Active Directory ドメイン参加のトラブルシューティング ガイダンス
このガイドでは、Active Directory ドメイン参加の問題のトラブルシューティングに使用される基本的な概念について説明します。
トラブルシューティング チェックリスト
ドメイン ネーム システム (DNS): ドメインに参加する際に問題が発生するたびに、最初にチェックする 1 つは DNS です。 DNS は Active Directory の中核であり、ドメイン参加を含め、正常に動作します。 次の項目を確認します。
- DNS サーバー アドレスは正しいです。
- 複数の DNS ドメインが再生されている場合、DNS サフィックスの検索順序は正しいです。
- 同じコンピューター アカウントを参照する古い DNS レコードや重複した DNS レコードはありません。
- 逆引き DNS は、A レコードとして別の名前を指しません。
- ドメイン名、ドメイン コントローラー (DC)、DNS サーバーに ping を実行できます。
- 特定のサーバーの DNS レコードの競合を確認します。
Netsetup.log: Netsetup.log ファイルは、ドメイン参加の問題のトラブルシューティングを行うときに役立つリソースです。 netsetup.log ファイルは C:\Windows\Debug\netsetup.log にあります。
ネットワーク トレース: AD ドメイン参加中に、クライアントと一部の DNS サーバーの間、およびクライアントと一部の DC の間で複数の種類のトラフィックが発生します。 上記のいずれかのトラフィックでエラーが発生した場合は、そのプロトコルまたはコンポーネントの対応するトラブルシューティング手順に従って絞り込みます。 詳細については、「 Netsh を使用したトレースの管理」を参照してください。
ドメイン参加の強化の変更: 2022 年 10 月 11 日以降にリリースされた Windows 更新プログラムには、 CVE-2022-38042 によって導入された追加の保護が含まれています。 これらの保護により、次のいずれかの条件が存在しない限り、ドメイン参加操作によってターゲット ドメイン内の既存のコンピューター アカウントが意図的に再利用されなくなります。
- 操作を試みるユーザーは、既存のアカウントの作成者です。
- コンピューターは、ドメイン管理者のメンバーによって作成されました。
詳細については、「 KB5020276 —Netjoin: ドメイン参加の強化の変更」を参照してください。
ポートの要件
次の表は、クライアント コンピューターと DC の間で開くために必要なポートの一覧です。
| ポート | プロトコル | アプリケーション プロトコル | システム サービス名 |
|---|---|---|---|
| 53 | TCP | DNS | DNS サーバー |
| 53 | UDP | DNS | DNS サーバー |
| 389 | UDP | DC ロケーター | Lsass |
| 389 | TCP | LDAP サーバー | Lsass |
| 88 | TCP | Kerberos | Kerberos キー配布サーバー |
| 135 | TCP | RPC | RPC エンドポイント マッパー |
| 445 | TCP | SMB | LanmanServer |
| 1024-65535 | TCP | RPC | クライアントとドメイン コントローラー間の DSCrackNames、SAMR、Netlogon 呼び出し用の RPC エンドポイント マッパー |
共通の問題と解決策
エラー コード 0x569
ユーザーには、このコンピューターで要求されたログオンの種類が付与されていません。
netsetup.log ファイルの例を次に示します。
mm/dd/yyyy hh:mm:ss:ms NetpDsGetDcName: failed to find a DC having account <computer name>$': 0x525
mm/dd/yyyy hh:mm:ss:ms NetpDsGetDcName: found DC '\\<DC name>.<domain>.<tld>' in the specified domain
mm/dd/yyyy hh:mm:ss:ms NetUseAdd to \\<DC name>.<domain>.<tld>\IPC$ returned 1385
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomain: status of connecting to dc '\\<DC Name>.<Domain>.<tld>': 0x569
mm/dd/yyyy hh:mm:ss:ms NetpDoDomainJoin: status: 0x569
ドメイン参加ユーザーがネットワーク ユーザー権限 からこのコンピューターにアクセス していない場合、エラー 0x569が記録されます。 次の項目を確認します。
- ドメイン参加操作を実行しているユーザー アカウント (またはドメイン参加ユーザーのメンバーを所有するセキュリティ グループ) に、既定のドメイン コントローラー ポリシーの [ネットワークからこのコンピューターにアクセスする ] 権限が付与されていることを確認します。
- 既定のドメイン コントローラー ポリシーは、ドメイン参加操作を処理している DC コンピューター アカウントをホストする OU にリンクされます。
- ドメイン参加操作をサービスする DC では、ポリシーが正常に適用されます。具体的には、既定のドメイン コントローラー ポリシーで定義されているユーザー権限設定が適用されます。
エラー コードの0x534
アカウント名とセキュリティ ID のマッピングが 1 つもされていません。
netsetup.log ファイルの例を次に示します。
mm/dd/yyyy hh:mm:ss:ms NetpCreateComputerObjectInDs: NetpGetComputerObjectDn failed: 0x534
