追加ドメインコントローラのDNS構成

Windows Server 2003のサーバ2台で、ActiveDirectoryを構成しようとしています。
新規でドメイン（xxx.local）を構築し、そのドメインへもう1台追加させDNSのインストールを行おうとしています。

サーバの役割管理からウィザードを起動し、各項目を以下の通り設定しました。構成：「前方参照ゾーンを作成する」
プライマリサーバーの場所：「このサーバーがゾーンを保守する」
ゾーン名：「xxx.local」
動的更新：「セキュリティで保護された動的更新のみを許可する」
フォワーダ：「いいえ」

上記設定でDNSサーバーの構成ウィザードを完了させた所、「前方参照ゾーンをサーバーに追加できません。ゾーンが既に存在します。」というメッセージが出力されました。

ウィザード自体は、「このサーバーはDNSサーバーになりました」というメッセージが出力されて終わります。
また、DNS管理コンソールを開くと、前方参照ゾーンのxxx.local配下のフォルダに「_msdcs」、「_sites」、「_tcp」、「_udp」などがありますし、DNSサーバーとして問題なく構成されているように見えます。

なぜ、「前方参照ゾーンをサーバーに追加できません。ゾーンが既に存在します。」というメッセージが出力されるのでしょうか？

DNS構成より前にドメコンにしており、ActiveDirectory統合ゾーンでDNSをインストールしているため、上記のようなメッセージが出力され、ゾーン情報自体はADによって同期されたため正常に構成されているように見えるのかと考えておりますが。

ご存知の方がおりましたら教えて頂きたいと思います。

No.4 回答者： foitec 回答日時： 2008/09/16 13:30

遅くなりました。

先の回答で訂正があります。

まず
nslookupでxxx.local を引いたとき Timeout　になるのは
ご想像通り逆引きゾーンにnsのPTRレコードが無いからです。

さて、
＞nslookupでドメイン名を入力したときの出力がUnKnownでした
>> xxx.local
>>Server: Unknown

これは前方参照ゾーンにネームサーバが登録されていません。
前方参照ゾーンには
NAME　Server（NS)として　二つのDNSサーバー名が登録され
かつ
Aレコード（HOST)に二つのDNSサーバのIPアドレスがそれぞれ登録されていなければなりません。

また当たり前ですがSOAのレコードも間違いないですよね？

当然、前方参照ゾーンのxxx.local配下のフォルダ「_msdcs」、「_sites」、「_tcp」、「_udp」の中に
SRVレコードがそれぞれのDNSサーバ名（FQDNで）登録されていますか？

まずそこを確認してください。

まとめると
前方参照ゾーンのxxx.localを展開すると
名前（親フォルダと同じ）で　種類　HOST（A)で　DNS(NS)サーバのIPアドレスがそれぞれあること。

同じく種類　Name Server（NS)として　FQDN名でDNSサーバがそれぞれ登録されていること。

同じくStarat of Authority(SOA)　として　自身のDNSサーバ名があること。

名前　としてそれぞれのDNS名で種類　HOST(A)でIPアドレスが登録されていること。

SRVレコードが登録されていること。

です。

No.3 回答者： foitec 回答日時： 2008/09/11 08:49

まだ少しおかしいですね。

＞逆引き参照ゾーンが設定されていない事が原因と認識していますが

いやいや　IPアドレスからホストを引いているわけではないので逆びきは関係ないです。

nslookupでxxx.localを引いたときは前方参照ゾーンからそのドメインのNSが返されます。
したがって前方参照ゾーンに登録されたSOAのプライマリDNSサーバがNS1でそのIPアドレスが192.168.xxx.zzzzで追加のDNSサーバのIPアドレスが192.168.xxx.wwwだとしたとき

> xxx.local
Server: NS1.xxx.local
Address: 192.168.xxx.zzz

Name: xxx.local
Addresses: 192.168.xxx.zzz, 192.168.xxx.www

が返されます。
これが返されないのはDNSの設定が正しくありません。

nslookupで自分のドメイン検索ができないのは前方参照ゾーンのxxx.local配下のSOAに二つのDNSサーバが登録されていますか？

逆引きは
> 192.168.xxx.zzz
Server: NS1.xxx.local
Address: 192.168.xxx.zzz

NS1.xxx.local
Address: 192.168.xxx.zzz

のように返されるか
>nslookup -type=ptr 192.168.xxx.zzz
Server: NS1.xxx.local
Address: 192.168.xxx.zzz
zzz.xxx.168.192.in-addr.arpa name = NS1.xxx.local

のように　name に結果が返されます。

「zzz.xxx.168.192.in-addr.arpa」というのは、実際に定義されている逆引きレコードのFQDN名です（逆引きレコードは「xxx.168.192.in-addr.arpa」ドメインに定義されます）。

今回は逆引きは設定していないとのことなので逆引を試みたときにエラーするのなら分かります。

nslookupで以下のオプションを追加して検索してみてください
>nslookup
Default Server: NS1.xxx.local
Address: 192.168.xxx.zzz

ここでオプション追加
> set type=any
> xxx.local
Server: NS1.xxx.local
Address: 192.168.xxx.zzz

xxx.local internet address = 192.168.xxx.zzz
xxx.local internet address = 192.168.xxx.www
xxx.local nameserver = NS1.xxx.local
xxx.local nameserver = NS2.xxx.local
xxx.local
primary name server = NS1.xxx.local
responsible mail addr = hostmaster.NS2.xxx.local
serial = xxxxx
refresh = 900 (15 mins)　←これは適当
retry = 600 (10 mins)　←これも適当
expire = 86400 (1 day)　←これは適当
default TTL = 3600 (1 hour)　←これは適当

