異なるサイトへのActiveDirectory移行方法

同一ネットワーク（192.168.10.0/24（仮））上にWin2003のAD#1～#4を構築していました。AD#1にFSMOを持たせてプライマリとしています。AD#3、#4を別ネットワーク（192.168.100.0./24（仮））上に移動しました。これだけであれば、過去ログ等を参照し問題ないと思っていたのですが、ネットワーク機器や回線の準備が遅れ、AD#1、#2とAD#3、#4が通信できないまま１ヶ月が経過してしまいました。
このたび、ようやく回線が引かれAD間の通信が可能になりますが、その間、AD#3、#4の設定を変更したりしていますのでこのままAD間の通信を可能にしてしまっていいものかどうか悩んでいます。

AD#3、#4のAD,DNSをアンインストールしてAD#1配下に構築しなおそうかと考えていますが、問題ありますでしょうか。（AD#1、#2はそのままです。）
そのまま接続するか、再構築するかどちらがよろしいでしょうか。

ご存知の方、回答願います。

No.2 ベストアンサー 回答者： rinta44 回答日時： 2006/09/11 02:17

GPOの変更、ユーザの登録等だけならば、複製されれば特に問題ありませんが、FSMOの強制取得やバックアップリストアなどが気にはなります。

現状、ネットワークは繋がっていないにしても、ドメイン内にFSMOが2台存在しているということになるのでしょうか？（FSMOは転送ではなく、強制取得と認識しています。）

それならば、AD#3、#4を通常のdcpromoでWOKGROUPに降格し、再度、AD#1（FSMO）、#2のドメインに再参加させて昇格すればよいかと思います。その場合にも、AD#1、#2上の#3、#4の情報やオブジェクトは手動で削除する必要はありますが。

強制降格やmetadata cleanup によるオブジェクトや情報の削除については、下記のMS社技術情報をご参考にされるのが良いかと思います。
AD#1とAD#3のフルバックアップを採取されているのであれば、AD#3のFSMOの役割を削除してから試しにネットワークをつなげてみても良いかもしれませんが、ぐちゃぐちゃになる可能性も高いです。
因みに、AD関連の障害は、STOPエラーやハングアップ、ネットワークなどの障害よりも、一番やっかいだと言われていますので、安全策を取るのであれば、やはりドメイン再参加とAD#1、#2上での手動による#3、#4のオブジェクトの削除かと思います。

Windows Server 2003 と Windows 2000 Server で、Active Directory のインストール ウィザードを使用して強制的に降格を実行しても、ドメイン コントローラが正常に降格されない
http://support.microsoft.com/kb/332199/ja

ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法
http://support.microsoft.com/kb/216498/ja

↓これは、既に実施されているようですので、ご存知かとは思います。

Ntdsutil.exe を使用してドメイン コントローラに FSMO の役割を強制または転送する
http://support.microsoft.com/kb/255504/ja

この回答へのお礼

回答ありがとうございます。
MSの技術情報を読み、再構築を行なおうと思います。

さらに質問してしまい申し訳ないのですが、その場合DNSに残っているAD#3、AD#4の情報も削除するのでしょうか。

ADとDNSの関連がよくわからず、おかしな質問になっているかもしれませんが申しわけありません。

お礼日時：2006/09/11 09:15

No.3 回答者： rinta44 回答日時： 2006/09/12 00:18

遅くなり申し訳ありません。

ActiveDirectoryとDNSは切っても切り離せない存在です。DNSがおかしいと、ActiveDirectoryそのものも、またActiveDirectoryクライアントやクライアントツールなど、さまざまなものに影響を与え、認証や複製、管理など、いろいろと障害が発生してしまいます。
DNSデータベースが正常で初めてActiveDirectoryやクライアント(DCも含めて)がまともに動作します。
ゆえに、DNSのAD#3、AD#4の情報も削除する必要があります。削除しないと重複が発生したりする可能性もあります。（人が目視可能な表示上は一緒でも、コンピュータが認識する内部的な情報が異なる為です。）

全てのオペレーションを、予めテスト環境で試されることをお勧めいたします。
コツではありませんが、強制降格時は、AD#3、AD#4は必ず物理的にネットワークを外すことと、一つ一つの作業を、時間を置いて慌てず実施することです。あと、大事なのは、AD#3とAD#4を同時に作業せず、一台一台作業実施することと、ドメイン再参加時も一台一台実施することです。（よく同時に実施しておかしくなる場合があります。）
いろいろと大変だとは思いますが、頑張って下さい。

この回答へのお礼

丁寧な回答ありがとうございます。
大変参考になりました。

残念ながらテスト環境はないのですが、慎重に作業を行おうと思います。

色々と教えていただきありがとうございました。

お礼日時：2006/09/12 23:12

No.1 回答者： rinta44 回答日時： 2006/09/11 00:00

AD#3、#4の設定変更とは何をされたのか不明なので一概には言えませんが、基本的には、IPアドレスやコンピュータ名、サイトの設定やDNSの設定や構成などを変更実施していなければ、1ヶ月間ならば、FSMOとつなげても特に問題はないと思います。

（W2K3の場合、コンピュータアカウントパスワードの関係で通信不可が60日以上、SP1で90日以上でなければ、セキュアチャネルも破損しないはずです。）

但し、どうしても心配だということであれば、AD#3、#4を強制的にWORKGROUPへ降格(ネットワークから物理的に外してdcpromo /forceremoval)し、AD#1、#2上のAD#3、#4のオブジェクトやDNS上の情報、FRSオブジェクトなどをADSIEdit や ntdsutilで全て削除して、再度ドメインに再参加（DC昇格）させた方が良いかもしれません。
工数は掛かりますが、DC間でオブジェクトの不整合が発生すると様々な障害が発生し、それを修復するのは容易ではありませんので。

この回答へのお礼

回答ありがとうございます。
恐れ入りますが、もう少し教えていただけますでしょうか。

AD＃3にFSMOを強制取得（その後、NTBackUpによるリストア）やGPOの変更、ユーザの登録等を行っています。

回答を拝見した所、AD#1、#2で実行するべき作業が多々ありそうなので、そのあたりをご教授願えませんでしょうか。
参考URLなどあればお願いいたします。

お礼日時：2006/09/11 01:01