ADのDC移行の手順を教えてください

はじめまして。
現在WindowsServer2000をDCししてADを構築しております。
ユーザー数は役250規模です。
最近ADの挙動がおかしく（サーバー名でpingは通るが\\サーバー名では接続ができないなど）他のサーバーは2003なのにADだけ2000だったり、ハード自体ももうそろそろヤバめなので、新DC（WindowsServer2003R2）への移行を計画しております。

いろいろ調べた結果、新DCをドメインにメンバサーバーとして参加させ、DCへの昇格をするのがいいらしいまではわかりました。

しかし、具体的名手順が不明だったり気になる点がなんてんかあるので、専門家や熟練者のアドバイスをいただきたいのです。

構成：
　1.IPアドレス構成
　　サーバー：192.168.31.0
　　ユーザ：192.168.1.0
　　ルーター：192.168.31.1　192.168.1.1
　　AD（DC）兼DNS：192.168.31.2
　　新DC予定サーバー：192.168.31.10（ADに参加済）

質問1：DC昇格への具体的な手順をわかりやすく教えてください。

質問2：現在ユーザーのIP設定でDNSを192.168.31.2になっております。
新サーバーをDCに昇格し終えた後ユーザーのDNSを全て192.168.31.10に変えなければならないのでしょうか？
あるいは新サーバーをDCに昇格したのち、旧DCを外してしまい新DCのIPアドレスを192.168.31.2にしてもいいのでしょうか？

よろしくお願いいたします。

※添付画像が削除されました。

No.18 ベストアンサー 回答者： foitec 回答日時： 2009/08/04 16:38

ああ、やはり降格させないで撤去したDCがあったようでその亡霊の仕業ですね。

的確にアドバイスできずに随分遠回りさせてしまいました申し訳ありませんでした、

で、
＞認証関連は旧2000ではなく2003のIPを見に行ってるように見受けられます。

旧2000の方のネットワークケーブルを抜いたままで問題なければそのとおりです。

＞2003→2003R2はとくになにもないですよね？

むしろIPアドレスとFQDNが旧2000と同じにしやすいですよね。
今の2003の方が移行中間サーバーとして動くのでやりやすいですよね。

2003→2003のスキーマ拡張は必要ないはずですので。
adprep/forestadprep　　adprep/domeinadprep
は実行しなくてもOKでしょう。

単にメンバーサーバーからdcpromo.exeでいけるはずです。
ただし、DC昇格じにDNSは同時にインストールしない方が良いです。
DCに昇格したら跡からDNSをインストールしてください。

Win2000SRV撤去時は降格してDC上のDNSに反映させてから（普通はDC上でdcpromoで降格させればOK)撤去してください。

うまくいくことを祈ります、

この回答へのお礼

ありがとうございます。
2003R2へADのインストールも終わり、GCになりました。
なにもなければこんなにスムーズに行く作業だったんですね（＾＾；

ほんとうにいろいろありがとうございました！
できれば100ptくらいお礼ポイントを差し上げたいぐらいです。

おかげで2000serverを撤去できそうです。
ほんとうにありがとうございました！！！！１！！！

お礼日時：2009/08/04 17:15

No.17 回答者： foitec 回答日時： 2009/08/04 11:13

ちょっと端折って書きます。

＞レプリケーション接続は、次のソース ドメイン コントローラからローカル ドメイン コントローラに作成されました。

と言うことなのでADにはやはり昇格したDCはないですよね（当たり前のような気もします）。
で、
＞ここで問題はCN=SUN2008の「SUN2008」というサーバーはすでに無いってことです。

先の記述でも
＞＞inbound neighborsにすでにネットワークから排除したサーバーが表示されます。

これ、
Windws2000SRVの方で信頼関係を結んでいませんか？
もしかして以前DCに昇格していて降格処理せずにそのDCを撤去したとか？じゃないでしょうかねぇ。