mm/dd/yyyy hh:mm:ss:ms NetpProvisionComputerAccount: LDAP creation failed: 0x534
mm/dd/yyyy hh:mm:ss:ms ldap_unbind status: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: Function exits with status of: 0x534
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: status of disconnecting from '\\<DC name>': 0x0
mm/dd/yyyy hh:mm:ss:ms NetpDoDomainJoin: status: 0x534
ドメイン参加グラフィカル ユーザー インターフェイス (GUI) は、API を NetJoinDomain 2 回呼び出して、コンピューターをドメインに参加させることができます。 最初の呼び出しでは、ターゲット ドメイン内に事前に作成されたコンピューター アカウントを見つけるための "作成" フラグが指定されずに行われます。 アカウントが見つからない場合は、"create" フラグを指定して 2 つ目 NetJoinDomain の API 呼び出しを行う場合があります。
別のシナリオでは、コンピューター アカウントのパスワードを変更しようとすると、0x534エラー コードがログに記録されます。 ただし、アカウントが作成されなかったり、レプリケーションの待機時間やレプリケーションエラーが原因であったりするため、ターゲット DC でアカウントが見つからない可能性があります。
0x534エラー コードは、ドメイン参加がターゲット ドメインを検索するときに一時的なエラーとして記録されるのが一般的です。 検索によって、一致するコンピューター アカウントが事前に作成されたか、参加操作でターゲット ドメインにコンピューター アカウントを動的に作成する必要があるかが決まります。 結合オプションのビット フラグを確認して、実行される参加の種類が、事前に作成されたコンピューター アカウントまたは新しく作成されたコンピューター アカウントに依存しているかどうかを確認します。
エラー コードの0x6BFまたは0xC002001C
リモート プロシージャ コールに失敗し、実行されませんでした。
netsetup.log ファイルの例を次に示します。
mm/dd/yyyy hh:mm:ss:ms NetpGetLsaHandle: LsaOpenPolicy on \\<DC name>.<domain>.<tld> failed: 0xc002001c
mm/dd/yyyy hh:mm:ss:ms NetpGetLsaPrimaryDomain: status: 0xc002001c
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomain: initiaing a rollback due to earlier errors
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomain: status of disconnecting from '\\<DC name>.<domain>.<tld>': 0x0
mm/dd/yyyy hh:mm:ss:ms NetpDoDomainJoin: status: 0x6bf
このエラーは、ネットワーク デバイス (ルーター、ファイアウォール、または VPN デバイス) が、参加しているクライアントと DC の間のネットワーク パケットを拒否するときに発生します。
次の項目を確認します。
- 必要なポートとプロトコルを介して、参加しているクライアントとターゲット DC の間の接続を確認します。
- バインド時間機能ネゴシエーションを無効にします。
- TCP Chimney オフロードと IP オフロードを無効にします。
エラー コード 0x6D9
エンドポイント マッパーから使用可能なエンドポイントはこれ以上ありません。
netsetup.log ファイルの例を次に示します。
mm/dd/yyyy hh:mm:ss:ms NetpGetDnsHostName: Read NV Hostname: <hostname>
mm/dd/yyyy hh:mm:ss:ms NetpGetDnsHostName: PrimaryDnsSuffix defaulted to DNS domain name: <DNS domain>.<TLD>
mm/dd/yyyy hh:mm:ss:ms NetpLsaOpenSecret: status: 0xc0000034
mm/dd/yyyy hh:mm:ss:ms NetpGetLsaPrimaryDomain: status: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpLsaOpenSecret: status: 0xc0000034
mm/dd/yyyy hh:mm:ss:ms NetpManageMachineAccountWithSid: NetUserAdd on \\<hostname>.<domain> for <computername>$ failed: 0x8b0
mm/dd/yyyy hh:mm:ss:ms NetpManageMachineAccountWithSid: status of attempting to set password on \\<DC name>.<domain>.<tld> for <hostname>$: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomain: status of creating account: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpGetComputerObjectDn: Unable to bind to DS on \\<DC name>.<domain>.<tld>: 0x6d9
