PowerShell DSCを使用して、多数の小さな自己完結型環境の展開を自動化します。これらの環境では、2つのドメインコントローラーを展開し、DSCを使用してドメインなどをセットアップします。これは、一度展開して実行中、ある時点で、2つのDC間のsysvolレプリケーションが機能しなくなります(または機能し始めませんでした)。ログに次のエラーが表示されます。
DFSレプリケーションサービスは、ローカルパスF:\ SYSVOL\domainでSYSVOLを初期化し、初期レプリケーションの実行を待機しています。複製されたフォルダーは、パートナーと複製されるまで、初期同期状態のままになります。サーバーがドメインコントローラーに昇格する過程にあった場合、この問題が解決されるまで、ドメインコントローラーはアドバタイズしてドメインコントローラーとして機能しません。これは、指定されたパートナーも初期同期状態にある場合、またはこのサーバーまたは同期パートナーで共有違反が発生した場合に発生する可能性があります。 SYSVOLをファイルレプリケーションサービス(FRS)からDFSレプリケーションに移行する際にこのイベントが発生した場合、この問題が解決されるまで変更はレプリケートされません。これにより、このサーバー上のSYSVOLフォルダーが他のドメインコントローラーと同期しなくなる可能性があります。
これで、ADSIEditを使用してこれを修正する方法がわかりましたが、それは問題ではありません。これらの環境の展開を自動化するのは、それらを多数展開して同じように構成する必要があるためです。したがって、これを修正するために展開後に各環境に移動する必要はありません。この問題は、この方法でデプロイするすべての環境で発生するため、構成方法に問題があることは明らかです。ですから、私が本当に求めているのは、これを引き起こす可能性のあるアイデアが誰かあるかどうか、または根本原因を見つけるためにどこから始めればよいかということです。
ADの展開は非常に簡単です。最初にDC1を構成し、いくつかのDNSエントリ、いくつかのグループポリシー項目、いくつかのユーザー、グループ、およびOUを追加してから、2番目のDCを追加します。 2番目のDCはこれらすべてのオブジェクトを取得するため、ドメインの最初のコピーは機能しますが、その後はSYSVOLの何も複製されません。
編集
また、展開時に以下のエラーの単一インスタンスID 1202が表示されます。これは、DC promが成功し、ドメインの最初のコピーを取得できることを考えると、奇妙です。
DFSレプリケーションサービスは、構成情報にアクセスするためにドメインコントローラーに接続できませんでした。レプリケーションが停止します。サービスは、60分後に発生する次の構成ポーリングサイクル中に再試行します。このイベントは、TCP/IP接続、ファイアウォール、Active Directoryドメインサービス、またはDNSの問題が原因で発生する可能性があります。
追加情報:エラー:1355(指定されたドメインが存在しないか、接続できませんでした。)
これはDNSの問題だと思います。これらのマシンのプライマリDNSとして127.0.0.1
を使用するのではなく、実際のIPアドレスを使用し、レプリカのIP DCをセカンダリDNSサーバーとして設定します。これは解決策のように思われます。人々は問題を抱えています。これはさまざまな意見で長年にわたって議論されている問題であり、Microsoftでさえ明確な答えはありません。これを参照してください: リンク
質問
DNSサーバーが存在する場所と数に関するMicrosoftのベストプラクティスは何ですか? DCとメンバーでDNSクライアント設定を構成するのはどうですか?
回答
それはあなたが誰に尋ねるかによります。私たちMSは、11年前からこれについて議論してきました。
最初のドメインコントローラーが昇格するときは、そのIPアドレス(ループバックではない)をプライマリDNSサーバーとして使用し、ループバックをセカンダリDNSサーバーとして配置します。
2番目のドメインコントローラーが昇格されると、DNSクライアント設定は次のようになります。
DC1
DC2