その「SUN2008」というサーバーはNTサーバだったとか？

どうもやはりWin2000SRVの問題に感じますが・・・
少なくとも件の「SUN2008」というサーバーはDNSエントリーに正しくエントリーされてないのでしょう（若しくはSRVレコードが残っている？）。

Win2000SRVのDNSも要チェックですね。

後でまた書き込みますが参考URLをご覧になってください。
私の説明よりはるかに分り易いようです。
Win2000SRV→WinSRV2003への移行は60ページから記載されています。

この回答へのお礼

おっしゃるとおりSUN2008ともういっこの古いサーバーが悪さをしていたようです。
降格処理せずにそのDCを撤去したようにしかみえなかったので、降格処理せずにDCを撤去した対処法を調べて2000と2003のDCからこの二台を消しました。
すると「現在、このドメイン コントローラはグローバル カタログです」というLogが現れました。
スキーママスタの変更もできました。

新しい2003上で
select operation target: list roles for connected server
を実行すると5個の役割を認識しましたと出ます。

クライアントを再起動してもLogInに問題なく、ネットワークのLogでも認証関連は旧2000ではなく2003のIPを見に行ってるように見受けられます。
これで2000を降格→排除できる体制が整ったってことですよね。

あとは2003R2を再度DCにするトライをするだけです。
2003→2003R2はとくになにもないですよね？

思うに、2003に2003R2のDISK2を入れてadprep/forestadprepを実行
再起動後adprep/domeinadprepを実行
2003R2にADをインストール
でFMSOの移動とスキーママスタの移動をする

でOKでしょうか？

お礼日時：2009/08/04 12:00

No.16 回答者： foitec 回答日時： 2009/08/01 16:15

昇格できたServer2003は先に

＞inbound neighborsにすでにネットワークから排除したサーバーが表示されます

なのかなぁ？
そうなると先の2003の方はインストールしなおせばOK?かも。

さて「Knowledge Consistency Checker（KCC)　知識整合性チェッカー」でのエラーですが
ファイルレプリケーションサービス（FRS)がうまくいっていないのではないでしょうか。

まずWindows 2000 Server側で　FRS が有効になっているか（単独DC環境のデフォルトでは無効）確認してください。

FRS が DFS コンテンツのサイトとサイト内のレプリケーション用のプロトコルでは (TCP) 経由で RPC を指定します。

機械語訳で少々おかしい記述ですが　ここ　↓　参照
http://support.microsoft.com/kb/220938/ja
http://support.microsoft.com/kb/911799/ja

なお、元質問の
＞新サーバーをDCに昇格し終えた後ユーザーのDNSを全て192.168.31.10に変えなければならないのでしょうか？
＞あるいは新サーバーをDCに昇格したのち、旧DCを外してしまい新DCのIPアドレスを192.168.31.2にしてもいいのでしょうか？

無事Server2003がADに昇格できたら動作を確認後既存のWin2000をメンバーサーバに降格（dcpromo.exe)します。
撤去前に必ず降格処理を行ってください。
降格後そのサーバはネットワークから撤去またはIPアドレスを変更します。

次にServer 2003のIPアドレスを192.168.31.2　に変更します。

DNSを開き nsレコードを昇格した Server2003にします。
Aレコードを編集し　192.168.31.2　を　昇格したServer2003のホスト名にします。

SOAのシリアルを増やします（多分既に増えている）。

逆引きは作っていなければ何もしません。

クライアントPCを一端ログアウト・ログインし
クライアントPC側で nslookupしDefault Serverで新ADサーバ名が出ればOKですね。

この回答への補足

やはりダメですね・・・
17:26に
------------------------------------------------
ソース NTDS General
分類　内部処理
種類　情報
イベントID　2041
内容
重複するイベント ログ エントリは抑制されました。

詳細については、前のイベント ログ エントリを参照してください。イベント コードおよび すべての挿入パラメータが同じ場合、エントリは重複とみなされます。この重複の実行の期間 は前のイベントの時刻からこのイベントの時刻です。