mm/dd/yyyy hh:mm:ss:ms NetpSetDnsHostNameAndSpn: NetpGetComputerObjectDn failed: 0x6d9
mm/dd/yyyy hh:mm:ss:ms ldap_unbind status: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomain: status of setting DnsHostName and SPN: 0x6d9
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomain: initiaing a rollback due to earlier errors
mm/dd/yyyy hh:mm:ss:ms NetpGetLsaPrimaryDomain: status: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpManageMachineAccountWithSid: status of disabling account <hostname>$ on \\<DC name>.<domain>.<tld>: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomain: rollback: status of deleting computer account: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpLsaOpenSecret: status: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomain: rollback: status of deleting secret: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomain: status of disconnecting from \\<DC name>.<domain>.<tld>: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpDoDomainJoin: status: 0x6d9
結合クライアントとヘルパー DC の間でネットワーク接続がブロックされると、エラー 0x6D9が記録されます。 ネットワーク接続は、ポート 135 または 1025 から 5000 または 49152 から 65535 のエフェメラル範囲のポートを介してドメイン参加操作を処理します。 詳細については、「Windows の サービスの概要とネットワーク ポートの要件」を参照してください。
このエラーを解決するには、次の手順に従います。
- 参加しているクライアントで、 %systemroot%\debug\NETSETUP を開きます。LOG ファイルと、結合操作を実行するために結合クライアントによって選択されたヘルパー DC の名前を決定します。
- 参加しているクライアントが、該当するオペレーティング システム (OS) バージョンで使用される必要なポートとプロトコルを介して DC へのネットワーク接続を持っていることを確認します。 ドメイン参加クライアントは、49152 から 65535 の範囲の動的に割り当てられたポートによって、TCP ポート 135 経由でヘルパー DC を接続します。
- OS、ソフトウェアルーター、ハードウェアルーター、ファイアウォール、スイッチが、必要なポートとプロトコルを介した接続を許可していることを確認します。
エラー コード 0xA8B
参加しようとしているドメインのドメイン コントローラの DNS 名を解決できませんでした。 このクライアントが、対象のドメインで DNS 名を解決できる DNS サーバーに到達できるよう構成されていることを確認してください。
netsetup.log ファイルの例を次に示します。
mm/dd/yyyy hh:mm:ss:ms NetpDsGetDcName: status of verifying DNS A record name resolution for '<DC name>.<domain>.<tld>': 0x2746
mm/dd/yyyy hh:mm:ss:ms NetpDsGetDcName: failed to find a DC in the specified domain: 0xa8b, last error is 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: NetpDsGetDcName returned: 0xa8b
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: Function exits with status of: 0xa8b
mm/dd/yyyy hh:mm:ss:ms NetpDoDomainJoin: status: 0xa8b
エラー 0xA8Bは、次の場合に発生します。
- 参加しているワークグループ コンピューターは、無効な DNS サーバーを指しています。
- 参加しているコンピューターで使用される DNS サーバーが無効であるか、必要なゾーンが見つからないか、ターゲット ドメインに必要なレコードがありません。
- ターゲット Active Directory ドメインには、問題のある DNS 名が含まれています。
- ネットワークの問題は、ワークグループ コンピューター、ターゲット DC、またはクライアントとターゲット DC の接続に使用されるネットワークに存在します。
このエラーを解決するには、次の手順に従います。
参加しているコンピューターが有効な DNS サーバー IP アドレスを指していることを確認します。 無効な例を次に示します。
- 企業イントラネット上の古い ISP DNS サーバーまたは存在しない ISP DNS サーバー。
