次の方法で共有


AD レプリケーション エラー 8461 のトラブルシューティング

この記事では、AD レプリケーションが遅延し、Win32 エラー 8461 が生成される場合の現象、原因、解決の手順について説明します。

レプリケーション操作が割り込まれた。

元の KB 番号: 2981628

現象

具体的な症状は次のとおりです。

  • 症状 1:

    DCDIAG は、Active Directory レプリケーション テストがエラー状態 (8461) で失敗したことを報告します。レプリケーション操作が優先されました。

    DCDIAG のサンプル エラー テキストは次のようになります。

    テスト サーバー: <site><DC 名>
    テストの開始: レプリケーション
    * レプリケーションチェック

    レプリケーションの待機時間に関する警告
    [レプリケーションチェック,<DC 名>] このレプリケーション パスは、優先度の高い作業によって割り込まれた。
    <source DC> から <destination DC へ>
    名前付けコンテキスト: DC=<DN パス>
    レプリケーションでエラーが発生しました (8461):
    レプリケーション操作が割り込まれた。
    このパスに沿った新しい変更のレプリケーションは遅延されます。
    進行状況は、このパスで正常に発生しています。

  • 症状 2:

    REPADMIN.EXEは、通常の理由で最後のレプリケーション試行が遅れたことを報告します。結果は 8461 (0x210d)。

    REPADMIN 一般的に 8461 状態を引用するコマンドには、次のものが含まれますが、これらに限定されません。

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL
  • 症状 3:

    Repadmin /rehost が失敗し、状態コード 8461 が生成されます。

  • 現象 4:

    Repadmin /queue 出力では、状態が "PREEMPTED" である 1 つ以上のタスクが表示されます。

    [12142] Enqueued 2011-11-26 06:05:55 at priority 40
    ソースからの同期
    NC dc=west,dc=contoso,dc=com
    DSA ボルダー\ボルダーDC DC DSA オブジェクト GUID <GUID>
    DSA トランスポート 加算 <GUID>._msdcs.contoso.com
    ASYNCHRONOUS_OPERATION NEVER_COMPLETED NEVER_NOTIFY PREEMPTED

  • 症状 5:

    Active Directory サイトとサービス (DSSITE) の "今すぐレプリケート" コマンド。MSC) が失敗し、次のエラー メッセージが生成されます。

    レプリケーション操作が割り込まれた。

    ダイアログ タイトル: 今すぐレプリケート
    メッセージ テキスト: ドメイン コントローラー <ソース DC から名前付けコンテキスト<ディレクトリ パーティションのDNS 名>を同期しようとしたときに、次のエラーが発生しました>
    ドメイン コントローラー <Destination DC に>:
    レプリケーション操作が割り込まれた。

  • 現象 6:

    Directory Services イベント ログのイベントは、エラー状態 8461 を示します。

    イベント ソースとイベント ID メッセージ
    NTDS レプリケーション 1839 レプリケーション キューで待機している操作の数を次に示します。 最も古い操作は、次の時刻から待機しています。 時間: <date><time> 待機操作の数: <値> このドメイン コントローラーの全体的なレプリケーション ワークロードが大きすぎる場合、またはレプリケーション間隔が小さすぎる場合に発生する可能性があります。
    NTDS レプリケーション 2094 パフォーマンス警告: 次のオブジェクトに変更を適用しているときにレプリケーションが遅延しました。 このメッセージが頻繁に発生する場合は、レプリケーションの実行速度が遅く、サーバーが変更に対応するのが難しい可能性があることを示します。

    ソース: NTDS レプリケーション
    イベント ID 1839
    種類: 警告
    説明:
    待機中の操作の数を次に示します。
    をレプリケーション キューに格納します。 最も古い操作には次のものがあります。
    次の時間から待機しています。
    Time:
    待機中の操作の数:
    この条件は、全体が
    このドメイン コントローラーのレプリケーション ワークロードは、
    が大きすぎるか、レプリケーション間隔が小さすぎます。

    Note

    詳細なレプリケーション診断ログが 0x1 以上の値に設定されている場合、実行時間の長いレプリケーション タスクが完了すると、イベント 1580 もログに記録されます。

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Diagnostics]"5 レプリケーション イベント"=dword:00000001

    イベント ソースとイベント ID イベントの文字列
    NTDS レプリケーション 1580 実行時間の長い Active Directory ドメイン Services 受信レプリケーション タスクは、次のパラメーターで終了しました。

    経過時間 (分):
    84

    操作:
    レプリカの同期

    オプション:
    0x21000051

    パラメーター 1:
    DC=Contoso,DC=com

    パラメーター 2:
    <source DC ntds settings オブジェクト オブジェクト guid>

    パラメーター 3:

    パラメーター 4:

    実行時間の長いレプリケーション タスクは、システムが使用できなくなった場合や、ディレクトリ パーティションが長期間使用できない場合にも発生する可能性があります。 実行時間の長いレプリケーション タスクは、多数の更新プログラム、またはソース ディレクトリ サービスで発生する複雑な更新プログラムの数を示している可能性があります。 重要でない時間帯にこれらの更新を実行すると、レプリケーションの遅延が妨げる可能性があります。

    新しいディレクトリ パーティションを Active Directory ドメイン Services に追加する場合は、実行時間の長いレプリケーション タスクが通常実行されます。 これは、新しいインストール、グローバル カタログの昇格、またはナレッジ整合性チェッカー (KCC) によって生成された接続が原因で発生する可能性があります。

    追加データ

    エラー値:

    操作は正常に完了しました。

原因

このレプリケーションの状態は、宛先 DC の受信キューに優先順位の高いレプリケーション タスクがある場合に返されます。 エラー状態を示すわけではありません。レプリケーション タスクは取り消されず、優先順位の高い作業が完了するまでタスクは保持パターンに配置されます。 大規模な環境では、このメッセージが定期的に返されるのが普通であり、条件が一時的であることに注意することが重要です。

