このガイドでは、Active Directory ドメイン参加の問題のトラブルシューティングに使用される基本的な概念について説明します。
トラブルシューティングのチェックリスト
ドメイン ネーム システム (DNS): ドメインへの参加で問題が発生した場合は、まず DNS を確認します。 DNS は Active Directory (AD) の中核であり、ドメインへの参加など、正常に動作します。 次の項目を確認します。
- DNS サーバー アドレスが正しい。
- 複数の DNS ドメインが使用されている場合、DNS サフィックスの検索順序が適切です。
- 同じコンピューター アカウントを参照する古い DNS レコードや重複する DNS レコードがない。
- 逆引き DNS は、A レコードとは異なる名前を指すことはありません。
- ドメイン名、ドメイン コントローラー (DC)、DNS サーバーに ping を実行できます。
- 特定のサーバーの DNS レコードの競合を確認します。
Netsetup.log: Netsetup.log ファイルは、ドメイン参加の問題をトラブルシューティングするときに役立つリソースです。 netsetup.log ファイルは C:\Windows\Debug\netsetup.log にあります。
ネットワーク トレース: AD ドメイン参加中に、クライアントと一部の DNS サーバーの間、およびクライアントと一部の DC の間で複数の種類のトラフィックが発生します。 上記のいずれかのトラフィックでエラーが発生した場合は、そのプロトコルまたはコンポーネントの対応するトラブルシューティング手順に従って絞り込みます。 詳細については、「 Netsh を使用したトレースの管理」を参照してください。
ドメイン参加のセキュリティ強化の変更: 2022 年 10 月 11 日以降にリリースされた Windows 更新プログラムには、 CVE-2022-38042 によって導入された追加の保護が含まれています。 これらの保護は、次のいずれかの状態が存在しない限り、ドメイン参加操作で移行先のドメイン内の既存のコンピューター アカウントが再利用されるのを意図的に防止します。
- 操作を試みるユーザーが、既存のアカウントの作成者である場合。
- コンピューターは、ドメイン管理者のメンバーによって作成されました。
詳細については、「 KB5020276- Netjoin: ドメイン参加のセキュリティ強化の変更」を参照してください。
ポートの要件
次の表に、クライアント コンピューターと DC の間で開く必要があるポートを示します。
| 港 | プロトコル | アプリケーション プロトコル | システム サービス名 |
|---|---|---|---|
| 53 | TCP | DNS(ドメイン・ネーム・システム) | DNS サーバー |
| 53 | UDP(ユーザー・データグラム・プロトコル) | DNS(ドメイン・ネーム・システム) | DNS サーバー |
| 389 | UDP(ユーザー・データグラム・プロトコル) | DC ロケーター | LSASS |
| 389 | TCP | LDAP サーバー | LSASS |
| 88 | TCP | Kerberos | Kerberos キー配布サーバー |
| 135 | TCP | RPC | RPC エンドポイント マッパー |
| 445 | TCP | SMB(中小企業) | LanmanServer |
| 1024 から 65535 | TCP | RPC | クライアントとドメイン コントローラー間の DSCrackNames、SAMR、Netlogon 呼び出し用の RPC エンドポイント マッパー |
一般的な問題と解決方法
| ドメイン参加エラーコード | 原因 | 関連記事 |
|---|---|---|
| 0x569 | このエラーは、ドメイン参加を処理するドメインコントローラー (DC) において、ドメイン参加ユーザーアカウントに ネットワークからこのコンピューターにアクセス のユーザー権限が不足しているために発生します。 | エラー コード 0x569 のトラブルシューティング: このコンピューターで要求されたログオンの種類がユーザーに付与されていません |
| 0xaacまたは0x8b0 | このエラーは、既存のコンピューター アカウント名を使用してコンピューターをドメインに参加させようとしたときに発生します。 | エラーコード 0xaac のトラブルシューティング: 既存のコンピューターアカウントを使用してドメインに参加できない |
| 0x6BFまたは0xC002001C | このエラーは、ネットワーク デバイス (ルーター、ファイアウォール、または仮想プライベート ネットワーク (VPN) デバイス) が、参加しているクライアントとドメイン コントローラー (DC) の間のネットワーク パケットを拒否したときに発生します。 | トラブルシューティング状況コード 0x6bf または 0xc002001c: リモート プロシージャ コールが失敗し、実行されませんでした |
| 0x6D9 | このエラーは、参加しているクライアントとドメイン コントローラー (DC) の間でネットワーク接続がブロックされている場合に発生します。 | エラー コード 0x6D9 "エンドポイント マッパーから使用できるエンドポイントがこれ以上ありません" のトラブルシューティング |
| 0xa8b | このエラーは、ワークグループ コンピュータをドメインに参加させたときに発生します。 | エラー コード 0xa8b のトラブルシューティング: 参加しているドメイン内の DC の DNS 名を解決しようとして失敗しました |
| 0x40 | この問題は、サーバー メッセージ ブロック (SMB) セッションの Kerberos チケットの取得に関連しています。 | エラーコード0x40「指定されたネットワーク名は使用できなくなりました」のトラブルシューティング |
