ActiveDirectory が壊れた時にどうするか | ライタス株式会社


つい先日、Hyper-V上に構築しているActiveDirectoryが壊れました。

「Hyper-V上に構築したActiveDirectoryは、動作保証しないよ」とマイクロソフト様がおっしゃるのに、それを無視したバチが当たったのでしょうか・・・
テスト用の環境だったので、まだ平静でいられますが、本番環境だったら目も当てられません。


その時の記録をつけようと思います。

1. 何が起きたのか


今回の環境について整理しておきます。
Hyper-V上に構築しているActiveDirectoryが2台、Exchange Server 2007が1台(以下Exchange機という)という構成です。
ActiveDirectoryのサーバーは、1台がServer-Core 2008 Server(以下1番機という)で、もう1台が2008 R2(以下2番機という) でした。

最初の現象は、Exchange の Infomation Server サービスが起動しなくなりました。
何らかの理由でサービスが停止したものと思われるのですが、最初は、なんなのかサッパリ分かりませんでした。

2つ目の現象として、ActiveDirectoryにエラーが発生し始めました。 NetlogonとかTerminalServiceとか、たくさんです。

3つ目の現象として、DNSサービスが起動しなくなりました。 正確には起動しているのですが、ActiveDirectoryが認識できないのか、ゾーンを読み込めないというものです。

2. 何をやったのか

異常動作に陥る前に、なにかやったのかと言われると、何もやっていないと思います。
Exchangeの方では、上記記載通り、Infomation Serverが飛んだので、再起動したぐらいでしょうか。

3. 復旧するためになにをやったのか

まずは、状況調査から。
各ドメインサーバーで、以下コマンドを実行します。

repadmin /showrepl 
このコマンドは、ActiveDirectory間の同期状況を確認してくれるコマンドです。
実行したら、いくつか同期に失敗しているようでした。

また、1番機へのPingが通っていないことに気が付きました。

4. セカンダリのプライマリ強制昇格

この時点で、1番機に何か問題がありそうだと推測。とりあえず1番機は停止させました。
残った2番機を強制的にプライマリに昇格させることを思いつきます。

強制的に昇格させる方法は、以下のHPが詳しいです。

Active DirectoryのFSMO役割をほかのDCへ強制的に割り当てる
http://www.atmarkit.co.jp/fwin2k/win2ktips/1174fsmoseize/fsmoseize.html

上記記事で気になったのは、
fsmo maintenance: seize domain naming master
はうまく行きません。
どうもWindows Server 2008では、
fsmo maintenance: seize naming master
とするのが正しいようです。

transferは当然失敗するので、FSMOの強制転送を行います。
強制転送された後、再起動を1回行い様子を見ます。
再起動には時間がかかるので、気長に待ちます。
ログインしたら、イベントビューアを確認して、問題が起きていないことを確認します。

5. DNSサーバーの様子がおかしい

ActiveDirectory的には、FSMOが転送されれば、ほぼ作業としては終わりのはずですが、
DNSがうまく動いてくれていません。
DNSサーバーがActiveDirectoryをうまく見つけられていないようです。

DNSサーバーは再インストールしても問題ないはずなので、これを実施。
しかしながら、再インストールだけではうまく行きませんでした。

調べてみたところ、再インストール前に、旧情報を削除しておく必要があるという話を見つけたので、
これを実施してみました。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\DNS Server\Zones以下のゾーン情報の削除
  • C:\Windows\System32\dns フォルダの削除(実際にはリネームしました)
その後、DNSサーバーを再インストールしたら、うまく稼働してくれました。

6. まだ終わらないExchange連携

ActiveDirectoryは、何とか復旧したようなのですが、Exchange側が思うように動いてくれません。
原因としては、ActiveDirectoryをうまく認識してくれていないようです。
Exchange ADAccessというサービスがActiveDirectoryを参照しているようなのですが、ActiveDirectory側が拒否しているようです。
しょうがないので、Exchangeを一度ADからおろして、再度参加させたところ、あっさり動いてくれました。


7. まとめ


今回はたまたまうまく行ったのと、時間がとれたということもあり、何とか復旧までたどり着きました。
ActiveDirectoryの障害は、非常に知識と経験が必要な作業ですので、その場に応じた対応をしないと、最悪全インストールという恐ろしい事態になりかねないことを実感しました。

