MENU
  1. ホーム
  2. Active Directory
  3. ドメインリネーム未完了でセカンダリDCの昇格が失敗する原因と対処法

ドメインリネーム未完了でセカンダリDCの昇格が失敗する原因と対処法

Active Directory

企業や組織のIT環境において、Active Directoryドメインコントローラーの追加や管理は非常に重要な作業です。しかし、セカンダリドメインコントローラー(以下、セカンダリDC)の昇格(プロモーション)が何らかの理由で失敗してしまうと、業務に大きな影響が及ぶ可能性があります。今回は、ドメインリネーム(名前変更)が中途半端な状態に残っていることで昇格が失敗するケースを中心に、原因と対処法について詳しく解説します。

目次
  1. セカンダリDCの昇格が失敗する主な原因
    1. 1. ドメインリネーム処理が進行中
    2. 2. NTDS Settingsの権限不足
    3. 3. その他の一般的な要因
  2. ドメインリネームの進捗状況を確認する手順
    1. 1. Rendomコマンドの実行状況を確認
    2. 2. イベントビューワーでの確認
    3. 3. ドメインコントローラー間の同期状態を確認
  3. セカンダリDC昇格失敗を解消するためのステップ
    1. ステップ1:ドメインリネームを完全に完了させる
    2. ステップ2:レプリケーションの正常化
    3. ステップ3:セカンダリDCの昇格に適切な権限を持つアカウントを使用
    4. ステップ4:NTDS Settingsオブジェクトの存在・権限を確認
  4. その他の一般的なチェックポイント
    1. 1. DNSの正引き・逆引き設定
    2. 2. IPv6設定の確認
    3. 3. サーバーのイベントログの確認
  5. ドメインリネームが未完了の場合の具体的な対処例
  6. まとめ:ドメインリネームの完結が鍵

セカンダリDCの昇格が失敗する主な原因

セカンダリDCを昇格しようとした際に「Active Directory Domain Services could not create the NTDS Settings object … “The Directory Service cannot perform the requested operation because a domain rename operation is in progress.”」というエラーが表示されて失敗するケースがあります。このエラーが出る背景には、以下のような原因が考えられます。

1. ドメインリネーム処理が進行中

ドメインリネーム(ドメインの名前変更)を行う際には、「rendom.exe」コマンドを使用して複数のステップを経る必要があります。ドメインリネームは、Active Directory内に登録された情報の多くを書き換える大規模なプロセスです。そのため、途中で処理を中断してしまったり、すべてのドメインコントローラーへ変更が反映される前に他の操作を行ったりすると、リネームが“中途半端な状態”で残る場合があります。

中途半端な状態とは、以下のような状況を指します。

  • 一部のドメインコントローラーでは新しいドメイン名に書き換えが完了しているが、他のドメインコントローラーではまだ作業が続行中
  • リネーム作業の中止(roll back)が正しく行われず、rendomコマンドによるエラーが残っている
  • ドメインリネーム後のクリーンアップ処理(rendom /cleanなど)が実行されていない

こういった状態のままセカンダリDCを昇格しようとすると、Active Directoryの管理下で必要なオブジェクト(NTDS Settingsオブジェクトなど)を正常に作成できず、上記のエラーが発生します。

2. NTDS Settingsの権限不足

ドメインコントローラーの情報を管理する「NTDS Settings」オブジェクトには、DC間のレプリケーション設定など、Active Directoryの重要な情報が集約されています。セカンダリDCを昇格するときは、新しいドメインコントローラー用にNTDS Settingsオブジェクトが作成される必要があります。

しかし、昇格を実施するユーザーアカウントが十分な権限を持っていない場合、またはドメイン管理者グループやEnterprise Adminなど適切なグループに属していない場合、NTDS Settingsオブジェクトの作成・編集に失敗します。さらに、既存のNTDS Settingsオブジェクトが何らかの理由で正しく作成されていない・アクセスできないなどの問題があっても昇格エラーとなります。

3. その他の一般的な要因

セカンダリDC昇格が失敗する要因はドメインリネームだけではありません。例えば以下のような問題も考えられます。

  • ADレプリケーションが正常に行われていない
  • DNS設定が不正(特にプライマリDCやDNSサーバのアドレス設定ミス)
  • ドメインコントローラー同士の時刻同期がずれている
  • ネットワーク帯域不足や通信障害

これらの要因によって昇格ができない場合もあるため、総合的なトラブルシューティングが必要になります。

ドメインリネームの進捗状況を確認する手順

セカンダリDCの昇格エラーが「ドメインリネームが進行中」と関連している可能性がある場合、まずドメインリネームの進捗をチェックしましょう。一般的には以下の手順を踏みます。

1. Rendomコマンドの実行状況を確認

ドメインリネームに使用するrendom.exeコマンドには、いくつかのサブコマンドがあります。代表的なものを表にまとめます。

コマンド説明
rendom /listドメイン構成をXMLファイルに出力する
rendom /upload変更内容をADにアップロードし、各DCに対してドメインリネームの準備を指示する
rendom /prepareドメインリネームを準備状態にする
rendom /executeドメインリネームを実行し、新しいドメイン名を適用する
rendom /endリネーム作業の終了宣言。これを実行しないと最終的なドメインリネームが完了と見なされない
rendom /clean旧ドメイン名に関する参照など、不要な情報をADからクリーンアップする