- _MSDCSの読み込みを妨げるエラー状態の DNS サーバー 。<フォレスト ルート ドメイン> またはターゲット AD ドメイン ゾーン、またはこれらのゾーンのクエリの解決。 イベント ID 4521 がログに記録される場合があります。
クライアントで構成されているすべての DNS サーバーが、ターゲット ドメイン内の DC に必要なゾーンと有効なレコードをホストしていることを確認します。 次の構成の誤りを確認します。
- ターゲット AD ドメインの前方参照ゾーンがありません。
- _msdcs前方参照ゾーンがありません。
- _msdcs。<フォレスト ルート ドメイン ゾーンには、ターゲット ドメイン>内の DC のライトウェイト ディレクトリ アクセス プロトコル (LDAP) SRV レコードが含まれません。
- ホスト ターゲット AD ドメイン ゾーンにレコードがありません。
- ホスト A レコードは存在しますが、ターゲット DC の間違った IP アドレスが含まれています。
- ホスト A レコードは存在しますが、クライアント コンピューターからアクセスできないネットワーク インターフェイスによって登録されました。
追加の構成が必要なターゲット Active Directory ドメイン内の特殊な名前を確認します。
- 単一ラベルの DNS 名
- 不整合な名前空間
- 数値を含むすべての数値トップレベル ドメイン (TLD) または TLD
ワークグループ コンピューター、ターゲット DC、またはコンピューターとターゲット DC に接続しているネットワークのネットワークの問題を確認します。
- クライアント コンピューターまたはターゲット DC で破損したネットワーク インターフェイス カード (NIC)
- クライアントとターゲット DC の間のネットワーク パケットを破棄する壊れたネットワーク スイッチ
エラー コード 0x40
コンピューターをドメインに参加しようとすると、次のエラー メッセージが表示されます。
指定されたネットワーク名は使用できなくなりました
netsetup.log ファイルの例を次に示します。
mm/dd/yyyy hh:mm:ss:ms NetpValidateName: checking to see if '<domain_name>' is valid as type 3 name
mm/dd/yyyy hh:mm:ss:ms NetpCheckDomainNameIsValid [ Exists ] for '<domain_name>' returned 0x0
mm/dd/yyyy hh:mm:ss:ms NetpValidateName: name '<domain_name>' is valid for type 3
mm/dd/yyyy hh:mm:ss:ms NetpDsGetDcName: trying to find DC in domain '<domain_name>', flags: 0x40001010
mm/dd/yyyy hh:mm:ss:ms NetpDsGetDcName: failed to find a DC having account 'CLIENT1$': 0x525, last error is 0x0
mm/dd/yyyy hh:mm:ss:ms NetpDsGetDcName: status of verifying DNS A record name resolution for 'DCA.<domain_name>': 0x0
mm/dd/yyyy hh:mm:ss:ms NetpDsGetDcName: found DC '\\<dc_fqdn>' in the specified domain
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpDisableIDNEncoding: using FQDN <domain_name> from dcinfo
mm/dd/yyyy hh:mm:ss:ms NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on '<domain_name>' succeeded
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0
mm/dd/yyyy hh:mm:ss:ms NetUseAdd to \\<dc_fqdn>\IPC$ returned 64
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: status of connecting to dc '\\<dc_fqdn>': 0x40
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: Function exits with status of: 0x40
mm/dd/yyyy hh:mm:ss:ms NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on '<domain_name>' returned 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: NetpResetIDNEncoding on '<domain_name>': 0x0
mm/dd/yyyy hh:mm:ss:ms NetpDoDomainJoin: status: 0x40
このエラーは、クライアント コンピューターがクライアント コンピューターと DC の間の TCP ポート 88 のネットワーク接続がない場合に記録されます。 この問題をトラブルシューティングするには、次のコマンドを実行して接続をテストします。
Test-NetConnection <IP_address_of_the_DC> -Port 88
予期される出力:
出力は、クライアントと DC の間で Kerberos ポート TCP 88 が開かれていることを示します。
エラー コードの0x54b