イベント コード:
80000785
重複するエントリの数:
7
----------------------------------------

というLogが出て、その後17:26に
----------------------------------------
ソース NTDS KCC
分類　知識整合性チェッカー
種類　情報
イベントID　1128
内容
レプリケーション接続は、次のソース ドメイン コントローラからローカル ドメイン コントローラに作成されました。

ソース ドメイン コントローラ:
CN=NTDS Settings,CN=SUN2008,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=[ドメイン名],DC=local
ローカル ドメイン コントローラ:
CN=NTDS Settings,CN=[2003server名],CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=[ドメイン名],DC=local

追加のデータ
理由コード:
0x2
作成ポイント内部 ID:
f0a025a
-------------------------------------------
というのが出ます
ここで問題はCN=SUN2008の「SUN2008」というサーバーはすでに無いってことです。
その後やはりずっと
-------------------------------------------
ソース NTDS KCC
分類　知識整合性チェッカー
種類　警告
イベントID　1925
内容
次の書き込み可能なディレクトリ パーティションのためにレプリケーション リンクを確立しようとして失敗しました。

ディレクトリ パーティション:
CN=Configuration,DC=[ドメイン名],DC=local
ソース ドメイン コントローラ:
CN=NTDS Settings,CN=[2003server名],CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=[ドメイン名],DC=local
ソース ドメイン コントローラのアドレス:
9665a409-3737-438d-891a-01c7ff7651f0._msdcs.[ドメイン名].local
サイト間トランスポート (存在する場合):


このドメイン コントローラは、この問題が修正されるまでソース ドメイン コントローラとレプリケートできなくなります。

ユーザー操作
ソース ドメイン コントローラにアクセス可能か、またはネットワーク接続が利用可能かどうかを確認してください。

追加のデータ
エラー値:
8524 DNS 参照エラーのため、DSA 操作を続行できません。
------------------------------------------------
となります。
なんでやろか・・・

補足日時：2009/08/04 08:50

この回答へのお礼

＞昇格できたServer2003は先に
＞＞inbound neighborsにすでにネットワークから排除したサーバーが表示されます
＞なのかなぁ？

ではないです。
ずっとプリンtなサーバとして稼動していましたがnbound neighborsには出ていなかった気がします。
なんで突然出たんだろ・・・

でFRSの有効化してみました。
2000側で分散ファイルシステムを起動し、適当な共有フォルダを指定し、2003側の分散ファイルシステムでルートターゲットの上記の共有フォルダを出すと「DFS紹介」が有効「状態」がオンラインです。

しかし、やはりNTDS KCCエラーが出ます
---------------------------------------
イベントID：1925
種類：警告
説明：
次の書き込み可能なディレクトリ パーティションのためにレプリケーション リンクを確立しようとして失敗しました。

ディレクトリ パーティション:
CN=Configuration,DC=[ドメイン名],DC=local
ソース ドメイン コントローラ:
CN=NTDS Settings,CN=[2003server名],CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=[ドメイン名],DC=local
ソース ドメイン コントローラのアドレス:
9665a409-3737-438d-891a-01c7ff7651f0._msdcs.[ドメイン名].local
サイト間トランスポート (存在する場合):


このドメイン コントローラは、この問題が修正されるまでソース ドメイン コントローラとレプリケートできなくなります。

ユーザー操作
ソース ドメイン コントローラにアクセス可能か、またはネットワーク接続が利用可能かどうかを確認してください。

追加のデータ
エラー値:
8524 DNS 参照エラーのため、DSA 操作を続行できません。

詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。
---------------------------------------------
とのこと。