特に、Exchangeが絡んでいる場合は、業務影響が深刻になりやすいので、対応については、しっかりと理解しておくことが重要です。




本記事は、弊社代表のブログ記事なんでもIT屋の宿命からの記事を加筆修正したものです。

コメント

コメントを投稿

このブログの人気の投稿

Firefoxを起動したら、Couldn't load XPCOM. というエラーが出る時の対処法 | ライタス株式会社

イメージ
今朝方、Firefoxを起動したら、Couldn't load XPCOM. というエラーが出るようになり、起動できなくなりました。 確か、システムの復元が走ったので、そのせいかなと思います。 対処法については、こちらに記載がありました。 http://www.thewindowsclub.com/firefox-couldnt-load-xpcom-windows 英語だったので、日本語訳してみます。 XPCOM is a cross-platform component object model, which is similar to Microsoft COM, and is required for file and memory management, basic data structures and so on. XPCOMは、クロスプラットフォームコンポーネントで、Microsoft COMに似ています。このファイルはメモリー管理、基礎データ構造などに利用されています。 This Firefox start-up error can typically occur after performing a Windows System Restore or if you run it in a Sandbox. In fact I too received this message a few days back after I had system restore my omputer a couple of times to fix some other issues. Firefoxの起動エラーは、Windowsのシステム復元を行ったときに出ることがあります。実際、私もシステム復元のあとに、このメッセージが出た時は、次のように対処しました。 1] Open Firefox Menu, click the “?” Help button and select  Restart with addons disabled . If this solves your issue, you may need to disable some problem-causing addon. 1] Fire
続きを読む

マテビュー(マテリアライズドビュー:Materialized View)のせいで、表領域が削除ができない | ライタス株式会社

久々にOracleで困ったことに遭遇したのと、日本語の情報が少なかったので、 記録がてら記事にします。 表領域のDROPをしなくてはならない状況になったので、 おとなしくコマンドを叩いていました。 DROP TABLESPACE [表領域名] INCLUDING CONTENTS AND DATAFILES CASCADE CONSTRAINTS; なんでか、この時に、 ORA-23515 : マテリアライズド・ビューまたはその索引(あるいはその両方)が表領域に存在します. が、発生しました。 おとなしく削除されてくれればいいものを、、、 調べたところ、このパターンは、マテビューを手動で削除すれば、治るようですね。 外人さんが、こんなSQLを作ってくれていました。 SQL> select ‘drop materialized view ‘||owner||’.'||name||’ PRESERVE TABLE;’ from dba_registered_snapshots where name in  (select table_name from dba_tables where tablespace_name = ‘BLUH’); この人は、BLUHというテーブルスペースをDROPしようとして失敗していたようなので、 その部分を書き換えると、マテビューの削除用SQLを出力してくれます。 そのまま、これを実行すれば、マテビューが削除できて、そのあと表領域を削除すれば、 ちゃんと削除できます。 意外と便利そうなSQLだったので、機会があれば使ってみてください。 = 参考元 = http://ora34913.wordpress.com/2008/09/04/ora-23515-and-ora-02449-on-drop-tablespace/ 本記事は、弊社代表のブログ記事 なんでもIT屋の宿命 からの転載です。
続きを読む

[Virus Error]と件名に挿入されたメール

とあるWebシステムで、ユーザーのメール機能を使って運営者に問い合わせができるようにしているものがあります。 (いわゆる、mailtoを使ったもの) あるとき、運営者が受け取ったときに、[Virus Error] (本来の件名) という件名のメールが 届いているというので、調べてほしいと依頼があり調べてみました。 メールのヘッダーを確認したところ、 ・auのiPhoneからだと思われる ・メールの配送ルートは一般的なもの ネットの情報を引いてみると、日本語の情報は少なく、海外の掲示板をあたったほうが いろいろと情報が出てくるようですが・・・よくわかりません。 記事を流し読みしていてわかったことは以下。 ・iCloud経由のメールでこれがつくことがあるらしい https://discussions.apple.com/thread/7060793 真相は不明ですが、iCloud側の実装で何かあったのかもしれませんね。 本記事は、弊社代表のブログ記事 なんでもIT屋の宿命 からの転載です。
続きを読む