Active Directory レプリケーションの問題のトラブルシューティングに関するページ
バーチャルエージェントを試してActive Directory レプリケーションの問題には、いくつかの異なるソースがあります。
Active Directory レプリケーションの問題には、いくつかの異なるソースがあります。 たとえば、ドメイン ネーム システム (DNS) の問題、ネットワークの問題、セキュリティの問題が、Active Directory レプリケーションの失敗の原因となる場合があります。
この記事の残りの部分では、Active Directoryのレプリケーションエラーを修正するためのツールと一般的な方法について説明します。 以下のサブトピックでは、症状、原因、特定のレプリケーションエラーの解決方法について説明します:
Active Directory レプリケーションのトラブルシューティングの概要とリソース
入力方向または出力方向のレプリケーションが失敗すると、レプリケーション トポロジ、レプリケーション スケジュール、ドメイン コントローラー、ユーザー、コンピューター、パスワード、セキュリティ グループ、グループ メンバーシップ、およびグループ ポリシーを表す Active Directory オブジェクトが、ドメイン コントローラー間で不整合になります。 ディレクトリの不整合とレプリケーション エラーは、操作のために接続されているドメイン コントローラーに応じて、操作エラーまたは結果の不整合の原因となる可能性があります。また、グループ ポリシーおよびアクセス制御のアクセス許可の適用を妨げる可能性があります。 Active Directory Domain Services (AD DS) は、ネットワーク接続、名前解決、認証と承認、ディレクトリ データベース、レプリケーション トポロジ、レプリケーション エンジンに依存します。 レプリケーションの問題の根本原因がすぐに明らかでない場合、多くの可能性のある原因の中から原因を特定するには、可能性の高い原因を体系的に排除する必要があります。
レプリケーションの監視とエラーの診断に役立つUIベースのツールについては、Microsoft Support and Recovery Assistantツールをダウンロードして実行してください。
Repadmin ツールを使用して Active Directory レプリケーションのトラブルシューティングを行う方法を説明する包括的なドキュメント「Repadmin を使用した Active Directory レプリケーションの監視とトラブルシューティング」を参照してください。
Active Directory レプリケーションのしくみについては、次のテクニカル リファレンスを参照してください。
イベントおよびツールの解決策の推奨事項
ディレクトリ サービス イベント ログ内の赤色 (エラー) のイベントと黄色の (警告) イベントによって、ソース ドメイン コントローラーまたは宛先ドメイン コントローラーでレプリケーションが失敗する原因となっている特定の制約が示されることが理想的です。 イベント メッセージで解決手順が提案されている場合は、イベントで説明されている手順を試してください。 また、Repadmin ツールや他の診断ツールによって、レプリケーション エラーの解決に役立つ情報が提供されます。
レプリケーションの問題のトラブルシューティングに Repadmin を使用する方法について詳しくは、「Repadmin を使用した Active Directory レプリケーションの監視とトラブルシューティング」を参照してください。
意図的な中断やハードウェア障害を排除する
意図的な中断が原因で、レプリケーション エラーが発生することがあります。 たとえば、Active Directory レプリケーションの問題のトラブルシューティングを行う場合は、最初に、意図的な切断、およびハードウェア障害またはアップグレードを排除します。
意図的な切断
ステージング サイトに構築されており、最終的な運用サイト (ブランチ オフィスなどのリモート サイト) でのデプロイを現在オフラインで待機中のドメイン コントローラーでレプリケーションを試行しているドメイン コントローラーによってレプリケーション エラーが報告された場合、それらのレプリケーション エラーについて釈明することができます。 ドメイン コントローラーが長時間にわたってレプリケーション トポロジから分離されると、そのドメイン コントローラーが再接続されるまでエラーが継続的に発生する原因となるため、そのようなコンピューターをメンバー サーバーとして最初に追加しておき、Active Directory Domain Services (AD DS) のインストールに IFM (メディアからのインストール) メソッドを使用することを検討します。 インストール メディアを作成するには、Ntdsutil コマンドライン ツールを使用します。インストール メディアをリムーバブル メディア (CD、DVD、または他のメディア) に保存すると、宛先サイトに発送できます。 その後、そのインストール メディアを使用して、サイトにあるドメイン コントローラー上の AD DS をインストールすることができます。レプリケーションを使用する必要はありません。
ハードウェア障害またはアップグレード
ハードウェア障害 (マザーボード、ディスク サブシステム、ハード ドライブの障害など) が発生したためにレプリケーションの問題が発生した場合は、サーバー所有者にお知らせして、ハードウェアの問題が解決されるようにします。
ハードウェアを定期的にアップグレードすると、ドメイン コントローラーがサービス停止となる可能性があります。 サーバーの所有者が、そのような停止を事前に通知する適切なシステムを持っていることを確認します。