NTDS Generalログで「Active Directory により、次のサイトでグローバル カタログが検出されました」の後に出ています。

とおもったけど・・・15:26を最後にLogが出てきません。
これは・・・いけてるのかな？

お礼日時：2009/08/03 15:49

No.15 回答者： foitec 回答日時： 2009/07/23 14:57

間違いました

最終行
＞OKならば　adprep /forestprep を実行後　adprep /forestprep　を実行します。

OKならば　adprep /forestprep を実行後　adprep /domainprep　を実行します。

この回答へのお礼

間が開いてしまい申し訳ないです。
教えていただいたことを全て実行しましたがだめでした。

ところが　repadmin/showreps　を実行したときに別の2003サーバー（スタンダード）がレプリケーションが実行されていることに気がつきました。
このサーバーは通常プリンタサーバーとして使用しているのですが、思い切ってこちらにADをインストールすると素直にインストールでき、FSMOの転送もでき、操作マスタでRID、PDC、インフラストラクチャの移行もできました。
G.Cも現在移行中のようです（時間掛かっているようです）
少し気になるログも出ていますが、このまま移行できそうな感じです。

そこで続きの指南をお願いしたいと思います。

気になるエラーログを記載しておきます。

-----------------------------------------
種類：警告
ソース：NTDS KCC
分類：知識整合性チェッカー
イベントID：1925
コンピューター：新しくDCになった2003server

説明：
次の書き込み可能なディレクトリパーティションの為にレプリケーションリンクを確立しようとして失敗しました。

ディレクトリパーティション:
CN=Configuration,DC=[現在DC移行中のドメイン名],DC=local
ソース ドメエイン コントローラー:
CN=NTDS Settings,CN=[このサーバー名],CN=server,CN=Defolt-First-Site-Name,CN=Configration,DC=[現在DC移行中のドメイン名],DC=local
ソース ドメイン コントローラーのアドレス:
9665a409-XXXX（略）-01c7ff7651f0._msdcs.[現在DC移行中のドメイン名]
サイト間トランスポート（存在する場合）:
----------------------------------------------

以上です。

お礼日時：2009/08/01 15:14

No.14 回答者： foitec 回答日時： 2009/07/22 08:58

Windows2000Serverのスキーマ拡張が失敗しているようなので再度強制方法を記します。

1.Schema Admins のメンバであるアカウントを使用して、Win2000DCにログオンする。

2.、[ファイル名を指定して実行] で、[名前] ボックスにnotepad.exe と入力し、[OK] をクリックする。

3.次のテキストを、"schemaUpdateNow: 1" の後の "-" も含め、メモ帳にコピーします。
dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace:LDAPDisplayName
LDAPDisplayName: msExchAssistantName
-

dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: LDAPDisplayName
LDAPDisplayName: msExchLabeledURI
-

dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
changetype: Modify
replace: LDAPDisplayName
LDAPDisplayName: msExchHouseIdentifier
-

dn:
changetype: Modify
add: schemaUpdateNow
schemaUpdateNow: 1
-

4.各行の末尾に"空白"がないことを確認します。(重要！！）

5. [上書き保存] をクリックし。[名前を付けて保存] ダイアログ ボックスで、次の手順を実行します。

　１）[ファイル名] ボックスに、次のように入力します。
　　　\%userprofile%\InetOrgPersonPrevent.ldf
　２）[ファイルの種類] ボックスの一覧の [すべてのファイル] をクリックします。
　３）[文字コード] ボックスの一覧の [Unicode] をクリックします。
　４）[保存] をクリックします。
　５）メモ帳を終了します。

6.InetOrgPersonPrevent.ldf スクリプトを実行します。
　１）コマンド プロンプトで、次のように入力し、Enter キーを押します。
　　　cd %userprofile%
　２）次のコマンドを入力します。
　　　c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain
　　【注意】
　　　DC=X 大文字のこと。
　　　ルート ドメインのドメイン名パス (domain name path for forest root domain) は、二重引用符で囲む必要があります。
　　　例えばフォレストのルート ドメインが testdomain.localである A.Dフォレストの場合
　　　c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=testdomain,dc=local"

7.スキーマ名前付けコンテキストの CN=ms-Exch-Assistant-Name 属性、CN=ms-Exch-LabeledURI 属性、
　および CN=ms-Exch-House-Identifier 属性の LDAPDisplayName が、msExchAssistantName、msExchLabeledURI、
　および msExchHouseIdentifier として表示されていることを確認します。