| 0x54b | このエラーは、指定したドメインに接続できないために発生し、ドメイン コントローラー (DC) の検索に問題があることを示しています。 | エラーコード0x54bのトラブルシューティング |
| 0x0000232A | このエラーは、ドメイン ネーム システム (DNS) 名を解決できないことを示します。 | エラーコード0x0000232Aのトラブルシューティング |
| 0x3a | このエラーは、クライアント コンピューターとドメイン コントローラー (DC) の間の伝送制御プロトコル (TCP) 389 ポートで、クライアント コンピューターのネットワーク接続が信頼できない場合に発生します。 | トラブルシューティング ステータス コード 0x3a: 指定されたサーバーは要求された操作を実行できません |
| 0x216d | このエラーは、ユーザー アカウントがドメインに参加できる 10 台のコンピューターの制限を超えた場合、またはグループ ポリシーによってユーザーがコンピューターをドメインに参加させることを制限している場合に発生します。 | トラブルシューティングのステータスコード 0x216d: コンピュータをドメインに参加できませんでした |
Windows ベースのコンピューターをドメインに参加させると発生するその他のエラー
詳細については、以下を参照してください:
ドメイン参加に関する問題のデータ 収集
ドメイン参加の問題をトラブルシューティングするには、次のログが役立ちます。
Netsetup ログ
このログ ファイルには、ドメイン参加アクティビティに関するほとんどの情報が含まれています。 ファイルは、%windir%\debug\netsetup.logのクライアント コンピューターにあります。
このログ ファイルは既定で有効になっています。 明示的に有効にする必要はありません。ネットワーク トレース
ネットワーク トレースには、クライアント コンピューターと、ネットワーク経由の DNS サーバーやドメイン コントローラーなどの相対サーバー間の通信が含まれます。 クライアント コンピューターで収集する必要があります。 すべての Windows エディションに含まれる Wireshark netsh.exe など、複数のツールでネットワーク トレースを収集できます。
各ログは個別に収集できます。 または、Microsoft が提供するいくつかのツールを使用して、それらをまとめて収集することもできます。 これを行うには、次のセクションの手順に従います。
手動で収集する
- AD ドメインに参加するクライアント コンピューターに Wireshark をダウンロードしてインストールします。
- 管理者特権でアプリケーションを起動し、キャプチャを開始します。
- AD ドメインに参加してエラーを再現してみてください。 エラー メッセージを記録します。
- アプリでのキャプチャを停止し、ネットワーク トレースをファイルに保存します。
- %windir%\debug\netsetup.log にあるnetsetup.logファイルを収集してください。
認証スクリプトを使用する
認証スクリプトは、認証関連の問題をトラブルシューティングするためのログ収集を容易にするために Microsoft によって開発された軽量の PowerShell スクリプトです。 これを使用するには、次の手順に従います。
クライアント コンピューターで 認証スクリプト をダウンロードします。 ファイルをフォルダーに抽出します。
管理者特権で PowerShell ウィンドウを起動します。 抽出されたファイルを含むフォルダーに切り替えます。
start-auth.ps1実行し、プロンプトが表示されたら EULA に同意し、信頼されていない発行元に関する警告が表示された場合は実行を許可します。
注
実行ポリシーのためにスクリプトの実行が許可されていない場合は、 about_Execution_Policiesを参照してください。
コマンドが正常に完了したら、AD ドメインに参加してエラーを再現してみてください。 エラー メッセージを記録します。
stop-auth.ps1実行し、信頼されていない発行元に関する警告が表示された場合は実行を許可します。
ログ ファイルは、Netsetup.log ログとネットワーク トレース ファイル (Nettrace.etl) を含む authlogs サブフォルダーに保存されます。
TSS ツールを使用する
TSS ツールは、ログ収集を容易にするために Microsoft によって開発されたもう 1 つのツールです。 これを使用するには、次の手順に従います。
クライアント コンピューターに TSS ツール をダウンロードします。 ファイルをフォルダーに抽出します。
管理者特権で PowerShell ウィンドウを起動します。 抽出されたファイルを含むフォルダーに切り替えます。
次のコマンドを実行します。
TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowaitメッセージが表示されたら EULA に同意し、信頼されていない発行元に関する警告が表示された場合は実行を許可します。
注
実行ポリシーのためにスクリプトの実行が許可されていない場合は、 about_Execution_Policiesを参照してください。
コマンドの完了には数分かかります。 コマンドが正常に完了したら、AD ドメインに参加してエラーを再現してみてください。 エラー メッセージを記録します。
TSS.ps1 -stop実行し、信頼されていない発行元に関する警告が表示された場合は実行を許可します。ログ ファイルは C:\MS_DATA サブフォルダーに保存され、既に zip 形式で圧縮されています。 ZIP ファイル名は 、TSS_<hostname>_<date>-<time>-ADS_AUTH.zipの形式に従います。
zip ファイルには、 Netsetup.logとネットワーク トレースが含まれます。 ネットワーク トレース ファイルの名前は <hostname>_<date>-<time>-Netsh_packetcapture.etl です。