マルチサブネットの環境を作成するために異なるセグメントに AD DS (ドメインコントローラー) を配置した環境を先々週ぐらいに作っていました。
時間ができたので構築を再開しようと思い設定をしていたところ、グループポリシーの設定がもう一つのドメインコントローラーに移行されておらず、さてなんでだろうと思い確認していた内容などをまとめてみたいと思います。
■原因と調査方法
最初に結論を書いてしまいますと、参照している DNS の設定に問題があったようです。
今回の環境は以下のようになっていました。
コンピューター名 | IP | 参照先 DNS |
CLS-AD-01 | 172.16.100.1 | 127.0.0.1 |
CLS-AD-02 | 192.168.110.1 | 172.16.100.1 127.0.0.1 |
この状態で CLS-AD-01 でグループポリシーを設定し、CLS-AD-02 のセグメントにあるサーバーでグループポリシーを gpupdate /force で反映させたところ追加したグループポリシーが SYSVOL にないというエラーが。
CLS-AD-02 の[C:WindowsSYSVOLdomainPolicies] 確認してみると確かに新規追加したグループポリシーのディレクトリが複製されていませんでした。
# 上記のフォルダ内に新規のフォルダやファイルを作成しても同期がされませんでした。
[repadmin /showrepl] を実行して AD の同期状態を確認してみたところ正常に同期はされているようでしたので、SYSVOL の複製の問題かなと思って、[dcdiag /test:dfsrevent] を実行して DFS-R による複製の状況を確認してみたところエラーが発生していました。
さて、なんでだろうと思っていたところイベントビューアーの [アプリケーションとサービス ログ] の [DNS サーバー] に以下のログが出力されていました。
[DNS-Server-Service] の [4013] は見覚えがあり、以下の KB が該当しているようです。
# 複数の AD で DNS を設定した場合に発生する初期同期の問題ですね。
Troubleshooting DNS Event ID 4013: The DNS server was unable to load AD integrated DNS zones
[DFS Replication] のイベントビューアーを確認すると、[DFSR] [1202] のエラーが出力されていました。
あれっと思い、CLS-AD-01 の DNS の設定を確認したところ先ほどの設定となっていました。
KB に書かれているレジストリを設定して初期同期を無効にするという方法もあると思うのですが、今回はネットワークの疎通の問題などではありませんので、以下のように DNS の設定を変更しました。
コンピューター名 | IP | 参照先 DNS |
CLS-AD-01 | 172.16.100.1 | 192.168.110.1 127.0.0.1 |
CLS-AD-02 | 192.168.110.1 | 172.16.100.1 127.0.0.1 |
ドメインコントローラー同士で優先 DNS をたすき掛けにした設定ですね。
設定の変更後、エラーが発生していたドメインコントローラーで [DNS Server] [DFS Replication] のサービスを再起動したところ SYSVOL の複製が正常に実行されるようになりました。
AD が参照する DNS の設定はきちんとしないといけないな~という自戒をこめて、メモを残しておきたいと思います。
[…] […]
SYSVOL 共有の複製設定を DFS の管理コンソールで確認 « SE の雑記
10 7月 12 at 20:27