あまりWindowsServerには近寄らずに生きてきた千歳です。
基本的にWindowsは、見た目簡単そうにしておいて、細かいことをしようとすると、設定が面倒。その上壊れると原因が分からず復旧がむずかしい(印象)のです。
クライアントとしてのWindowsは、その互換性を維持しながら発展してきたところに、多大な評価はしているのですが、サーバーはそんなこんなです。
さて、ここから先は仮想マシンにぶち込んだ2台のWindowsServerの話です(と言うことになっています)。
先に運用していたServer。こちらにはActive Directoryが設定されており、プライマリとして動いておりました。これを先鯖と呼称しましょう。
後からテスト用にインストールしたWindowsServer。これは、先鯖と信頼関係にあるActive Directoryを設定し、セカンダリとして運用します。後鯖と呼びましょう。
当然、インストールし、正しく設定すれば、先鯖と同期が取れ、後鯖でも同様の設定を見ることができます。
普通の話です。
所が、何の因果か、先鯖のファイルシステムがおかしくなってしまいました。
バックアップもフワフワで、正しく書き戻るか分かりません。ま、実験用の仮想マシンですから、良くある話です。ええ、何考えているんだか分かりませんが、良くある話です。セットアップした後は、壊れないと思ってるんですかね!!!!
スナップショットが取ってあるということで、これでロールバックすることになりました。
サクッと先鯖は元に戻ったので、めでたしめでたし。と言うことになりました。
さて、ここで問題です。
先鯖は、後鯖と信頼関係を結んだなんて事実を、綺麗さっぱり忘れてしまったのです。
後鯖は、そんな事実を受け入れられず、先鯖を信じて止まないのです。
さて、問題は、こんなことに気付かず、運用を続けていたって事ですね。
責任者出てこい!
サーバー同士は通信を行っていませんが、クライアントは先鯖に対して接続していればログインできるので、それに気付きません。
後鯖は、最後に同期を取った時点までの情報を持ったままなので、これまた誰もそれに気付きません。
そりゃ気付きませんね(笑) って、笑じゃねぇんだよ!
時期が過ぎ、このテストサーバーにユーザーを追加することになりました。
先鯖にユーザーを増やしましたが、後鯖のリソースが利用出来ません。
ようやく問題発覚です。
後鯖のサーバー管理画面を見てみると、Active Directoryの設定を見ることすら出来ません。
“対象のプリンシパル名が間違っています”
という大変わかりやすエラーメッセージが表示されます。
トップダンサーか!
プリンシパルとは「主要な」とか「第一の」という意味なので、この場合、プライマリのサーバーが見えないとか、認証が通らないという場合に表示されるエラーのようです。
一般的にサーバー間の時刻が大きく違ったりしても出るようです。
ドメイン コントローラーによって提供されたサービス チケットを、ソース ドメイン コントローラーが暗号化解除しない場合に発生
強制的に同期を取ったり、リセットすることも可能なようですが、今回は「一度も信頼関係を結んだ覚えがない」サーバーと、「信頼を結んだまま信頼している」サーバーとの組み合わせです。
結果として一度も信頼してないという事になります。
結論としては、後鯖のActive Directoryを消して、改めてインストールして、信頼関係を結ぶというのがゴールになります。
ですが、消そうにも何しようにも”対象のプリンシパル名が間違っています”エラーが表示されてしまいます。
コマンドでも何でもこのエラーが表示されます。
アンインストールとか、降格とかそういうレベルじゃなくて、何やってもエラーという感じです。
とは言え、長いこと動いていると後鯖上のファイルを開いたりしていて、簡単にサーバーを落とすことも出来ません。
まー、できる範囲でやってみるか~。と言うわけで、アンインストールできないActive Directoryの前に、DNSサービスをアンインストールしてみました。
これはサクッとアンインストールできました。
再起動してみると、ログイン出来ません。
あっはっは。DNSが止まったことで、サーバーのアカウントを承認する先が見えなくなってしまったようです。
これは困りました。接続先ユーザーに「\Administrator」を指定して、ローカルユーザーでログインしようとしても弾かれます。
これはさすがにキモが冷えました。
いろいろググってみた結果、LANを抜いてドメインから外れてログインしろとのことでした。あー、結局こうなるのね~!
(もし、もう二度とログインできないサーバーになってしまったら、最初から作り直しですし、更新されたファイルをなんとかしなければなりません)
ネットワークを切って再起動。無事にログインできました。
この状態だと、Active Directoryを降格+アンインストールが出来ました。
恐らく、最初からネットワークを切って作業すれば、サクッとActive Directoryをアンインストールできたのだと思います。ただ、なんだかんだ使ってるサーバーなら、切り離したくないですよね。
ネットワークに再接続し、ドメインへ再参加。
Active Directoryをインストールしたら、今までの苦労が何だったのかと言うほど簡単に同期を取ることが出来ました。
いやー、参った参った。
と言うわけで、サーバーは怖いね、という話でした!
>トップダンサーか!
ワロタw
NTドメイン以来窓鯖さわってないからなぁ・・・
そういえば信頼関係とかあったねぇ
当時はPDCとBDCだったけどドメインをADに変えちゃったから訳わからんですね(^^;
▼omoteさん
WindowsServerが好きな人と、大嫌いな人に分かれる気がしますw
Windows一筋の人は、それ以外がキライっぽいですよね~
基幹のベンダーさんが持ってくるので窓鯖は一応使ってます
ただしAD使ってないですけど
2012ではサインアウトするのに苦労したなぁ…w
▼omoteさん
最近はAD使わないところも多いみたいですね。
別途シングルサインオンだけ使ったりして。
あー、私も窓8初代で同じことを…
同期の動きがよくわかってないと怖いですよね~、昔NTドメインから移行させてましたの思い出しましたw
▼Carib_MSIPさん
なんか偏見ですけど、ドメイン使わなくて良いのに… と思うところほど、無理してドメイン導入している気がしますw
端末がひとりに1台あてがえる状況ならばADはそれほど要らないと思いますね
ユーザ(メンバー)が,複数の端末に対して日替わりで入れ替えて使う状況ならばADや移動プロファイルは便利かな….
その時は完全に別のネットワークポリシーになりますね(^^;
▼omoteさん
本当にその通りですね。
フリーデスクや、フリーマシンのような環境だと、必須かと思いますが。
一般のオフィスだとねぇ…