エラー メッセージの例を次に示します。
注: この情報は、ネットワーク管理者を対象としています。 ネットワークの管理者でない場合は、ファイル C:\WINDOWS\debug\dcdiag.txt に記録されているこの情報を受け取ったことを管理者に通知します。
ドメイン "<domain_name" のActive Directory ドメイン コントローラー (AD DC) の検索に使用されるサービスの場所 (SRV) リソース レコードに対して DNS が照会されたときに、次のエラーが>発生しました。
"タイムアウト期間が切れたため、この操作が返されました" というエラーが発生しました。(エラー コード 0x000005B4 ERROR_TIMEOUT)
クエリは、srv_recordの SRV レコード用 <でした>
このコンピューターで名前解決に使用される DNS サーバーが応答していません。 このコンピューターは、次の IP アドレスを持つ DNS サーバーを使用するように構成されています。
<ip_address>
このコンピューターがネットワークに接続されていること、これが正しい DNS サーバー IP アドレスであり、少なくとも 1 つの DNS サーバーが実行されていることを確認します。
netsetup.log ファイルの例を次に示します。
mm/dd/yyyy hh:mm:ss:ms NetpValidateName: checking to see if '<domain_name>' is valid as type 3 name
mm/dd/yyyy hh:mm:ss:ms NetpCheckDomainNameIsValid for <domain_name> returned 0x54b, last error is 0x0
mm/dd/yyyy hh:mm:ss:ms NetpCheckDomainNameIsValid [ Exists ] for '<domain_name>' returned 0x54b
0x54b エラーを解決するには、次の手順に従います。
クライアントとドメイン コントローラーの間のネットワーク接続を確認します。
優先 DNS サーバーが正しい DNS サーバーであるかどうかを確認します。
(DC 検出) を実行
nltest /dsgetdcして、DC を検出できるかどうかを確認します。例:
nltest /dsgetdc:<domain_name> /force予期される出力:
最も近いドメイン コントローラーでを実行
DCDiag /vし、SRV レコードが登録されているかどうかを確認します。 例:_ldap._tcp.dc._msdcs.<domain_name>.com。
エラー コード 0x0000232A
クライアント コンピューターにドメインへの NetBIOS 名前解決がない場合、エラー 0x0000232Aが記録されます。
エラー メッセージの例を次に示します。
注: この情報は、ネットワーク管理者を対象としています。 ネットワークの管理者でない場合は、ファイル C:\WINDOWS\debug\dcdiag.txt に記録されているこの情報を受け取ったことを管理者に通知します。
ドメイン名 "<NetBIOS_name>" は、NetBIOS ドメイン名である可能性があります。 この場合は、ドメイン名が WINS に適切に登録されていることを確認します。
名前が NetBIOS ドメイン名ではないことが確実な場合は、次の情報が DNS 構成のトラブルシューティングに役立ちます。
ドメイン "<NetBIOS_name" のActive Directory ドメイン コントローラー (AD DC) の検索に使用されるサービスの場所 (SRV) リソース レコードに対して DNS が照会されたときに、次のエラーが>発生しました。
エラーは"DNS サーバーエラー" でした。(エラー コード 0x0000232A RCODE_SERVER_FAILURE)
クエリは、_ldap._tcp.dc._msdcs の SRV レコード用でした。<NetBIOS_name>
このエラーの一般的な原因は次のとおりです。
- このコンピューターで使用される DNS サーバーには、不適切なルート ヒントが含まれています。 このコンピューターは、次の IP アドレスを持つ DNS サーバーを使用するように構成されています。
<ip_address>
- 次の 1 つ以上のゾーンに正しくない委任が含まれています。
<> をNetBIOS_nameします。 (ルート ゾーン)
netsetup.log ファイルの例を次に示します。
mm/dd/yyyy hh:mm:ss:ms NetpValidateName: checking to see if '<NetBIOS_name>' is valid as type 3 name
mm/dd/yyyy hh:mm:ss:ms NetpCheckDomainNameIsValid for <NetBIOS_name> returned 0x54b, last error is 0x0
mm/dd/yyyy hh:mm:ss:ms NetpCheckDomainNameIsValid [ Exists ] for '<NetBIOS_name>' returned 0x54b
ドメイン名を入力するときは、NetBIOS 名ではなく DNS ドメイン名を入力してください。 たとえば、ドメインの DNS 名が contoso.com されている場合は、contoso ではなくその名前を入力してください。
エラー コードの0x3a
ドメインに参加しようとすると、次のエラーが発生しました。
指定されたサーバーは、要求された操作を実行できません。
netsetup.log ファイルの例を次に示します。
mm/dd/yyyy hh:mm:ss:ms NetpLdapBind: ldap_bind failed on <dc_fqdn>: 81: Server Down
mm/dd/yyyy hh:mm:ss:ms NetpJoinCreatePackagePart: status:0x3a.
