DNSサブドメイン_msdcs のアプリケーションパーティション上での確認について
質問
2010年6月29日火曜日 5:09
使用OS:Windows 2003 Standard (SPなし)
【状況】
example.local というドメインでDCを構築した場合、example.local が前方参照ゾーンに自動で作成され、その配下にサブドメイン_msdcs が自動作成されますが、DNSアプリケーションディレクトリをADSIEDITにて参照すると、"DC=_msdcs " というレコードが存在しておりません。_msdcs 配下のdomains、dc、_sites、_tcp、pdc といったレコードは確認が出来ます。また、別に作成した新規ゾーン上で手動にて_msdcsサブドメインを作成すると"DC=msdcs" が作成されています。
【質問】
自動作成された_msdcsサブドメインの場合、アプリケーションディレクトリexample.local に"DC=_msdcs"は作成されないという認識で間違いありませんでしょうか?
また、アプリケーションディレクトリへDC=_msdcs が作成される要因を教えて頂けませんでしょうか?
どなたか御存知の方がいらっしゃいましたら御教示ください。
すべての返信 (15)
2010年6月29日火曜日 8:50 ✅回答済み
阿部です
DCにする際、DNSを自動作成すると別ゾーンとして「_msdcs」が作成され、example.local内に委任の設定がなされた「_msdcs」が存在します。
規定ではDomainDnsZonesにDNSのレコードが存在し、この例で考えると"DC=example.local"内に "DC=_msdcs "は、委任の設定を行っていることにより存在します。
ちなみにForestDnsZonesには"DC=_msdcs.example.local"が存在するはずです。
手動でDNSを作成した場合は、example.local内のサブドメインとして_msdcs.example.localが作成されるはずです。よって、DC=_msdcs というレコードは存在しないことが推測できます。
以上、参考になれば幸いです
MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.spaces.live.com/
2010年7月1日木曜日 3:12 ✅回答済み
チャブーンです。
すでにご納得されているようなので、参考情報として。
_msdcs ゾーンについてですが、私の知る限り次のような実装になっているはずです。
・Windows 2000 ドメインコントローラの Active Directory 統合ゾーンではフォレストルート DNS ゾーン内にできる
・Windows 2003 ドメインコントローラの Active Directory 統合ゾーンでは _msdcs.<フォレストルート DNS ゾーン> が別に作られる(委任のかたちで)
・それ以外の (BIND等でフォレストルート DNS ゾーンを用意した場合)フォレストルート DNS ゾーン内にできる
なんで Windows Server 2003 だけこんな実装になっているのか、ですが、これはアイランド問題(複製関係にある DNS サーバが孤立する問題)と、DNS複製のオーバヘッドを改善する目的でこうなっている、と思いますよ。この話は、過去に別の掲示板で答えたことがあるので、よければ参考にしてください。
ActiveDirectory DNSサーバーで作成される_msdcsドメインについて
2010年6月29日火曜日 9:51
返信ありがとうございます。
以下インラインにて失;致します。
>規定ではDomainDnsZonesにDNSのレコードが存在し、この例で考えると"DC=example.local"内に >"DC=_msdcs "は、委任の設定を行っていることにより存在します。
⇒DC=example.local 内にはDC=_msdcs は存在しておりません。しかし管理コンソールから確認できる_msdcs配下のdomains、dc、gc、_sites、_tcp、pdc は以下のようにDC=example.local内で確認できます。
・DC=_ldap._tcp.~省略~.domains._msdcs
・DC=gc._msdcs
・DC=_kerberos.tcp.dc._msdcs
等々
この状態がデフォルトで正常な状態ではないでしょうか?私が検;をしたところ、別で作ったゾーンへ手動で委任のサブドメイン_msdcsを作成すると、そのゾーンのディレクトリへDC=_msdcs が作成されました。
今回の条件でデフォルトでDC=_msdcsが作成されていないということは動作として適切ではないということでしょうか?