ファイアウォールの構成
既定では、Active Directory レプリケーションのリモート プロシージャ コール (RPC) は、ポート 135 の RPC エンドポイント マッパー (RPCSS) を介して、使用可能なポート経由で動的に行われます。 高度なセキュリティおよびその他のファイアウォールを備えた Windows Firewall が、レプリケーションを許可するように適切に構成されていることを確認します。 Active Directory レプリケーションとポート設定でポートを指定する方法について詳しくは、Microsoft サポート技術情報の記事 224196 を参照してください。
Active Directory レプリケーションによって使用されるポートの詳細については、「Active Directory レプリケーションのツールと設定」を参照してください。
ファイアウォール経由の Active Directory レプリケーションの管理に関する詳細については、「ファイアウォール経由の Active Directory レプリケーション」を参照してください。
Windows 2000 Server が実行されている古いサーバーの障害に対応する
Windows 2000 Server が実行されているドメイン コントローラーで廃棄標識の日数よりも長い期間にわたって障害が発生した場合の解決策は、常に同じです。
- サーバーを、企業ネットワークからプライベート ネットワークに移動します。
- Active Directory を強制的に削除するか、オペレーティング システムを再インストールします。
- サーバーオブジェクトが復活できないように、Active Directoryからサーバーメタデータを削除します。
スクリプトを使用すると、ほとんどの Windows オペレーティング システムで、サーバー メタデータをクリーンアップできます。 このスクリプトの使用方法について詳しくは、Active Directory ドメイン コントローラーのメタデータの削除に関するページを参照してください。
既定では、削除された NTDS 設定オブジェクトは、14 日間自動的に復元されます。 このため、サーバーのメタデータを削除しないと(Ntdsutilまたは前述のスクリプトを使用してメタデータのクリーンアップを実行する)、サーバーのメタデータがディレクトリに復活し、レプリケーションの試行が促されます。 この場合、欠落しているドメイン コントローラーでレプリケーションを実行できないため、エラーが永続的にログに記録されます。
根本原因
意図的な切断、ハードウェア障害、および古くなった Windows 2000 ドメイン コントローラーを排除する場合、残りのレプリケーションの問題の根本原因は、ほぼ常に、次のいずれかとなります。
- ネットワーク接続:ネットワーク接続:ネットワーク接続ができないか、ネットワーク設定が正しく行われていない可能性があります。
- 名前解決: DNS の構成ミスは、レプリケーション エラーのよくある原因です。
- 認証と承認: 認証と承認の問題が発生すると、ドメイン コントローラーによってレプリケーション パートナーへの接続が施行される場合に "アクセス拒否" エラーが発生する原因となります。
- ディレクトリ データベース (ストア): ディレクトリ データベースを使用しても、レプリケーション タイムアウトに対応するように、トランザクションを高速処理することはできません。
- レプリケーション エンジン: サイト間レプリケーションのスケジュールが短すぎる場合、レプリケーション キューが、アウトバウンド レプリケーション スケジュールで必要な時間内に処理するには大きくなりすぎる可能性があります。 この場合、一部の変更のレプリケーションが、廃棄標識の日数よりも長い期間にわたって、無期限に停止する可能性があります。
- レプリケーション トポロジ: ドメイン コントローラーには、実際のワイド エリア ネットワーク (WAN) 接続または仮想プライベート ネットワーク (VPN) 接続にマップするサイト間リンクが AD DS 内で必要となります。 ネットワークの実際のサイト・トポロジーでサポートされていないレプリケーション・トポロジー用のオブジェクトをAD DSに作成した場合、誤ったトポロジーを必要とするレプリケーションは失敗します。
問題の修正に向けた一般的なアプローチ
レプリケーションの問題を修正するには、次の一般的なアプローチを使用します。
レプリケーションの正常性を毎日監視するか、Repadmin.exe を使用してレプリケーションの状態を毎日取得します。
イベント メッセージおよびこのガイドで説明している方法を使用して、報告されたすべての障害の解決を適宜試みます。 ソフトウェアが問題の原因となっている可能性がある場合は、その他の解決策を使用して対応を継続する前に、ソフトウェアをアンインストールします。
レプリケーションが失敗する原因となっている問題が既知の方法で解決できない場合は、サーバーからAD DSを削除してから、AD DSを再インストールしてください。 AD DS の再インストールの詳細については、「ドメイン コントローラーの使用停止」を参照してください。
サーバーがネットワークに接続されている状態でAD DSを正常に削除できない場合は、次のいずれかの方法で問題を解決してください:
- ディレクトリ サービス復元モード (DSRM) で AD DS を強制的に削除し、サーバーのメタデータをクリーンアップしてから、AD DS を再インストールします。
- オペレーティング システムを再インストールし、ドメイン コントローラーをリビルドします。
AD DS の強制的な削除に関する詳細については、「ドメイン コントローラーの強制削除」を参照してください。
Repadmin を使用してレプリケーションの状態を取得する
