2000server→server2003（AD移行ができません）

長文でごめんなさい。

新サーバーに入れ替える作業を試みました。
うまく出来たつもりですが、出来ません。
（心当たり？もありますが）

以下に内容を書きますので、原因わかる方、教えてください。
よろしくお願いします。

【現行サーバー】（以下、【現】）
・OS:Win2000Server
・AD：yaku.local
・CP名：yaku
・IP：192.168.10.130
・DNS：fusionプロバイダDNS

【入替新サーバー】（以下、【新】）
・OS：WinServer2003stdR2
・CP名：server01
・IP：192.168.10.199

■作業内容
(1)【現】にserver2003のCD（disk2）を入れて、adprep/forestprep、adprep/domainprepを実行。（エラーなし）

(2)【新】にて、ADを追加DCとしてインストール。（エラーなし）
(3)【新】にて、コマンドプロンプトよりFSMOを転送。（Transfer・・・をすべて実行）ADユーザー情報など、【新】に移っている事は確認済み。

(4)これでOKと考え、【現】をネットワークから外す。
(5)【新】を再起動したがネットワーク接続・・・のところから時間がかかってします。（ログオン画面にいくまで7分かかる）
(6)【新】にDNSサーバーが入っていない事に気づき、DNSサーバーを前引参照をインストール。（DNSに【新】と【現】のIPアドレスが登録されている事を確認）
(7)【新】のIPアドレスDNSに自分のIP192.168.10.199を登録。
(8)それでもDNSが見つからないエラーが表示。
(9)【新】のDNSに【現】のIP192,168.10.130を入力すれば無事起動する。
つまり、DNSサーバーはあくまで【現】になっているので【現】を撤去できない。

■心当たり
・作業(4)の時に【新】のIPアドレスが【現】のIPに変更できるか試してみた。（すぐに戻したが。DCパソコンのIPアドレスを変えてはいけなかったか？）
・作業(6)にて、ADインストール前にDNSサーバーをインストールしなかった。（追加DC作業の時にエラーはなかったが）
・【現】のDCを"絶対"に降格させなければいけないのか？（降格させると【現】のAD情報が消えるので怖くて降格できなかった）
・【現】のADを設定した人間と連絡がとれないのだが、現状、クライアントパソコン（XPpro）のDNS（WINSにも）には【現】のIPアドレスが入っていなく、プロバイダのIPしか入っていない。なぜyaku.localにログオンできるのかが不思議。

■目的
・【現】を【新】に入れ替えて、【現】は完全に撤去したい。
・【新】が【現】のDNSを見に行かなければいけない状態になっているので、【新】自身のDNSを見に行くようにすればいいのか？
・【新】はあくまで"追加"DCになっているので、それを解決する（昇格）？

No.1 回答者： kuroizell 回答日時： 2008/05/17 21:35

クライアントPCはルータをDNSとして参照し、ルータが192.168.10.130を参照しているかも？

192.168.10.130はLAN内の名前解決だけして、ISPのDNSを参照しにいってると予想します。
ついでにDHCPは、多分ルータの機能はOFFで、192.168.10.130がやってるかと。

あと、DCは基本が2台構成なので、無理に撤去しなくてもいいと思いますが。

No.2 回答者： foitec 回答日時： 2008/05/17 22:40

AD環境のＤＣはＤＮＳが必須です。

ＤＮＳサービスを提供せずにＡＤのＤＣにはなりえません。

また、
＞3)【新】にて、コマンドプロンプトよりFSMOを転送。（Transfer・・・をすべて実行）ADユーザー情報など、【新】に移っている事は確認済み。

ん？　「旧」から「新」へじゃないと・・・
いずれにしても　ＧＣ　の継承は？

2000ＳｅｒｖｅｒからＳｅｒｖｅｒ2003への移行は以下の方法で行うのがベターです。

１）　ＡＤ環境で2000ＳｅｒｖｅｒがＤＣのドメインにＳｅｒｖｅｒ20003を「メンバーサーバ」としてログインさせます。
　　　これにより現状のＡＤにＳｅｒｖｅｒ2003が登録されます。

