Active Directoryの移行は、Windows環境でスムーズにユーザー認証やグループポリシーを運用するうえで極めて重要です。しかし実際には、移行の過程でログイン不可能になったり、レプリケーションが機能しなかったりと、数多くのトラブルが発生することがあります。その原因の多くはDNS設定やFSMOロールの移行手順などに起因し、しかも複数のサーバー間でのレプリケーションにズレがあると思いがけない不具合に直面する場合があります。
ドメインコントローラー移行でよくある問題
ドメインコントローラー(以下、DC)の移行では、SambaベースのDCを利用していた環境からWindows ServerベースのDCへ切り替えるケースがあります。特に以下のような段階的手法をとる場合が多いでしょう。
- 一時的にWindows 2008 R2サーバーをFSMO(5つの運用マスター)を持つDCに昇格
- 次にWindows 2016サーバーへFSMOロールを移行し、運用を継続
- その後、最終的にWindows 2022サーバーへ追加導入あるいはロール移行
ところがDNSをWindows 2016サーバーに切り替えた途端、ユーザーがドメインログインできなくなるトラブルが起きる場合があります。こうした事象は、移行時のレプリケーション設定やDNS参照先の不備、もしくはFSMOロールの移行不完全に起因していることが多いです。
Windows 2016サーバーがPDCエミュレーターとして認識されない
実際に移行後、dcdiag
コマンドで確認すると「Windows 2016サーバーがPDCエミュレーターとして正しく機能していない」といったエラーが表示されるケースがあります。PDCエミュレーターはドメイン全体のパスワード変更の同期や時刻同期など、数多くの重要機能を担うため、これが原因でユーザー認証が失敗し、ドメインログイン不可に陥ることも珍しくありません。
DNS切り替えで発生するトラブルとその対策
Windowsドメイン環境ではDNS設定が非常に重要です。特にDCを段階的に切り替えていく際には、各DCやメンバーサーバー、クライアントがどのDNSサーバーを参照するかを明確にしないと、多くのトラブルを招きます。
DNS参照設定を再確認する
優先DNSサーバーの設定
Windows 2016サーバーがDNSサーバーの役割を担う場合は、次のようにネットワークアダプターのTCP/IP設定で“優先DNSサーバー”を自分自身のIPアドレスに設定する必要があります。
- 例:Windows 2016サーバーのIPアドレスが
192.168.1.10
なら、優先DNSサーバーも192.168.1.10
にする - 代替DNSサーバーには、別のWindows DCやルートDNSを指定するなど冗長化を図る
DNSサーバーが複数存在し、どれを最優先とするか混乱が生じると、クライアントPCや別のDCから見ると名前解決に失敗する状況が生まれやすくなります。
正引き・逆引きゾーンレコードの確認
DNSゾーンに登録されたレコード(ホストAレコード、PTRレコードなど)が正しく設定されているかを確認します。特に次の点に注意が必要です。
- 各DCのホスト名がIPアドレスに正しく紐づいているか
- PTRレコードが誤ったIPアドレスを指していないか
nslookup
で正引きと逆引き両方をテストし、解決が成功するか
もし誤ったレコードや重複したホスト名がある場合は、DNSマネージャーから修正を行うか、動的更新の設定を見直します。
レプリケーション状況のチェック
SambaベースのDCを長く運用していた環境では、Windows DCへの移行時にレプリケーションが途中で止まってしまうこともあります。Active Directoryはレプリケーションが前提となるため、一部のDCだけが最新情報を持っていても意味がありません。全てのDC間で同一の情報を保つ必要があります。
repadminコマンドによるレプリケーションテスト
Windows Serverには、レプリケーション状態を確認するためのコマンドラインツールrepadmin
が用意されています。代表的なコマンドは以下の通りです。
repadmin /showrepl
repadmin /replsummary
/showrepl
:各ドメインコントローラーに対して、どのサーバーとどのパーティションがレプリケーションされているかを一覧表示/replsummary
:複数のドメインコントローラー間のレプリケーションエラー数や成功率をまとめて表示
エラーが出ている場合は、どのDC間でトラブルが発生しているか、またはどのディレクトリパーティション(System、DomainDnsZones、ForestDnsZonesなど)に問題があるのかを詳細にチェックしましょう。
Samba DCからのレプリケーションに関する注意点
もしSamba DCがまだドメイン内に存在し、そのままWindows 2016サーバーにFSMOロールを移行した場合は、Samba DCとのレプリケーションパスが正しく維持されているか確認します。Sambaのバージョンや設定によっては、レプリケーションが正常動作しないケースも考えられます。