レプリケーションの状態は、ディレクトリ サービスの状態を評価するための重要な方法です。 レプリケーションがエラーの発生なしに動作している場合は、オンラインのドメイン コントローラーがあることがわかります。 また、次のシステムとサービスが動作していることがわかります。
- DNS インフラストラクチャ
- Kerberos 認証プロトコル
- Windows タイム サービス (W32time)
- リモート プロシージャ呼び出し (RPC)
- ネットワーク接続
Repadmin を使用して、フォレスト内のすべてのドメイン コントローラーのレプリケーションの状態を評価するコマンドを実行することで、レプリケーションの状態を毎日監視します。 この手順では、.csv ファイルを生成します。Microsoft Excel でこのファイルを開き、レプリケーション エラーをフィルター処理します。
次の手順を使用すると、フォレスト内のすべてのドメイン コントローラーのレプリケーションの状態を取得できます。
要件
この手順を完了するには、少なくとも、Enterprise Admins グループ、またはそれと同等の権限を持つグループのメンバーである必要があります。
ツールでの操作 :
- Repadmin.exe
- Excel (Microsoft Office)
ドメイン コントローラーの repadmin /showrepl スプレッドシートを生成するには
管理者としてコマンド プロンプトを開く: スタート メニューの [コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、必要に応じて、エンタープライズ管理者の資格情報を入力し、[続行] をクリックします。
コマンド プロンプトで、コマンド
repadmin /showrepl * /csv > showrepl.csv
を入力して、Enter キーを押します。Excel を開きます。
Office ボタン、[開く] の順にクリックして、showrepl.csv に移動したら、[開く] をクリックします。
次のように、列 A と [トランスポートの種類] 列を非表示または削除します。
非表示または削除する列を選択します。
- 列を非表示にする場合は、列を右クリックし、[非表示] をクリックします。
- 列を削除する場合は、選択した列を右クリックし、[削除] をクリックします。
列見出し行の下にある行 1 を選択します。 [表示] タブで [ウィンドウ枠の固定] をクリックし、[先頭行の固定] をクリックします。
スプレッドシート全体を選択します。 [データ] タブで、[フィルター] をクリックします。
[最後の成功の時刻] 列で下矢印をクリックし、[昇順で並べ替え] をクリックします。
[ソース DC] 列で、フィルターの下矢印をクリックし、[テキスト フィルター] をポイントしたら、[カスタム フィルター] をクリックします。
カスタム・オートフィルター」ダイアログ・ボックスで、「表示する行」の下にある「含まれていない」をクリックします。 隣のテキスト ボックスに「
del
」と入力すると、削除したドメイン コントローラーの結果が表示されなくなります。ステップ11をLast Failure Time列に繰り返しますが、値はdoesn't equalとし、値0を入力します。
レプリケーション エラーを解決します。
フォレスト内のすべてのドメイン コントローラーについて、ソース レプリケーション パートナー、レプリケーションが最後に発生した時刻、および各名前付けコンテキスト (ディレクトリ パーティション) で最後のレプリケーション エラーが発生した時刻がスプレッドシートに表示されます。 Excel でオートフィルターを使用すると、動作しているドメイン コントローラーのみ、障害が発生しているドメイン コントローラーのみ、最古または最新のドメイン コントローラーの、それぞれのレプリケーションの正常性を表示できます。また、レプリケーションが正常に行われているレプリケーション パートナーを確認することもできます。
レプリケーションの問題と解決
レプリケーションの問題は、イベント メッセージ内や、アプリケーションまたはサービスによって操作が試行されるときに発生するさまざまなエラー メッセージ内で報告されます。 これらのメッセージは、監視アプリケーションによって、またはレプリケーションの状態を取得するときに収集されるのが理想的です。
レプリケーションのほとんどの問題は、ディレクトリ サービスのイベント ログに記録されるイベント メッセージで示されています。 レプリケーションの問題は、repadmin /showrepl
コマンドの出力のエラー メッセージの形式で示される場合もあります。
レプリケーションの問題を示す repadmin /showrepl エラー メッセージ
Active Directory レプリケーションの問題を特定するには、前のセクションで説明したように、repadmin /showrepl
コマンドを使用します。 次の表は、このコマンドによって生成されるエラー メッセージを示すと同時に、エラーの根本原因およびエラーの解決策を提供するトピックへのリンクを示しています。
Repadmin エラー | 根本原因 | 解決策 |
---|---|---|
このサーバーでの最後のレプリケーションが廃棄標識の日数を超えてからの経過時間。 | ドメイン コントローラーが、名前付きソース ドメイン コントローラーで、入力方向のレプリケーションに失敗しました。その間、削除の廃棄、レプリケート、および AD DS からのガベージ コレクションを実行するには十分に長い時間が経過しています。 | イベント ID 2042: このコンピューターがレプリケートされてからの経過時間が長すぎます |