であれば今回の状況はどういった原因から起こりうる可能性がありますでしょうか?
どんなささいな情報でも構いませんので、御教示頂ければ幸いです。。
2010年6月29日火曜日 11:13
阿部です
>⇒DC=example.local 内にはDC=_msdcs は存在しておりません。しかし管理コンソールから確認できる_msdcs配下のdomains、dc、gc、_sites、_tcp、pdc は以下のようにDC=example.local内で確認できます。
>・DC=_ldap._tcp.~省略~.domains._msdcs
>・DC=gc._msdcs
>・DC=_kerberos.tcp.dc._msdcs
これは正しいですよね。DNSの管理ツールではサブドメインとして、_msdcs.example.local が存在している;拠ですよね
Dcpromoを使用してDNSを作成すると自動的に委任設定がされます。
>この状態がデフォルトで正常な状態ではないでしょうか?
この状態とは何を指しているのでしょうか?DNSを手動で作成した場合?それともDcprpmpを使用してDNSをDCと同時にDNSを作成した場合?
上にも書きましたが、DNSを手動で作成した場合は委任はされません。Dcprpmpを使用してDNSをDCと同時にDNSを作成した場合は委任されます。
MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.spaces.live.com/
2010年6月29日火曜日 12:11
ご返信ありがとうございます。
文章が分かりづらく申し訳ございません。
この状態とは、ADの初期構築時に、DCPROMOでDNSとDCを同時作成した場合、ADSIEDITから確認した時に、アプリケーションディレクトリ内のDC=example.local 内にDC=_msdcs が作成されていない状態。のことを言いたかったのです。まとめると、
管理コンソール上:example.local直下に_msdcs がある
ADSIEDITから確認:DC=example.localディレクトリ内にはDC=_msdcs は存在しない。しかし
・DC=_ldap._tcp.~省略~.domains._msdcs・DC=gc._msdcs ・DC=_kerberos.tcp.dc._msdcsは確認できる。
この状態がDCPROMOで作成した場合に正常な状態であるかどうかを確認したいのです。
DC=_msdcs は自動作成されて委任設定がされている状態では必ず作成されるとすると、現状確認が出来ないのには何か考えられる原因といったものはありますでしょうか?
お手数お掛けいたしますが何卒宜しくお願い致します。
2010年6月29日火曜日 12:44
阿部です
DC作成時にDNSを作成するとどうなるか?ということであれば、一番最初にお答えしたように別ゾーンとして「_msdcs」が作成され、example.local内に委任の設定がなされた「_msdcs」が存在します。
>DC=_msdcs は自動作成されて委任設定がされている状態では必ず作成されるとすると、現状確認が出来ないのには何か考えられる原因といったものはありますでしょうか?
これはDcpromoの時にうまくDNSが入らなかったなどが考えられます。ただし、現在の状態はサブドメインとして、_msdcs.example.localが存在していると思いますので、それをexample.localと同レベルでドラッグアンドドロップして別ゾーンにし、example.localから委任設定すれば正常な状態になります。
MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.spaces.live.com/
2010年6月29日火曜日 13:10
ご返信ありがとうございます。
私の環境では、_msdcs.example.local は存在せず、また、_msdcs も委任はされていないようです(アイコンの形状から)。DC構築時に同時にDNSを作成したのではなく、DNSを手動で後からインストールして設定していたかもしれません。。手動で後から設定したとすれば、御教示頂いたとおりmsdcsは委任はされないサブドメインとして作成されるので、DC=example.local 内にはDC=_msdcs は作成されないという現状に合致します。。
阿部様、大変勉強になりました。長々とお付き合い頂きまして誠にありがとうございました。
これからも日々精進を続けます。今後とも宜しくお願い致します。
2010年7月2日金曜日 8:45
チャブーンさん
ご返信頂きましてありがとうございます。
>・Windows 2003 ドメインコントローラの Active Directory 統合ゾーンでは _msdcs.<フォレストルート >DNS ゾーン> が別に作られる(委任のかたちで)
こちらですが、_msdcs が委任されていないサブドメインとしてexample.local 配下に存在する場合も_msdcs.example.local が別に作られるものでしょうか?
