質問
お疲れ様です。
はっきりとは言えませんが、どうも支店に配置しているADでコンピューターアカウント情報が失効しており、本社のADとレプリケーションができなくなっているのではないかと思います。
一番早いのは、現行の支店のADを一度降格たのち、ワークグループに落とした上で、本社のADからコンピューターアカウントごと削除して、再度DCの設定をするのが手っ取り早い気はしますが、また同じことが起きそうな気がしますね。
(根本原因は別途探る必要があるとは思います)
ADを復旧した場合にセキュアチャネルが破損して同じようなことが起きることがありますので、一度こちらを参考に再レプリケートまでされてどのような状態になるかを見られるとよいかと思います。(ちょっと古いですが、考え方は一緒ですので)
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/5/
doraemonさん
ご回答ありがとうございます!
私も似たような解決方法のサイトを確認して、パスワードのリセット等を試しました。
netdom resetpwd /Server:<PDCエミュレータ名> /userD:<domain>\administrator /passwordD:<パスワード>
結論から言うと改善しませんでした...。
また支店のドメインコントローラーを降格しようとしましたが、AD連携ができていないので、降格作業も失敗する始末。
で、これは私も認識できていなかったのですが、弊社支店のドメインコントローラーは仮想で構築されており(FSMOは本社側)、どうも連携がとれなくなったあたりで支店の担当がドメコンのスナップショットをとっていて、ある時点でスナップショットへドメコンの切り戻しを行ったようでした。
ドメインコントローラーのUSNがおかしくなった、が今回の原因みたいです...。
http://hideyamaz.hatenablog.jp/entry/2013/06/02/014653
もうここまでくると、支店に新しいドメインコントローラーを構築して、現行はOFF,ADのサイト構成などから削除するしかないですよね。
USNロールバックの手順とかみていてもレジストリエディタを修正するようなことが書かれていましたが、英語なのでよくわからず苦笑。
https://windorks.wordpress.com/2014/07/25/ad-replication-issues-usn-rollback-and-the-invocation-id/
他の投稿とかを見ていると、そんなこともわからないの?とかの回答書き込みがあったりして、ここまでご丁寧にご回答いただけて大変感謝しております。
今後ともよろしくお願いいたします!
ダメもとでこれを試そうと思います。
https://technet.microsoft.com/ja-jp/library/dd363545(v=ws.10).aspx
質問
弊社はWindowsのActive Directory環境を本社(FSMO)と支店の2拠点にて運用しているのですが、最近名前解決などの情報がおかしいとイベントビューアを観ていたところ、1ヶ月前ぐらいより、ドメインコントローラーの同期ができていないことが発覚しました。
知識整合性チェッカー (KCC) は完全なスパン ツリー ネットワーク トポロジを形成できませんでした。このため、次の一覧のサイトはローカル サイトから到達できません。
もろもろのサイトを参照し、netdomでadministratorの管理者パスワードを初期化したりしてみましたが、改善せず。
netdom resetpwd /server:servername /userd:domainname\administrator /passwordd:administrator_password
本社のFSMOのドメインコントロラーを正として運用してきましたが、こうなった場合には、やはり支店側のドメコンを再構築するしかないものでしょうか?
こうなったケースの対処法をお聞かせ願えないでしょうか?