子ドメインのドメインコントローラーを追加しようとすると 「スキーマディレクトリパーティションをレプリケーションしています」で止まってしまう件

スポンサーリンク

子ドメインを追加した際にこんな画面で止まることがあります。

結論としては以下の条件で発生します

・親ドメインのドメインコントローラと子ドメインのドメインコントローラとして追加させるコンピュータのネットワークセグメントが分かれている。(NetBIOSで名前解決できない状態にある)
・資格情報のユーザー名を入力する際に、「ドメインのNetBIOS名\ユーザーアカウント名」と入力する。

この事象が発生したのはあの日の夏でした…

検証環境でWindows Server 2012 R2 を使用していました。
子ドメインを作成した際に DNS の設定が既定ではどのようになるのかというところを
観察するために以下の構成を取る環境を作成していました。

○構成図

しかし子ドメインのドメインコントローラーを追加しようとして事象が発生しました。
「スキーマパーティションをレプリケーションしています」で止まってしまうのです。。

Dcpromo.logを見てみます。
そこにはこんなエラーが

Error value: セキュリティ パッケージ固有エラーが発生しました。 1825
Error value: このドメインのドメイン コントローラーが見つかりません。 (1908)

とりあえずこれらの情報で何か情報がないかググりましょう。
そうするとMicrosoft社からこんな公開文書が出ています。
Active Directory のインストールは、「NTDS 設定オブジェクトの作成」の段階で失速します。
http://support.microsoft.com/kb/2737935/ja

要約すると
親ドメインAdministratorと子ドメインAdministratorのパスワードを一致させておくと
子ドメインのドメインコントローラ追加ができない場合があるというものです。

確かに検証環境ですべてのコンピュータの管理者のパスワードはすべてP@ssw0rdで統一していて
まさにこれだ!と思いました。(ちょっとログの出方は違うけどという一抹の不安がありましたが…)

そして管理者パスワードを変えて再度挑戦。
→結果変わらず。一抹の不安的中でした。。

そして私は思いました。
なんだよこれ。
こんなところでつまずきたくないんだよ。
知りたいのはこんなことじゃないんだよ。

しかしそんな風に考えてしまっては問題の解決は行えません。
なので少し時間を置きました。

ログには「ドメインコントローラが見つからない」と記載されています。
じゃあ実際にパケット見てやろうじゃないの!

あれ。名前解決にDNSじゃなくてNetBIOSを使用している。。
なんでだ?

※ここではNetBIOSについて詳しくは触れません。以下のリンクで詳しく知ることができます。
http://www.monyo.com/technical/windows/msnet/msnet1.html

NetBIOSは古いプロトコルで同一セグメントで使用されることを想定しているプロトコルです。
今回のネットワーク構成ではセグメントが分かれているので、子ドメインコントローラから
親ドメインコントローラに対してNetBIOSでの通信はうまくいくはずがありません。

問題は
なぜDNSを使用せずにNetBIOSで名前解決を行う動きになってしまったのか
ということになります。

NetBIOSの代表的な使用のされ方はログオンする際です。
「ドメインのNetBIOS名\ユーザーアカウント名」と記載してパスワードを入力し、
資格情報として送信することが多いのではないでしょうか。

したがって子ドメインを作成するときに入れる資格情報という点に着目して、Windows Server 2008R2 と Windows Server 2012R2 を比較してみます。

あれ、あれれ?

そうなんです。Windows Server 2012R2 では自分でドメインを指定して資格情報を入力しなければいけません。
そして自然に下記のように「ドメインのNetBIOS名\ユーザーアカウント名」と入力してしまうんですね。

おそらく資格情報として送信した情報からドメインコントローラーを見つける作業が行われるのでしょう。 (それが先ほどのパケットによって見て取れたNetBIOSによる名前解決です)

回避策としては資格情報をユーザー名に

「ユーザーアカウント名@ドメイン名」(例: administrator@test.local)

として記載してあげれば、しっかり DNS を使用して名前解決が行われるので、セグメントが分かれてようが関係なしにドメインコントローラを見つけることができ、この問題は発生しません。

スポンサーリンク

Comments

  1. luckystrikeyoko より:
    2020-02-03 7:52 pm

    こんにちは。同じ環境で同様の事象が出て困ってたところこの記事にたどり着きました。
    FWを介していたので全ポート開放したりして…
    おかげ様で助かりました(^^)

    返信
タイトルとURLをコピーしました