- Samba側の
/etc/samba/smb.conf
でのDNSフォワーダ設定や、Kerberos設定(krb5.conf)を見直す - Windows DC側でSamba DCを“古いサーバー”として認識しており、レプリケーションパートナーから除外されていないか
必要に応じて、Samba DCを除籍(ドメインコントローラーから降格後、ADから削除)し、Windows DCのみの状態に整理することを検討してください。
FSMOロールの確認・移行
Active Directoryでは5つのFSMO(Flexible Single Master Operations)ロールが存在します。
- スキーママスター
- ドメインネーミングマスター
- RIDマスター
- PDCエミュレーター
- インフラストラクチャマスター
このうち、PDCエミュレーターは時刻同期やパスワードの即時レプリケーションなど、ドメイン運用の核となる役割を持つため、特に綿密な移行が必要です。
FSMOロールの現状を確認する
GUIツール(Active DirectoryユーザーとコンピューターやActive Directoryドメインと信頼関係など)を使う方法もありますが、CLIから確認する場合はnetdom
コマンドが便利です。
netdom query fsmo
このコマンドを実行すると、現在の5つのロールがどのサーバーに割り当てられているか一覧できます。移行のつもりが実行されていない場合や、中途半端に途中で失敗した場合は、FSMOロールが古いサーバーに残っているケースがあります。
強制的なロール移行
何らかの理由でロール移行が途中で失敗した、もしくはPDCエミュレーターが正しく機能しなくなったような場合、強制的にロール移行を行う手段もあります。GUIから操作する場合、Active Directoryユーザーとコンピューターを開き、ドメインを右クリックして「操作マスター」を選択し、移行先サーバーを指定して“今すぐ移動”などを行います。またはntdsutil
コマンドを使用して強制的にロールを移行する方法もあります。
特にPDCエミュレーターの役割がうまく移行されていないままクライアントがログインしようとすると、認証に関わるトラブルが続出する可能性があります。移行作業後はnetdom query fsmo
で再確認し、またdcdiag
でも問題が報告されていないかチェックしましょう。
DCDiagを活用したトラブルシューティング
Active Directoryのヘルスチェックにはdcdiag
コマンドが大いに役立ちます。dcdiag /c /v
とオプションをつけることで、下記のように詳細なテスト結果を表示できます。
- DNSの健全性
- NetLogonの確認
- レプリケーション関連のテスト
- グローバルカタログの動作状況
- FSMOロールの確認
もし「PDCエミュレーターを参照できない」「DNSエラー」「LDAP接続エラー」などが報告されている場合は、それぞれの箇所について原因を追究する必要があります。とくにPDCエミュレーター関連のエラーは時刻同期やNetLogonに悪影響を及ぼし、結果的にユーザーのログインに失敗する場合が多いため、注意が必要です。
時刻同期の重要性
ドメイン環境では、時刻同期のズレがあるだけで認証に失敗しやすくなります。WindowsではPDCエミュレーターが外部のNTPサーバー(例えばNTP poolなど)と同期し、それをドメイン内の他のサーバーやクライアントが参照する仕組みが一般的です。
Samba DCが残っている場合の注意
Samba DCもNTPを有効にしている場合、どちらを“親”にするか不明確になると時刻のズレが生じる可能性があります。移行先のWindows 2016サーバーを最終的なPDCエミュレーター兼タイムソースとする場合は、Samba DC側でのNTP設定を停止または同期先を切り替えるなどの処置を行いましょう。
ネットワークとファイアウォールの見直し
DC間でのレプリケーションやDNS参照が不調に陥る原因として、ネットワークやファイアウォールの設定を見落としがちです。AD関連で必要なTCP/UDPポートをブロックしていると、同期が失敗してしまいます。代表的なポートは下表の通りです。
プロトコル | ポート番号 | 用途 |
---|---|---|
TCP | 53 | DNS |
UDP | 53 | DNS |
TCP | 88 | Kerberos |
UDP | 88 | Kerberos |
TCP | 135 | RPC(リモートプロシージャコール) |
TCP | 389 | LDAP |
UDP | 389 | LDAP |
TCP | 636 | LDAPS |
TCP | 445 | SMB(CIFS) |
UDP | 123 | NTP |