２）　Ｓｅｒｖｅｒ2003をＤＣに掌握させます。
　　　これでＤＮＳが複製されます。

３）　Ｓｅｒｖｅｒ2003ｗｏ再起動させます。
　　　ＤＮＳが正しくできていることを確認します。
　　　nslookupで外に対し解決できていること。

４）　2000Serverをメンバーサーバに「降格」させます。（dcpromo.exe)
　　　降格中にＧＣとＦＳＭＯがＳｅｒｖｅｒ2003のＤＣに移動します。

５）　2000Ｓｅｒｖｅｒを撤去します。

これでＯＫです。

ただＤＣが冗長化していないＡＤ環境は危険です。

この回答への補足

回答ありがとうございます。

ちょっと質問していいですか？

２）のＳｅｒｖｅｒ2003をＤＣに昇格させます。っていうのは
具体的にどういう操作でできますか？
自分はFSMOの転送・グローバルカタログのチェック（GCの継承はこれでOK？）がそれにあたると思っていたのですが。

やっぱり、降格は必須なんですね？
もしうまくいかなかったら、もとに戻せない恐怖があって控えたのですが・・・。

補足日時：2008/05/18 10:50

No.3 回答者： foitec 回答日時： 2008/05/17 22:42

ＡＮｏ.2です

訂正
×　２）　Ｓｅｒｖｅｒ2003をＤＣに掌握させます。
○　２）　Ｓｅｒｖｅｒ2003をＤＣに「昇格」させます。

No.4 回答者： foitec 回答日時： 2008/05/18 14:51

＞２）のＳｅｒｖｅｒ2003をＤＣに昇格させます。

っていうのは
具体的にどういう操作でできますか？

具体的にはメンバーサーバーとしてＡＤに登録された（ログオンできている）サーバーをＤＣにすることです。

ｄｃpromo.exeの実行かサーバーの役割（だったかな？）のウイザードで行います。

ところでyaku.localドメインンのＤＣに障害が起きたときの対策はどうしますか？
交換するＤＣが落ちた場合に何か対策はありますか？

yaku.localのDC障害時にFSMO占有できるのは、
yaku.localドメインのDCのみです。
なので、yaku.localドメインの 追加DCか、
障害起きたDCのバックアップから復旧させた新規DCは必須です。

復旧手順の手間を考えると、yaku.localの追加DCがあるのが一番望ましいです。

さて、
＞自分はFSMOの転送・グローバルカタログのチェック（GCの継承はこれでOK？）がそれにあたると思っていたのですが。

これは「既存のドメイン追加ドメインコントローラ」として、Ｓｅｒｖｅｒ20003のＤＣ（仮にdc2.yaku.local）を指定しましたか？

複数のＤＣを設置していれば片方の（仮にＦＳＭＯを担っている方）が落ちてもほかのＤＣがその役を即座に担ってくれます。
正しく構築されたドメイン内のＤＣはSMOか否か、という違いはあれど、
どのDCもFSMOとなるために必要な情報は すでに持っており、あとはどのDCにその役割を割り当てるか、という概念があるに過ぎません。

さて本題
＞やっぱり、降格は必須なんですね？

ＦＳＭＯを移動できれば無理に「降格」させずにしばらくネットワークから外して置けばよいのでは？

＞もしうまくいかなかったら、もとに戻せない恐怖があって控えたのですが・・

そのためには、まず2000Ｓｅｒｖｅｒのバックアップを取っておきましょう。
2000ＳｅｒｖｅｒのＤＣが稼動している（ＦＳＭＯがアクティブな状態）でバックアップから「システム状態」）を選択して、実行します。

なお、

なお、リストア手順は通常と全く異なります。
まずOS起動の初期段階の画面でF8キーを押して、「WIndows拡張オプションメニュー」から「ディレクトリーサービス復元モード」を選択すします。
この起動モードのログオン画面では、ドメインのAdministratorではなく、「ディレクトリ・サービス復元モード」専用のAdministratorのパスワードを入力します。
次に「バックアップ」を起動して、「System State」を選択して、リストアを終えたら、再起動して通常モードで起動します。