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: Function exits with status of: 0x3a
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: status of disconnecting from '\\<dc_fqdn>': 0x0
mm/dd/yyyy hh:mm:ss:ms NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on '<domain_name>' returned 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: NetpResetIDNEncoding on '<domain_name>': 0x0
mm/dd/yyyy hh:mm:ss:ms NetpDoDomainJoin: status: 0x3a
クライアント コンピューターがクライアント コンピューターと DC の間の TCP ポート 389 でネットワーク接続がない場合、エラー 0x3aが記録されます。 この問題のトラブルシューティングを行うには、次のコマンドを使用して接続をテストします。
Test-NetConnection <IP_address_of_the_DC> -Port 389
予期される出力:
クライアントと DC の間で LDAP ポート TCP 389 が開かれていることを示します。
エラー コード 0x216d
ドメインに参加しようとすると、次のエラーが発生しました。
コンピューターをドメインに参加できませんでした。 このドメインに作成できるコンピューター アカウントの最大数を超えています。 この制限をリセットまたは増やすには、システム管理者に問い合わせてください。
mm/dd/yyyy hh:mm:ss:ms NetpMapGetLdapExtendedError: Parsed [0x216d] from server extended error string: 0000216D: SvcErr: DSID-031A124C, problem 5003 (WILL_NOT_PERFORM), data 0
mm/dd/yyyy hh:mm:ss:ms NetpModifyComputerObjectInDs: ldap_add_s failed: 0x35 0x216d
mm/dd/yyyy hh:mm:ss:ms NetpCreateComputerObjectInDs: NetpModifyComputerObjectInDs failed: 0x216d
mm/dd/yyyy hh:mm:ss:ms NetpProvisionComputerAccount: LDAP creation failed: 0x216d
mm/dd/yyyy hh:mm:ss:ms NetpProvisionComputerAccount: Retrying downlevel per options
mm/dd/yyyy hh:mm:ss:ms NetpManageMachineAccountWithSid: NetUserAdd on '<dc_fqdn>' for 'CLIENT1$' failed: 0x216d
mm/dd/yyyy hh:mm:ss:ms NetpProvisionComputerAccount: retry status of creating account: 0x216d
mm/dd/yyyy hh:mm:ss:ms ldap_unbind status: 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinCreatePackagePart: status:0x216d.
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: Function exits with status of: 0x216d
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: status of disconnecting from '\\<dc_fqdn>': 0x0
mm/dd/yyyy hh:mm:ss:ms NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on '<domain_name>' returned 0x0
mm/dd/yyyy hh:mm:ss:ms NetpJoinDomainOnDs: NetpResetIDNEncoding on '<domain_name>': 0x0
mm/dd/yyyy hh:mm:ss:ms NetpDoDomainJoin: status: 0x216d
エラー 0x216dは、次のいずれかの条件で記録されます。
- マシンをドメインに参加させようとしているユーザー アカウントが、ドメインに参加しているマシンの制限を 10 台超えました。
- 認証されたユーザーがコンピューターをドメインに参加できないようにするには、GPO の制限があります。
ユーザー アカウントが、既定のドメイン コントローラー ポリシー GPO またはウイニング GPO のドメイン ポリシーにワークステーションを追加するポリシーに記載されているグループのメンバーであることを確認します。
GPO 設定は、[コンピューターの構成>ポリシー>] [Windows 設定][セキュリティ設定>] >[ローカル ポリシー] [ユーザー権利の割り当て>][ドメインにワークステーションを追加する] にあります。
ユーザーがドメインに参加できるワークステーションの数に対する既定の制限を確認するには、「ユーザーがドメイン に参加できるワークステーションの数に対する既定の制限」を参照してください。
Windows ベースのコンピューターをドメインに参加させるときに発生するその他のエラー
詳細については、以下を参照してください:
- ネットワークのエラー メッセージと解決策のトラブルシューティング
- 認証エラー メッセージと解決策のトラブルシューティング
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示