　　（スキーマ名前付けコンテキストはADSI Edit mmcでできます）

異常なければ　再度　repadmin /showreps　を実行しFSMO によってスキーマ パーティションの入力方向のレプリケーションが実行されていることを確認します。

OKならば　adprep /forestprep を実行後　adprep /forestprep　を実行します。

No.13 回答者： foitec 回答日時： 2009/07/16 18:57

＞この欄に新DC候補の2003R2があるのですが、その中にNTDS Settingsというファイルが無い状態です。

＞2003R2にADがインストールされてないからでは？と思い・

これから2003の方をDCにする為の前手順の段階ですから当然です。

＞追記：inbound neighborsにすでにネットワークから排除したサーバーが表示されます

それって、DCだったのでしょうか？

う～ん・・
では前レスの
問題がなければWindws 2000Serverの「出力方向＝オウトバウンド」のレプリケーションを一時的に無効化します

唐崎を実行してみてください。

この回答へのお礼

すみません、仕事がいそがしくお礼がとまっておりました
作業もとまっております。

この「出力方向＝オウトバウンド」のレプリケーションを一時的に無効化」はシステム稼働中やってはいけないのですよね？

お礼日時：2009/07/22 09:28

No.12 回答者： foitec 回答日時： 2009/07/16 09:27

続いて

Microsoft Windows 2000 または Windows Server 2003 のメディアの Support\\\\Tools フォルダから
repadmin　（複製管理ツール）をインストールしておいてください。

インストール後
次のコマンドを入力しそのスキーマの FSMO によってスキーマ パーティションの「入力方向＝インバウンド」のレプリケーションが実行されていることを確認。

repadmin /showreps

画面に一杯に情報が現れます・・
INBOUND NEIGHBORS が表示されないとか複製状態エラーがあるか否か・・

ここを↓参照して万一エラーがあれば対策してください。
http://technet.microsoft.com/ja-jp/library/cc984 …

問題がなければWindws 2000Serverの「出力方向＝オウトバウンド」のレプリケーションを一時的に無効化します

repadmin /options +DISABLE_OUTBOUND_REPL

無効化されたら
再度　Windws 2000 Server上でWindws Server 2003のDISK2（必ず”Disk2）の\\CMPNENTS\\R2\\ADPREP\\の中にあるadprepを使います。

＞　adprep /forestprep を実行
Cを押してEnter。

完了後
Windws 2000Serverの「出力方向＝オウトバウンド」のレプリケーションを一時的に有効化化します。

repadmin /options -DISABLE_OUTBOUND_REPL

実行後
Windws 2000 Server上でWindws Server 2003のDISK2（必ず”Disk2）の\\CMPNENTS\\R2\\ADPREP\\の中にあるadprepを使い

＞　adprep /domainprep を実行。

完了できればスキーマの更新は完了です。

この回答への補足

ん～わかりません・・・

inbound neighborsが表示されない場合のトラブルシューティングを見て
repadmin /kcc　を実行したのですが、ディレクトリサービスのログにイベントID1264が現れません・・・

ご指南よろしくお願いいたします。


追記：inbound neighborsにすでにネットワークから排除したサーバーが表示されます。
「AD サイトとサービス」で消そうにも消せないのですが、これって今回の原因のひとつですかね？

補足日時：2009/07/16 15:34

この回答へのお礼

だめです・・・
INBOUNDに新しいDC候補のサーバー名が出ません。
で、「AD サイトとサービス」を確認しますと
Active Directory サイトとサービス[<DC名><domein名>]
└Sites
　└Default-First-Site-Name
　　└Servers
　　　├現DC
　　この欄に新DC候補の2003R2があるのですが、その中にNTDS Settingsというファイルが無い状態です。

って、書いててこれは2003R2にADがインストールされてないからでは？と思い・・・今はそのインストール（追加DCとして）ができない＝Adprepができてない為にこれをやっているんだと思い・・・

