質問
参考にした手順とかあれば、示しておくとよいかと。
昔、これの2008->2012版の手順を参考に更新したことはありますが・・・。
私も自分でやったことがないのであくまで調べた範囲ですが、富士通の手順に以下の注意事項が書かれていました。
DC サーバでは、ほとんどの場合 DNS サーバの役割を兼務します。DC 兼 DNS サーバをドメインメンバサーバに降格した場合、ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在 しない状況になります。このような場合、ドメインメンバコンピュータはActive Directoryでの認証要求が 行えなくなります。 本手順では、移行前の DC で使用していた IP アドレスを、Windows Server 2016 DC の IP アドレスと することで、これらの問題を解決します。
※これの36ページです。
これが原因だった場合は起きてしまっている現象もなんとなく納得できるかなぁと。
手動でDNSサーバーのアドレスを書き換えれば解消できるかもしれません。
自分もDNS回りかなーと。
もしかしたらこれにも該当しているのかと思います。
https://blogs.technet.microsoft.com/jpntsblog/2018/07/11/ws2016_dns_duplicate_srv/
検証もやってないですし実際に作業したわけではないですが、事象としてはこんな感じでしょうか。
1) 現行設定。SRVレコードとしてAD1とAD2が登録されている。
2) 2012R2を降格→AD1のSRVレコードが削除される。(実際の動作になるかはわかりません。)
3) この時点で、DCとしてのSRVレコードは "AD02.hoge.local=10.0.0.2" に向いている
4) AD2のIPとホスト名を変更
5) "AD01.hoge.local=10.0.0.1"は生きているが、"AD02.hoge.local=10.0.0.2"はいない。
6) SRVレコードを使って認証したくても"AD02.hoge.local=10.0.0.2"がいないから認証できない。
せっかく3台用意しているそうですし、こんな感じでやってみては。
AD1 2012 R2 :既存プライマリ
AD2 2016 :既存セカンダリ
AD3 2016 :新しいやつ
1) FSMO転送
AD1(2012R2)→AD2
2) AD1の降格
3) ホスト名IP変更
AD1→AD3
AD3→AD1
4) AD1(2016)の昇格
5) FSMOの転送
AD2→AD1(2016)
AD2のホスト名IPアドレスはせず、AD1/AD3だけを変更するのがよいかと。
AD2はFSMO転送の中継役みたいな感じですね。
@bonyariさん
ご返信ありがとうございますmm
SRV レコード辺りは探っていませんでした、ご助言感謝です。
また手順についても細かく記載いただきありがとうございました。
別ドメイン環境下にて再度トライしてみます、結果ご報告します!
よこからすみません。
ご回答いただいている方々のリンク先に記述があるのかもしれませんが
dcdiagコマンドとか使うと、ADの現状がしれてよいかもしれません。
それと、VMで(hyper-vも)ADをたてると、時刻同期に遅延が発生するケースもままあるので
マメに気をつけておいた方がよいです。
MSさんは対応した、とは言っていますが、なかなか。。
#弊社では必ずFMSOは物理サーバで作ります。
ケルベロス認証の関係で、PDCとBDCに時刻の差異が発生した場合にうまくいかないです。
https://docs.vmware.com/jp/vRealize-Orchestrator/7.3/com.vmware.vrealize.orchestrator-use-plugins.doc/GUID-D452862F-7E6C-453E-8E13-DBC231881E02.html
以上、ご参考までに。。
質問
こんにちは。情シスの端くれです。
先日、社内のVM上で運用しているActiveDirectoryサーバのローリングアップデート(2012 R2 -> 2016)を実施した結果盛大に失敗したので、詳しい方いらっしゃればお知恵を貸していただきたく書き込ませていただきますm(__)m
▷AD DS構成
※パラメータは仮です。
[環境] VMware
[フォレスト] hoge.local
[DC]
プライマリDC×1式(FSMO)
セカンダリDC×1式
[OS]
プライマリDC:Windows Server 2012 R2
セカンダリDC:Windows Server 2016
[IP・ホスト名]
プライマリDC:10.0.0.1/24・AD01
セカンダリDC:10.0.0.2/24・AD02
▷実施手順
1.FSMOの転送
1-1.スキーママスタ
1-2.ドメイン名前付け操作マスタ
1-3.RIDマスタ、PDCマスタ、インフラストラクチャマスタ
1-4.プロンプトにてFSMOの転送を確認
2.AD01 DC降格
3.AD01 マシン設定変更
3-1.コンピュータ名:AD03
3-2.IP:10.0.0.3
4.AD02 マシン設定変更(旧AD01と入れ替える)
4-1.コンピュータ名:AD01
4-2.IP:10.0.0.1
5.動作確認
5-1.PCログイン
5-2.その他AD連携ツールへのログイン
▷現象
・【2.AD01 DC降格】後、hoge.localのAD認証が通らなくなった
・AD認証が通らないため、
1.【3.AD01 マシン設定変更】にてコンピュータ名の変更不可
2.AD02へのログイン不可
3.AD01のDC再昇格不可
となった。
何等かの理由でADの認証先がAD01からAD02に切り替わらなかった(なのでAD01を降格後にAD認証が通らない結果となった)のかなと思っており、
降格前にAD01とAD02のIPとコンピュータ名を切り替えたらどうなるか?を別フォレストで検証中になるのですが
・そもそも順番間違ってるよ…
・必要な手順足りないよ…
などありましたら、ぜひぜひご指摘いただきたく思います。
よろしくお願いいたします…!