入力方向の近隣ノードなし。 | repadmin /showreplによって生成される出力の「Inbound Neighbors」セクションに項目が表示されない場合、ドメインコントローラは別のドメインコントローラとレプリケーションリンクを確立できませんでした。 | レプリケーション接続の問題を解決する (イベント ID 1925) |
アクセスが拒否されました。 | レプリケーションリンクは2つのドメインコントローラー間に存在しますが、認証に失敗した結果、レプリケーションを正しく実行できません。 | レプリケーションのセキュリティの問題を解決する |
<date - time> での最後の試行が失敗し、"ターゲット アカウント名が正しくありません" と表示されました。 | この問題は、接続、DNS、または認証の問題に関連している可能性があります。 DNSエラーの場合、ローカルドメインコントローラーがレプリケーションパートナーのグローバル一意識別子(GUID)ベースのDNS名を解決できませんでした。 | レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088) レプリケーションのセキュリティの問題を解決するレプリケーション接続の問題を解決する (イベント ID 1925) |
LDAP エラー 49。 | ドメイン コントローラー のコンピューター アカウントが、キー配布センター (KDC) に同期されていない可能性があります。 | レプリケーションのセキュリティの問題を解決する |
ローカルホストへのLDAP接続を開けない | 管理ツールが AD DS に接続できませんでした。 | レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088) |
Active Directory レプリケーションが割り込まれました。 | repadmin /sync コマンドを使用して手動で生成された要求など、優先順位が高いレプリケーション要求によって、入力方向のレプリケーションの進行が中断しました。 | レプリケーションが完了するまで待ちます。 この情報メッセージは、通常の操作を示しています。 |
レプリケーションが投稿され、待機中です。 | ドメイン コントローラーによって、レプリケーション要求が投稿され、回答を待っています。 レプリケーションは、このソースから進行中です。 | レプリケーションが完了するまで待ちます。 この情報メッセージは、通常の操作を示しています。 |
次の表は、Active Directory レプリケーションに関する問題を示している可能性がある一般的なイベントと併せ、問題の根本原因と、問題の解決策を提供するトピックへのリンクを一覧で示しています。
イベント ID とソース | 根本原因 | 解決策 |
---|---|---|
1311 NTDS KCC | AD DSのレプリケーション構成情報は、ネットワークの物理トポロジーを正確に反映していません。 | レプリケーション トポロジの問題を解決する (イベント ID 1311) |
1388 NTDS レプリケーション | 厳密なレプリケーション一貫性が有効ではなく、残っているオブジェクトがドメインコントローラにレプリケートされました。 | レプリケーション残留オブジェクトの問題を解決する (イベント ID 1388、1988、2042) |
1925 NTDS KCC | 書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。 このイベントには、エラーに応じたさまざまな原因が考えられます。 | レプリケーション接続の問題を解決する (イベント ID 1925) レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088) |
1988 NTDS レプリケーション | ローカルドメインコントローラーは、ソースドメインコントローラーからオブジェクトをレプリケートしようとしました。 状況が解決されるまで、このパートナーでこのディレクトリパーティションのレプリケーションは続行されません。 | レプリケーション残留オブジェクトの問題を解決する (イベント ID 1388、1988、2042) |
2042 NTDS レプリケーション | このパートナーとのレプリケーションは墓石寿命の間発生しておらず、レプリケーションを続行できません。 | レプリケーション残留オブジェクトの問題を解決する (イベント ID 1388、1988、2042) |
2087 NTDS レプリケーション | AD DSがソースドメインコントローラーのDNSホスト名をIPアドレスに解決できず、レプリケーションに失敗しました。 | レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088) |
2088 NTDS レプリケーション | AD DSはソースドメインコントローラーのDNSホスト名をIPアドレスに解決できませんでしたが、レプリケーションは成功しました。 | レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088) |
5805 Net Logon | コンピューター アカウントが認証に失敗しました。通常は、同じコンピューター名の複数のインスタンス、またはコンピューター名がすべてのドメイン コントローラーにレプリケートされていないことのいずれかが原因で失敗します。 | レプリケーションのセキュリティの問題を解決する |
レプリケーションの概念に関する詳細については、「Active Directory レプリケーション テクノロジ」を参照してください。
次の手順
エラー コードに固有のサポート記事など、詳細については、サポート記事「一般的な Active Directory レプリケーション エラーのトラブルシューティング」を参照してください