ドメインリネームが中途半端に残っている場合、特にrendom /endrendom /cleanが実行されていない可能性があります。まずはrendom /listなどを実行し、現在の状態を確認しましょう。

2. イベントビューワーでの確認

Windows Serverの「イベントビューア(イベントビューワー)」で、ドメインコントローラーのイベントログを確認すると、ドメインリネーム関連のエラーや警告が記録されている場合があります。特に「Directory Service」や「System」ログを中心に調べ、以下の点をチェックしてください。

  • ドメインリネームに関連するID(例: 1458, 1463 など)が発生していないか
  • リネームの完了を示すイベントが全DCで記録されているか

ドメインリネームが完全に完了していないことを示すエラー・警告があれば、対策が必要です。

3. ドメインコントローラー間の同期状態を確認

リネーム作業が完了するには、すべてのドメインコントローラーへ新しいドメイン名が反映される必要があります。repadmin /replsummaryrepadmin /showreplを使って、DC間のレプリケーションステータスを確認すると効果的です。同期に失敗しているDCがあれば、その原因を特定し、まずレプリケーションを正常化させることが大切です。

セカンダリDC昇格失敗を解消するためのステップ

もしドメインリネームが完了していないことが原因でセカンダリDCの昇格がうまくいかない場合、次のような手順で問題を解決します。

ステップ1:ドメインリネームを完全に完了させる

未完了または不完全なドメインリネームを明確に把握したうえで、rendom /executerendom /endrendom /cleanを適切な順序で実行し、リネームを完了させます。もしリネームを取り消す場合は、過去に取得したバックアップや前ステップのスナップショットを利用し、rendom /execute前であれば元に戻すことが可能です。

ただし、ドメインリネームをロールバックする手順は複雑なケースが多いため、慎重に作業を進めてください。上位権限を持つアカウント(Enterprise AdminやSchema Adminなど)で操作を行い、実行後はイベントビューアでエラーの有無を確認しながら作業をすすめることが重要です。

ステップ2:レプリケーションの正常化

ドメインリネーム作業が完了したら、AD Sites and Services(サイトとサービス)で各DCのNTDS Settingsが正しく表示されているか確認しましょう。レプリケーションステータスが「正常」になっていない場合は以下の点を確認します。

  • DNSサーバへの登録状況(プライマリDC・セカンダリDCのホスト(A)レコード、SRVレコードが正しいか)
  • 防火壁の設定やネットワーク環境において、LDAPやRPCの通信が遮断されていないか
  • ドメインコントローラーの時刻同期(特にPDCエミュレーターの時刻と一致しているか)

すべてのドメインコントローラーが正常に同期されていることを確認して、エラーがあれば修正してください。repadmin /showreplコマンドで各DCのレプリケーション詳細を確認すると、問題発生箇所を特定できます。

ステップ3:セカンダリDCの昇格に適切な権限を持つアカウントを使用

セカンダリDCを昇格する際は、一般のドメインユーザーではなく、十分な権限を持つアカウントを使用する必要があります。具体的には以下のグループのいずれかに所属するアカウントが望ましいでしょう。

  • Domain Admins
  • Enterprise Admins
  • Schema Admins(特定のスキーマ変更が伴う場合)

これらの権限を持つアカウントでサーバーマネージャーやdcpromo(旧来の手法)またはPowerShellコマンドレット(Install-ADDSDomainControllerなど)を用いて昇格を実行すると、NTDS Settingsオブジェクトの作成・編集が問題なく行われる可能性が高まります。

ステップ4:NTDS Settingsオブジェクトの存在・権限を確認

ドメインリネームが完了し、レプリケーションも正常化しているのに昇格に失敗する場合は、NTDS Settingsオブジェクトが壊れていないか、あるいは適切なアクセス権(ACL)が付与されているかをチェックしましょう。手順は以下の通りです。

  1. 「サーバーマネージャー」→「ツール」→「Active Directory サイトとサービス」を開く
  2. 対象のサイト内にあるサーバーオブジェクトを展開して、NTDS Settingsオブジェクトが存在するか確認
  3. オブジェクトのプロパティを開き、セキュリティ タブからアクセス権限をチェック

もしオブジェクトがない、またはセキュリティ設定が通常と異なる場合は、権限を修正し、再度昇格を試みます。

権限の修正例

以下はNTDS SettingsオブジェクトのACL設定画面の一例です。昇格を実行するアカウントかグループに「フルコントロール」もしくは「特定の必要な権限」が付与されていることを確認し、不足があれば追加します。

グループ・アカウントアクセス権
Domain Adminsフルコントロール
Enterprise Adminsフルコントロール
ほかの必要アカウント(昇格実行者)必要に応じてフルコントロールまたは適切な権限