NS1.xxx.local internet address = 192.168.xxx.zzz
NS2.xxx.local internet address = 192.168.xxx.www

となれば正常です。

この回答へのお礼

ご回答ありがとうございます。

ご教授のあった手順を実行した結果、nslookupでドメイン名を入力したときの出力がUnKnownでした。
> xxx.local
Server: Unknown

それ以外は書かれていたのと同じ内容が出力されています。

この結果、DNSの構成に何が必要か分かりましたら教えていただけませんでしょうか？
いろいろ調べていますが、まだ原因が分かりません。。

よろしくお願いします。

お礼日時：2008/09/12 17:33

No.2 回答者： foitec 回答日時： 2008/09/09 22:28

質問者さんの設定そのものには大きな間違いがあるわけではありません。

先の回答以外にもメンバーサーバとしてドメインにログインさせておいて
DNSサーバーを構成して正常にDNSサーバーとして動作させてからDCに昇格という手もあります。
（其のほうが意外と簡単だったりします）

＞前方参照ゾーンのxxx.local配下のフォルダに「_msdcs」、「_sites」、「_tcp」、「_udp」などがあります

いいですねえ正常です。
前方参照ゾーンは Active Directory の SRV レコードの格納にも使用されるので必須です。

で、
＞前方参照ゾーンをサーバーに追加できません。ゾーンが既に存在します。

これって、たぶんActiveDirectoryを先に構築してある状態でのDNS設定だからではないのかなと思います。
大きなお世話って感じのメッセージではないかなぁ。
ところで
複製する情報を持つDC（ 先に構築したDC）で、正常にドメイン・データの複製が行われ
セキュリティ・ポリシーの設定が正しく適用されている必要があります。
また当然ながら、DCへの属性を変更するには、
「コンピュータとユーザアカウントに委任時の信頼を付与」
という権利が、複製する情報を持つDC（先に構築したD）のセキュリティ・ポリシーで有効でなければなりません。

追加のDC上で nslookup　でxxx.localを実行したとき
Can't find server name for address DNSのアドレス :Non-existent domain
Default server are net available
Sever: Unknown
にはならないですよね。

この回答へのお礼

回答ありがとうございます。

＞＞前方参照ゾーンをサーバーに追加できません。ゾーンが既に存在します。

＞これって、たぶんActiveDirectoryを先に構築してある状態でのDNS設定だからではないのかなと思います。
＞大きなお世話って感じのメッセージではないかなぁ
⇒やはりそういう事なのですかね。
ドメコンとしてドメインに参加させることで、DNSに関する情報も同期されているからなのではないかと考えていました。
私の方で考えている手順なら、出ても無視して良いメッセージと考えて良さそうですね。

＞先の回答以外にもメンバーサーバとしてドメインにログインさせておいて
＞DNSサーバーを構成して正常にDNSサーバーとして動作させてからDCに昇格とい＞う手もあります。
⇒上記手順と、私の方で考えている手順で、最終的な構成に何か違いはあるのでしょうか？

＞追加のDC上で nslookup　でxxx.localを実行したとき
＞Can't find server name for address DNSのアドレス :Non-existent domain
＞Default server are net available
＞Sever: Unknown
＞にはならないですよね。
⇒Non-existent domainにはなりませんが、Timed Outとなります。
ちなみに上記のメッセージは逆引き参照ゾーンが設定されていない事が原因と認識していますが、合っていますでしょうか？
今回構築しようとしている環境では、逆引きは構成しません。
ADの環境において、逆引きは必須ではないと思っていますが。。

お礼日時：2008/09/10 16:55

No.1 回答者： foitec 回答日時： 2008/09/08 21:21

既にADを構成し（当然DNS」サーバは必須なので最低１台は構成済みのはず）稼動しているドメインにDNSサーバを追加するのは簡単です。

まずサーバを其のドメインに「メンバーサーバー」（普通のサーバー）としてログインさせドメイン管理下に起きます。

次にこのメンバーサーバーをドメインコントローラに昇格させます。
サーバの役割のGUIを使っても良いですがコマンドラインで
＞dcpromo.exe
を実行するだけです。

ドメインコントローラに昇格途中でDNSの複製など既存のDCの複製が行われます。
再起動後其のサーバは既にあるDCと同格のDNSサーバになります。
どちらのサーバーで設定を変更しても即座にもう一方に反映されます。

FSMOやGCは何もしなければ既存のDCが持っています。

いちいち手作業で構成するのも良いですがそれは最初の構成設定だけで追加は楽に行ったほうが間違いが無く安定しますね。

この回答へのお礼

ご回答ありがとうございます。
ご提示頂いた手順であれば、別途DNSインストールの作業はいらない、という事なのでしょうか？

私の方で考えている手順では、ドメインへのメンバーサーバにはせず、
いきなりdcpromoで既存ドメインの追加ドメインコントローラにしようとしています。
既に1台目のDCが存在しますから、dcpromo実行中に「このサーバーをDNSサーバーにするか」という項目は出て来ません。

DNSを追加のドメコンへも構成したいため、dcpromoで既存ドメインに追加した後、サーバの構成管理でDNSを追加でインストールするようにしています。

そうすると、最初の質問に書いたようなメッセージが表示されるのですが。。

お礼日時：2008/09/09 14:13