検;では作成されないのですが、お客様の環境で_msdcs が委任設定されていないにも関わらず、_msdcs.example.local が作成されているといった状態を確認しております。
よろしければこちらにつきましても御見解を頂けませんでしょうか?
宜しくお願い致します。
2010年7月5日月曜日 3:34
こんにちは。
こっちの情報も参考にして下さい。
http://ap.atmarkit.co.jp/bbs/core/fwin/22906
2010年7月5日月曜日 4:00
チャブーンです。
阿部さんからのコメントと重なりますが、dcpromo コマンド実行時に、DNS 動的更新(書き込み)が可能な DNS ゾーンがちゃんとあればそこに書き込み、存在しない場合に(そのときだけ)ゾーンが作成される、という動作になるはずです。
exampel.local DNSゾーンがちゃんとあり、_msdcsサブドメインも用意してあった、ということなら、用意されたゾーンに書き込まれるのが正常で、それ以外は「なんでそうなったのか調べ直す」必要があるでしょう。
dcpromo実行時には dcprpmo.log とか dcpromoui.log といったログファイルに、インストール状況が記録されるので、状況についてある程度は、確認できます。ですが、DNS ゾーンがどう構成されたか、といった細かい状況が記録されるわけではないので、調べること自体難しいです。
どうしても調べる必要があるなら、MS の有償サポートにご相談ください。
2010年7月5日月曜日 5:32
すみません、質問を少し変えてお聞き致します。
現在サーバーにはID4515のイベントが出力されており、ゾーンが重複して存在している状態です。
最初に作成され、今は読み込まれていないゾーンには、委任を意味するDC=_msdcs がDNSドメインパーティションのサブディレクトリである DC=DomainDNSZones,DC=example,DC=local に存在しています。
また、現在読み込まれているゾーンは委任されていないサブディレクトリ_msdcs が作成されていますが、委任によって作成される_msdcs.example.local も存在しています。
私が思うに、読み込まれていないゾーンはAD初期構築時に同時に_msdcs 委任ありで自動作成されたものであり、このときに_msdcs.example.local が作成され、その後AD追加時に手動によるDNS構築で作成された委任なし_msdcs をもつゾーンが読み込まれたのではと考えております。_msdcs.example.local は独立してデフォルトではCN=MicrosoftDNS,DC=ForestDNSZones,DC=example,DC=local へ;納されるため新しいゾーン情報が読み込まれてもコンソール上に表示されているのではないでしょうか?
実際、_msdcs.example.local 内のsite情報は古いままになっており、更新されていないような状態です。更新はexample.local 内の委任されていない_msdcs にはされています。
そこで質問です。
①上記の予想動作は起こりうる動作ではありますでしょうか?
②委任されていない_msdcs がexample.local 内にある場合、SRV等の更新は_msdcs へされると考えてよろしいでしょうか?(_msdcs.example.localには紐付けされていないと断定できますでしょうか?)