その他の一般的なチェックポイント

ドメインリネームに限らず、セカンダリDCの昇格が失敗する場合にチェックしておきたいポイントを整理します。

1. DNSの正引き・逆引き設定

ドメインコントローラーとして動作させるサーバーが、正しくDNSに登録されていることは必須です。特に正引き(Aレコード)と逆引き(PTRレコード)が正確に登録されているか、nslookupping -aなどを利用して確認します。DC同士の名前解決ができないと、昇格プロセス中に必要な通信が失敗します。

2. IPv6設定の確認

Windows ServerはIPv6を標準で有効にしており、Active DirectoryやDNSがIPv6アドレスを使用する場合があります。ネットワークでIPv6をサポートしていない環境や設定が不十分な場合、意図せずIPv6経由での通信が試行され、失敗することがあります。不要であれば無効化する、あるいは正しく設定して通信を成功させるように調整しましょう。

3. サーバーのイベントログの確認

昇格に失敗した際は、ドメインコントローラーとして設定しようとしたサーバー側やプライマリDC側のイベントログにも注目してください。特に「Application」や「Directory Service」に、より具体的なエラーメッセージが記録されていることがあります。

ドメインリネームが未完了の場合の具体的な対処例

ここでは「ドメインリネームが未完了である」ことが原因で昇格失敗していると判明した場合の、具体的な対処例を紹介します。

  1. ドメインリネームの確認
    まず管理用のサーバー(またはドメイン管理者権限を持つワークステーション)でコマンドプロンプトまたはPowerShellを開き、rendom /listを実行します。リネーム用のXMLファイルが更新されていない、あるいは古いドメイン名が記載されている場合は、リネームプロセスが最後まで完了していない可能性が高いです。
  2. 未完了ならばリネームを完遂またはロールバック
    状況に応じて、以下のいずれかを行います。
    • ドメイン名変更を継続する(完了させる)場合:
      rendom /executerendom /endrendom /clean の順でコマンドを実行し、正しく各DCに情報が反映されているか確認します。
    • ドメイン名変更を取り消す場合:
      rendom /executeを実行していない状態であれば、変更前の構成ファイルに戻すなどのロールバック手順を踏みます。もし既にrendom /executeを実行してしまっている場合は、詳細な調査と手動での復旧が必要になるケースがあります。
  3. レプリケーション状況とイベントログの再チェック
    リネーム完了後にrepadmin /replsummaryやイベントビューワーで再度エラーが出ていないか確認します。すべてのドメインコントローラーにリネームの反映が完了し、エラーが消えていれば作業続行可能です。
  4. セカンダリDCの昇格リトライ
    ドメインリネームが完全に完了したら、必要な権限を持つアカウント(例:Domain Admins)で再度セカンダリDCの昇格を実施します。
    • サーバーマネージャー → 「役割と機能の追加」 → 「Active Directoryドメインサービスのインストール」
    • ウィザードで「既存のドメインにドメインコントローラーを追加する」を選択
    • 必要なオプション(グローバルカタログなど)をチェックし、インストールウィザードを完了
    正常に昇格が完了し、イベントログ上でエラーが報告されなければ問題解決です。

まとめ:ドメインリネームの完結が鍵

ドメインリネームはActive Directoryにおける大規模な設定変更であり、そのプロセスが中途半端に残っていると、セカンダリDCの昇格など他の操作に支障をきたす可能性があります。特にrendom /endrendom /cleanなどのコマンドが実行されていない状態で作業を進めると、昇格時に「ディレクトリサービスは要求された操作を実行できません。ドメインリネームが進行中です。」というエラーが起きやすくなります。

問題が起きたときは、まずドメインリネームの完了状況や各ドメインコントローラーのレプリケーション状態を徹底的にチェックしましょう。ドメインリネームが終わっていないなら適切な手順を踏んで完遂、あるいはロールバックを行い、環境をクリーンな状態に戻すことが先決です。その後、十分な権限を持つアカウントでセカンダリDCの昇格を行えば、スムーズに追加ドメインコントローラーを構築できるでしょう。

Active Directory
Active Directory セカンダリDC ドメインリネーム 昇格失敗

コメント

コメントする

目次
  1. セカンダリDCの昇格が失敗する主な原因
    1. 1. ドメインリネーム処理が進行中
    2. 2. NTDS Settingsの権限不足
    3. 3. その他の一般的な要因
  2. ドメインリネームの進捗状況を確認する手順
    1. 1. Rendomコマンドの実行状況を確認
    2. 2. イベントビューワーでの確認
    3. 3. ドメインコントローラー間の同期状態を確認
  3. セカンダリDC昇格失敗を解消するためのステップ
    1. ステップ1:ドメインリネームを完全に完了させる
    2. ステップ2:レプリケーションの正常化
    3. ステップ3:セカンダリDCの昇格に適切な権限を持つアカウントを使用
    4. ステップ4:NTDS Settingsオブジェクトの存在・権限を確認
  4. その他の一般的なチェックポイント
    1. 1. DNSの正引き・逆引き設定
    2. 2. IPv6設定の確認
    3. 3. サーバーのイベントログの確認
  5. ドメインリネームが未完了の場合の具体的な対処例
  6. まとめ:ドメインリネームの完結が鍵