特にRPCやLDAPがブロックされているとDC間の通信が止まり、レプリケーションエラーに直結します。VLANや複数サブネットを跨いで運用している場合も、ネットワーク機器(ルーター、L3スイッチ、ファイアウォール)の設定を隅々までチェックしましょう。
最終手段:DCの再昇格と再降格
移行フェーズでどうしても不具合が解消しない場合、Windows 2016サーバーを一度DCから降格し、再度昇格する方法が取られることもあります。これは最終的な解決策となる可能性がある一方、ドメイン内の役割の再設定やDNSへの再登録などが必要になるため、十分な計画とバックアップが重要です。
降格・再昇格の手順
- Windows 2016サーバー上でActive Directoryドメインサービス(AD DS)の役割を削除(降格)
- サーバーを再起動し、DCではない状態を確認
- Active DirectoryインストールウィザードまたはServer Managerから再度DCに昇格
- DNSサーバー役割の再度設定、FSMOロールを取得し、
netdom query fsmo
やdcdiag
で確認
この一連の作業で、以前の不整合な状態をリセットできる可能性があります。ただし、降格時に“強制降格”を行うとAD内に古いオブジェクトが残る可能性もあるため、metadata cleanup
で不要なオブジェクトを削除する作業が必要になることも念頭に置いてください。
段階的移行のポイント
今回のケースのように、Samba DC → Windows 2008 R2 → Windows 2016 → Windows 2022という段階を踏む場合、各フェーズごとに完全にレプリケーションが安定し、FSMOロールが正しく移行したことを確認してから次に進むのが理想です。急いで複数のロールを同時に移そうとすると、移行プロセスが複雑になり、問題箇所の切り分けも難しくなります。
移行チェックリストの例
以下のようなチェックリストを作り、段階的に作業を進めることをおすすめします。
- DNS設定確認
- 新たに立ち上げるサーバー自身の優先DNSは自分のIPアドレスか
- 他DCを参照する代替DNSは正しく機能しているか
- レプリケーション動作確認
repadmin /replsummary
でエラーがないか- Samba DCが残っている場合は、Samba側のログもチェック
- FSMOロール移行確認
netdom query fsmo
で意図したサーバーがPDCエミュレーター含め全ロールを保持しているかdcdiag /c /v
でロール関連のエラーが出ていないか
- 時刻同期確認
- 移行先のPDCエミュレーターは外部NTPサーバーと同期しているか
- ドメイン参加している他のサーバーやクライアントも同じ時刻になっているか
- イベントログ確認
- 「システム」や「ディレクトリサービス」「DNSサーバー」「ファイルレプリケーションサービス(またはDFSレプリケーション)」などに警告・エラーが出ていないか
これらを確実にチェック・修正しながら次の段階に移行することで、大規模なトラブルを回避しやすくなります。
イベントビューア(イベントログ)を活用する
Windowsサーバーのイベントビューアには、Active DirectoryやDNS、NetLogon関連のエラーや警告が詳細に記録されています。問題が起きた際はコマンドラインツールだけでなく、イベントログを併用して原因を特定するのが最も効果的です。特に下記ログは頻繁にチェックしましょう。
- Directory Service
DCに関するコアなエラーや警告がここに記録される - DNS Server
DNSレコードの更新失敗や動的更新エラーが発生するとき - System
ネットワークのポート問題、ドライバ関連などの汎用的なエラーが含まれる - File Replication Service (FRS) または DFS Replication
SYSVOLやNETLOGONの共有がうまく同期されない時にエラーが記録される
必要に応じて、詳細ログやデバッグロゴングを有効にして情報を増やすことで、DNSやレプリケーション障害の原因をより明確にできます。
まとめ:確実な検証と段階的な実施が成功の鍵
SambaベースのドメインコントローラーからWindows ServerのActive Directory環境に移行するのは一筋縄ではいきません。DNS設定とFSMOロール移行の両輪を確実に行う必要があり、さらにレプリケーションを通じてドメイン情報が全サーバーで整合性を保っていることを逐次検証することが重要です。
特にPDCエミュレーターの移行失敗や時刻同期の不備は、ユーザー認証にダイレクトな影響を及ぼすため、移行後すぐに「ユーザーがログインできない」といった事態を招きがちです。
段階ごとにdcdiag
やrepadmin
、netdom
コマンドなどを活用し、不整合が残っていないか丹念に確認しましょう。加えて、イベントビューアの記録を見逃さず、エラーや警告があれば早期に潰しておくことで、安定したActive Directory環境を築くことができます。
コメント