2010年7月6日火曜日 3:48
チャブーンです。
まず、お断りになりますが、public jackさんの Active Directory 環境を、「いわれた範囲だけで『中身を見透かしたように』解説する」ことはできないです。プロのサポートエンジニアはこういうケースで、問題が起こっている状況をイベントログなどから確認して、適切な方法でその問題を解決する、という手法をとるそうです。
私が知る限りですが、2 台目以降のドメインコントローラを追加構成する際、ローカルエリア接続の「参照先DNSサーバ」の設定が正しくない(1台目のドメインコントローラを指していない)場合や、DNSサーバを先にインストールしてゾーンを自分で作ってしまっている、Windows Server 2003 ドメインコントローラと Windows 2000 ドメインコントローラの DNS サーバが混在する環境で適切なゾーンが構成されていない、など、正しくない設定により不必要なDNSゾーンが構成され、既存の DNS ゾーンと衝突状態になることはあります。ですが、public jackさんのケースがどれにあたるのか、ということは、こういった無償掲示板レベルではできません。
私から現状アドバイスできることは、いまのpublic jackさんのドメインコントローラの状態は明らかに問題ですので、したのサポート技術情報をみて、この衝突状態を直してみてください、ということになります。
Windows Server 2003 の DNS サーバー ログにイベント ID 4515 が記録される
トラブルがなぜ起こったのか、については、おそらく追加ドメインコントローラのインストール方法に問題があった、ということはできますが、事細かに解説するためには、ものすごく細かい状況ヒアリングが必要です。で、それだけのヒアリングをしても、結果的には分からなかった、ということも少なくないのです。
キツイ物言いになるかもですが、「なぜこんなことが起こったのか」を事細かに推測されるより、次からこうならないようにするために、正しい追加ドメインコントローラのインストール方法を確認されることを、おすすめします。
2010年7月8日木曜日 11:06
チャブーンさん
ご返信ありがとうございます。
すべておっしゃるとおりだと思います。ですので、この件の細かい原因等につきましては有償サポートへ問い合わせをするように致します。大変失;致しました。
質問を少し変えさせて頂きますので、何か御存知でありましたらお力添え頂けますでしょうか?
①サブドメイン_msdcs が何処に;納されているものが現在使用されているかを確認するレジストリ値やその他の手法の有無
以下のようなかんじのものになります↓
例:親ドメインゾーンの場合だと、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones 配下に読み込まれているゾーンが;納されているディレクトリパーティションの位置が書かれている。
お手数をお掛け致しますが、宜しくお願い致します。
2010年7月13日火曜日 6:27
こんにちは、フォーラムオペレーターの三沢健二です。
ABE NAOKI さん、チャブーン さん、ご丁寧なアドバイスありがとうございます。
まだ少し疑問点が残っていらしたようだったのですが、お二人に案内いただいた内容が参考になられたようですので、私の方で [回答としてマーク] のチェックを付けさせていただきました。
なお、中年やっちゅうねん さんのコメントにもありましたように、別のフォーラムにも同様のご質問を投稿されていましたので、こちらも参照いただければと思います。
- 関連情報
DNSサブドメイン_msdcs のアプリケーションパーティション上での確認について
http://ap.atmarkit.co.jp/bbs/core/fwin/22906
- 参考情報
Windows 2000 から Windows Server 2003 にアップグレードするときに _msdcs サブドメインをフォレスト全体の DNS アプリケーション ディレクトリ パーティションに再構成する方法
http://support.microsoft.com/kb/817470/ja
それでは、今後とも TechNet Forum をよろしくお願いします。
______________________________________
マイクロソフト株式会社 フォーラムオペレーター 三沢健二
2010年7月14日水曜日 3:34
チャブーンです。
返信が遅くなりましたが、一応答えます。
残念ですが、直接確認する方法といったものはないです。というのは、_msdcs サブドメインが委任されていなければ、単にサブドメイン(同じゾーン内の)が使われ、委任されていれば NS というレコードに書いてある委任先のサーバ名にアクセスし、そこのサーバのゾーンが使われるだけ、だからです。その意味では、DC=_msdcs,<フォレストルート DN> の中身をみてください、以上のものはないので、ご希望の内容ではない、と判断しています。
どのレコードが使われている(更新されているのか)は、レコード自身のタイムスタンプをみて総合的に判断するしかありません。
DNSのレコードのタイムスタンプを確認する方法や、判断の根拠の細かいところを知りたい、という場合は、MSの有償サポートにどうぞ。