この回答への補足

■旧ドメインコントローラーへのFSMOの移動にて、以下のメッセージがでてしまいFSMOの移動が無理でした。

Win32エラー0x20af（要求されたFSMOの操作に失敗しました。現在のFSMOフォルダに接続できませんでした。）

■ちなみに新サーバーのActiveDirectoryを降格させようとしても同じようなメッセージ（下記）がでて出来ませんでした。

ActiveDirectoryはディレクトリパーティションCN=Configuration,DC=yaku.DC=localの残りのデータをドメインコントローラ【旧サーバー名.yaku.local】に転送できませんでした。
"このディレクトリサービスで、一部の浮動単一マスタの役割に対する所有権をほかのサーバーへ転送出来ませんでした。"

ActiveDirectoryをやめてワークグループにしてしまうことも考えるしかありません。
パソコン20台もないので、各PCのメールデータ・プロファイルをコピーすればいいかと。
動かなくなるソフトがあったりしたら怖いですが。

補足日時：2008/05/26 16:51

No.5 回答者： foitec 回答日時： 2008/05/26 18:58

どうも浮き足立っていますね。

Windows 2000ServerのDCはまだ生きていますよね？

単にマンバーサーバーとして現在のドメインにログインさせるために
既におかしな状態になっているWindows Server2003　を再インストールしてください。

再インストール後、メンバーサーバーとしてドメインに労インさせてください。

あとは私の手順でOKなので　
＞(1)【現】にserver2003のCD（disk2）を入れて、dprep/forestprep、adprep/domainprepを実行。

などは行わないでください。

メンバーサーバーとしてドメインの配下にいることを必ず確認してください。

確認できたらWindows Server 2003を　ADのDCに昇格してください。

その際に必ず「DNS」が作成（複製）されるはずです。
（ADにおけるDCにDNSは必須です）

DNSが複製されたWindows Server2003でDNSの動作を確認してください。

確認できたらWindows 2000Serverをマンバーサーバーに「降格」してください。
これでFSMOが移動します。

補足のエラーはWindows Server2003の構築がおかしい状態でおきています。
一つ一つの手順を確認しながら行えばそれほど難しい作業ではありません。

最初の質問で
＞作業(6)にて、ADインストール前にDNSサーバーをインストールしなかった。（追加DC作業の時にエラーはなかったが）

ADのDCとしてはおかしいことです。これが根源ではないかと思いますよ。

この回答への補足

たびたび失礼いたします。

結局、ActiveDirectoryを諦め、workgroupに変更することにしました。

メール・プロファイルのデータを移行して、テストでworkgroupに変更してみましたが（色々設定はあるものの）仕事に支障はなさそうなので。

ひとつ気になったのは、今のActiveDirectory配下のクライアントパソコンが、LANケーブルがささっていなくても普通にWindowsが起動するのが気になります。
普通、DCが見つからない時はその旨（見つからない・オフラインで起動します・みたいなメッセージ）が表示されるはずですが、普通に起動します。
そもそもクライアントPCのDNSが優先・代替ともにプロバイダのIPアドレスが入力されているだけで、DCのIPアドレスがDNS・WINSにも登録されていなかったのもおかしい気がしていたのですが。

workgroupにしてしまうので関係なくなりますが。

クライアント20台以下でActiveDirectory組んでもあまりメリットは感じられないですよね。（知識ない私の勝手な意見ですが）

色々ありがとうございました。m(_ _)m

補足日時：2008/05/30 16:01

No.6 回答者： foitec 回答日時： 2008/05/30 16:54

あまりお役に立てず申し訳なかったですね。

＞LANケーブルがささっていなくても普通にWindowsが起動するのが気になります。

キャッシュされたログイン情報でログインしているのかな？
そもそも認証するサーバ無かったのか（自身にログインしていた）

＞クライアントPCのDNSが優先・代替ともにプロバイダのIPアドレスが入力されているだけで

＞DCのIPアドレスがDNS・WINSにも登録されていなかった

う～ん、ADのDCがドメインの配下にいないかですよね。
DCに昇格させる手順に間違いがあったと思われますよ。

＞クライアント20台以下でActiveDirectory組んでもあまりメリットは感じられないですよね

運用次第ですが・・
運用しながら必要性が感じられるかもですね。

頑張ってください。

この回答へのお礼

いろいろ指導して頂きありがとうございました。

またこのような機会がございましたらよろしくお願いします。

ホント、助かりました・・・。σ（^∇^;）

お礼日時：2008/06/02 09:00