[samba-jp:22960] Samba4 ADからWindows ADへの移行 その後

[horiuchi]

堀内と申します。

CentOS 7.2.1511
Samba 4.5.16
Windows Server 2008 R2 で作業をしております

先日こちらのMLでお教えいただいた後、クローン環境で
以下のページを参照し、dcpromoを使いSamba⇒Windowsの冗長化構成にしたあと
https://wiki.samba.org/index.php/Joining_a_Windows_Server_2008_/_2008_R2_DC_to_a_Samba_AD

FSMOをWindowsへ移行し、Windows DNSからSAMBA ADサーバの情報、メタデータを削除しました。

また、DNSの _msdcs.example.com.local のプロパティ「全般」の
動的更新を「なし」から「セキュリティ保護のみ」に変更し、データを書き込めるように変更しました。

Windowsサーバーで RobocopyしたSysvolのユーザー、ポリシーの追加や変更削除もできたので
(ローカルサーバー上ではgpupdate /forceなども正常にできるようです)
一見正しく動作できているように見えたのですが
DNSがうまく動いておらず、DNSのイベントログにはID:4014が出続けており、
クライアントとの通信が失敗しています。
エラーメッセージの内容は以下の通りです。
「DNS サーバーは Active Directory セキュリティ インターフェイスを初期化できませんでした。
Active Directory が正しく機能していることを確認して、DNS サーバーを再起動してください。」

また、DNS設定を一旦削除して新しく作成しようとすると
以下のメッセージが出て終了してしまうため作成ができません。
おそらくActive Directoryにゾーン情報を格納することができないように思えます。
「ゾーンを作成することができません　拒否」
このエラーはイベントログなどに記録されないため
どこの何が拒否しているのか詳細がわからないため八方ふさがりになっています。

Windows Server上でSambaから移行したDNSを正常動作させるには
どこをどのように設定すれば良いでしょうか。
これが解決すれば移行関連はうまくいくと思うのですが
いろいろ調べても解決に至りません。
※もともと（現在も）Samba-4.2.14で運用しているのですが
4.5以降にしないと、この不具合が出るという情報があったので
アップデートした上での作業をしたのですが…うまく行かず

どなたか、おわかりの方がいらっしゃれば
どうかご教示、お力添えをいただきたく
よろしくお願いします。

-- 
horiuchi <colorful ＠ plum.plala.or.jp>