お久しぶりです。エンジニアRです。
今回Active Directory(以下AD)を再構築する案件があったのですが、同ホスト名、同IPアドレスを踏襲して再構築しようとしたところDNSレコードに動的にDNS更新されませんでした。
(通常であればドメイン参加すれば、ドメインのDNSレコードにホスト名のAレコードが動的更新されると思います。)
その際に以下のような「EventID 4015」のエラーを確認したのでこのエラーの原因と対処方法について説明したいと思います。
<エラーの原因>
今回のエラーの原因は"BuiltIn\Users"グループ内から以下特定のアカウントが欠落していることで動的更新が実行できませんでした。
・ NTAuthority\INTERACTIVE
・ NTAuthority\Authenticated Users
<対処方法>
"BuiltIn\Users"グループに特定のユーザーアカウントを追加し、DNSサービスを再起動することで本エラーが解決しましたので詳細の手順について以下に記載します。
管理者権限を持つアカウントでドメインコントローラーにサインインを実施する
[サーバーマネージャー] - [ツール] - [Active Directory ユーザーとコンピューター]をクリックする
[Active Directory ユーザーとコンピューター]が表示されるので、[BuiltIn]を選択し、[Users]グループを右クリックし、[プロパティ]をクリックする
[Usersのプロパティ]が表示されるので、[メンバー]タブを選択し、以下のアカウントがあるか確認を実施する ・ NTAuthority\INTERACTIVE ・ NTAuthority\Authenticated Users
4.で存在しない場合、[追加]をクリックし、対象アカウントを追加する
管理者権限でコマンドプロンプトを開く
以下のコマンドを実行し、DNSサービスを再起動する
net stop DNS && net start DNS
<まとめ>
今回の場合、上記の対処方法によってDNSレコードにドメイン参加した新ADが動的更新され、ADの昇格など実施することができました。
上記についてはあくまで一例となり、表示されるエラーの内容や詳細については別の対応も必要となりますので、このようなエラーに遭遇した場合は、Microsoftのテクニカルサポートへ問い合わせるなどが無難かと思います。
ちなみにWindows Server 2012 R2時代に同じようなADの再構築を行うことがありましたが、そのときは今回のような問題にも遭遇しませんでしたがWindows Server 2019以降くらいだとAD再構築などでエラーになることが多くなった気がします。
あくまで個人的な見解ですが、OSが新しくなったり、WindowSUpdateなどの影響によりセキュリティ強化され、ADの降格、昇格時に削除されるべきオブジェクトが削除されなかったり、作成されるべきオブジェクト、権限が作成されなかったりしている感じがしてます。
(これ以外にも正常にADを降格しても、サイトとサービスやDNSのレコードにオブジェクトが残置されていることを多々確認しております。)
今まではオブジェクトが残置されていても、昇格時に強制的に上書きされてたのかなーって感じがするのですが、今のセキュリティレベル的には昇格失敗とか結構する感じがするので別ホスト名、別IPアドレスで新規AD構築するか、同ホスト名、同IPアドレスで構築が必要な場合は降格直後にオブジェクトが残置されていないか確認したり、不要オブジェクトを削除する必要があるように思います。
10年以上インフラエンジニアをしていても、OSや機能が少し変わるだけで今まで通りにいかないことが多く、本質的な技術理解の難しさを感じました。。。日々勉強ですね。
直近で似たようなエラーが発生したので、近日中にその②のブログも書ければと思います。
Comments