません) _msdcs.ForestDnsName ドメインのプライマリ サーバーである場合です。
ドメイン コントローラが DsaGuid._msdcs.ForestDnsNameCNAME レコードを既に登録している場合、そのドメイン コントローラは自身を優先または代替 DNS サーバーとしてポイントするように設定されている可能性があります。管理者は、別のドメイン コントローラに対する CNAME レコードが人為的なミスなどによって誤って削除される可能性があることに注意する必要があります。このレコードは、NetLogon サービスによって自動的に登録されますが、レコードがローカルのみに作成され、孤立問題のためにこのドメイン コントローラからの複製が妨げられる可能性があります。
次の例は、優先 DNS サーバーとして自身をポイントするサーバーが Active Directory 複製問題を発生させるシナリオです。
ドメイン コントローラが DsaGuid._msdcs.ForestDnsNameCNAME レコードを既に登録している場合、そのドメイン コントローラは自身を優先または代替 DNS サーバーとしてポイントするように設定されている可能性があります。管理者は、別のドメイン コントローラに対する CNAME レコードが人為的なミスなどによって誤って削除される可能性があることに注意する必要があります。このレコードは、NetLogon サービスによって自動的に登録されますが、レコードがローカルのみに作成され、孤立問題のためにこのドメイン コントローラからの複製が妨げられる可能性があります。
次の例は、優先 DNS サーバーとして自身をポイントするサーバーが Active Directory 複製問題を発生させるシナリオです。
- DC1.example. com は、フォレストの最初のドメイン コントローラです。これは、優先 DNS サーバーとして自身をポイントするように設定されています。DNS サーバーは example.com ゾーンに対する権限があります。
- Server2 はローカル DNS サーバーを備えた Windows 2000 サーバーです。Server2 は、自身を優先 DNS サーバーとしてポイントするように設定されています。Server2 には、DC1 に設定されているフォワーダがあります。
- Server2 を、ドメイン コントローラの 複製である DC2.example.com として昇格させます。昇格中に Active Directory が統合された example.com ゾーンが Server2 に複製されます。
- 新しいドメイン コントローラ DC2.example.com を再起動します。DNS サーバーは、起動時に Active Directory から example.com ゾーンを読み込み、example.com ゾーンのプライマリ ロケータとして扱われるため(本来は DC1 がプライマリ ロケーションとして扱われるべきです)、そして、DC2 は _msdcs.example.com ゾーンのプライマリ ロケーションとしても扱われてしまいます。DC2.example.com によって登録されたドメイン コントローラ ロケータ CNAME レコードは、example.com ゾーンのローカル コピーに追加されますが、もう 1 つのドメイン コントローラ DC1.example.com には複製できません。この現象は、DC1.example.com が example.com ゾーンに対する権限を持つローカル DNS サーバーに問い合わせているにもかかわらず、DC2.example.com によって登録された CNAME レコードを含まないために発生している可能性があります。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 275278 (最終更新日 2002-08-07) をもとに作成したものです。