こんがらがってきました。

お礼日時：2009/07/16 10:35

No.11 回答者： foitec 回答日時： 2009/07/16 08:54

では・・

Windws 2000 ServerがWindws Server 2003をDCとして受け入れるべく、 ntdsutilでスキーママスタが[DC1]であることを確認します。

Windws 2000 Server上で
＞ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to domain ＜実際のドメイン名＞
\\＜サーバー名.実際のドメイン名＞に結合しています...
ローカルでログオンしているユーザーの資格情報を使って \\＜サーバー名.実際のドメイン名＞に接続しました。

server connections: quit
fsmo maintenance: select operation target
select operation target: list roles for connected server
サーバー "\\＜サーバー名.実際のドメイン名＞" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sit
es,CN=Configuration,DC=microsystem-sales,DC=co,DC=jp
ドメイン - CN=NTDS Settings,CN=AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sit
es,CN=Configuration,DC=microsystem-sales,DC=co,DC=jp
PDC - CN=NTDS Settings,CN=AD01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=microsystem-sales,DC=co,DC=jp
RID - CN=NTDS Settings,CN=AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=microsystem-sales,DC=co,DC=jp
インフラストラクチャ - CN=NTDS Settings,CN=AD02,CN=Servers,CN=Default-First-Site
-Name,CN=Sites,CN=Configuration,DC=microsystem-sales,DC=co,DC=jp

これで間違いなくWindws200　Serverがスキーママスタであることが確認できました。

select operation target: quit
fsmo maintenance: quit
ntdsutil: roles
fsmo maintenance: quit
ntdsutil: quit
\\＜サーバー名.実際のドメイン名＞から切断しています...

確認だけです。
この後裏技を使います・・でもないか(^^;

この回答へのお礼

確認しました。
記述の通り現DCの2000は5個の役割をしていました。

裏技！よろしくお願いします！！！

お礼日時：2009/07/16 09:14

No.10 回答者： foitec 回答日時： 2009/07/15 17:48

回答が前後しちゃって申し訳ないです。

それに加えて今更ながらなのですが・・・
Windws 2000 Server では当然administratorでログインしているかadministratorsのメンバでログインしていると思いますが
そのユーザーは SchemaAdminsグループである必要があります。
そのあたりは如何でしょうか？

この回答への補足

administratorにてLogInし作業しております。
もちろんSchemaAdminsにもなっております。

補足日時：2009/07/15 18:15

No.9 回答者： foitec 回答日時： 2009/07/14 22:02

既存のWindws2000Serverは現A.D /ドメインの最初の且つ唯一のD.Cですから

フォレスト全体に対する操作マスタでありフォレスト全体に対する操作マスタを兼ねている訳です。

従ってドメイン全体の操作マスタ＝フォレスト全体に対する操作マスタ＝スキーママスタ　＆　ドメイン名付けマスタ

で、且つ
ドメイン全体の操作マスタ＝相対識別子マスタ（RID）　＆　プライマリドメインコントローラエミュレータ
（PDC）＆　インフラストラクチャマスタ

な訳です。

これらをWindws Server 2003で構成されるA.Dへ移行する為にWindws 2000 Serverの各操作マスタを更新するのです。

従ってadprep.exe /forestprepの実行後 adprep.exe /domeinprepを実行する必要があります。

さて、件のエラーメッセージは更新したWindws 2000 Server 自身に対してレプリケートされていないことを表します（Windws Server 2003に対してではありません）

Windws 2000 Serverが再起動されてから、CN=Schema パーティションの入力方向のレプリケーションがこのD.Cで実行されている必要があります。

Windws 2000 Serverは「再起動」させましたか？

再起動後
adsiedit.msc　を実行し
[CN=Schema,CN=Configuration,DC=<ドメイン名>] を右クリックし、プロパティをクリックします。
[objectVersion] の値を確認します。
31であればOKです。

この回答への補足

2003を再起動してました(^^;

2000を再起動後adsiedit.mscを実行し確認しました。
残念ながら30でした。
どうしましょう？

補足日時：2009/07/15 15:53