この問題は一般的で一時的なものですが、その他の AD レプリケーションの問題によっては、キューにバックログが発生する可能性があります。 これが発生した場合、レプリケーション タスクが頻繁に割り込まれるのを見始める可能性があります。 イベント 2094 "パフォーマンス警告" の頻繁なログ記録 (サンプル イベントは「現象」および「解決策」セクションに示されています) は、トラブルシューティングが必要になる可能性があることを示すもう 1 つの指標です。

これらの問題を調査する
repadmin /queueとレプリケーションの優先順位の説明

時間の経過に伴うキューの出力を分析して、タスクが処理されているかどうかを判断する
の説明 repadmin /showrepl /verbose

Active Directory レプリケーションが割り込まれました。 受信レプリケーションの進行状況は、 repadmin /sync コマンドを使用して手動で生成された要求など、優先順位の高いレプリケーション要求によって中断されました。 レプリケーションが完了するまで待ちます。 この情報メッセージは、通常の操作を示しています。

レプリケーションの負荷

  • パートナーが多すぎます
  • オブジェクトと属性の更新の頻度が高すぎます
  • 頻繁な更新とサイト間の変更通知の組み合わせにより、冗長な変更通知のレートが高くなります
  • 小さいレプリケーション スケジュール ウィンドウ

パフォーマンスベースの問題

  • ディスクとメモリのパフォーマンス
  • ネットワーク パフォーマンス

解決方法

この状態は、エラー状態を示していません。 これは多くの場合、一時的な問題であり、解決手順は必要ありません。

状態 8461 がクリアされない場合は、正しいパスを決定するために多くの作業を行う必要があります。 この問題には、複数のトラブルシューティング ツールに関する高度な知識が必要です。 データ分析プロセスを支援するために、Microsoft サポートの助けを求める必要がある場合があります。

基になる問題を解決する手順を実装する前に、原因を特定する必要があります。 レプリケーションの状態 8461 の原因は、次のいずれかのシナリオで発生する可能性があります。

  • 一時的な条件

  • レプリケーションの負荷

    • 一貫性のある負荷
    • 一時的な読み込み
  • パフォーマンスの問題

    • OS のパフォーマンス
    • ディスク パフォーマンス
    • ネットワーク パフォーマンス

これが一時的な条件であるかどうかを判断します。 手動レプリケーションが開始された時間を文書化し、 repadmin /queue 出力で対応するタスクを見つけます。 後で、 repadmin /queueを実行し、手動で開始されたタスクがまだ存在するかどうかを判断します。

レプリケーション タスクがキューに登録されている場合。 現在実行中のタスクを確認し、調査します。

イベント ログ データ、repadmin 出力、パフォーマンス モニターを使用して、問題の原因を特定します。 更新プログラムの処理速度と変更率を決定します。

レプリケーションの負荷

常に

ドメイン コントローラーのレプリケーション パートナーが多すぎるか、レプリケーションの負荷が大きすぎます。 オーバーロードされた DC の症状は次のようになります。

  • レプリケーション タスクがタイムリーに処理されてもクリアされないレプリケーション キュー

    Note

    時間の経過と共に repadmin /queue を使用し、これをパフォーマンス データと関連付けて、このシナリオを特定できます。

  • レプリケーション状態 8461 が頻繁に発生する

  • 解決策: 受信接続を減らす (ハブ サイト DC 間の接続のバランスを取る (ここで役立つADLB.exe)、新しい DC を追加して接続を再調整する、スポーク サイトに RODC を展開する、変更の過剰なレプリケーションを減らす。

過剰なレプリケーション

頻繁に更新される属性。 詳細レプリケーション イベント ログ イベントを使用して (または repadmin /showchangesを使用して) 属性の更新を識別し、宛先 DC 上の複数のオブジェクトの repadmin /showobjmeta と関連付けます。 イベントで識別された属性を調べて高いバージョン番号を探すか、1 日を通して同じオブジェクトの複数のログを取得し、バージョン番号が頻繁に増加するかどうかを確認します。

一時

  • 一括変更の頻度が低い
  • パーティションを初めてホストした後、またはリホスト中にホストした後

パフォーマンスベースの問題

パフォーマンスによって発生するキューのビルドアップの一般的な症状は次のとおりです。

イベント ID 2094

イベントの種類: 警告
イベント ソース: NTDS レプリケーション
イベント カテゴリ: レプリケーション
イベント ID: 2094
説明:
パフォーマンスの警告: レプリケーションが遅れた
次のオブジェクトに変更を適用します。 この場合
メッセージが頻繁に発生する場合は、
レプリケーションの実行速度が遅く、サーバーが
変更に追いつくのが難しい場合があります。
オブジェクト DN: CN=JUSTINTU,OU=Workstations,DC=contoso,DC=com
オブジェクト GUID: <GUID>
パーティション DN: DC=contoso,DC=com
サーバー: <GUID>._msdcs.contoso.com
経過時間 (秒): 13
ユーザーの操作:
この遅延が発生する一般的な理由は、このオブジェクトが特に大きいため、値のサイズまたは値の数です。 まず、オブジェクトに格納されるデータの量を減らすためにアプリケーションを変更できるか、値の数を減らすことができるかを検討する必要があります。これが大規模なグループまたは配布リストの場合は、レプリケーションをより効率的に機能させるために、フォレストバージョンを Windows Server 2003 に引き上げることを検討してください。 サーバー プラットフォームがメモリと処理能力に関して十分なパフォーマンスを提供するかどうかを評価する必要があります。 最後に、データベースとログを別々のディスク パーティションに移動して、Active Directory データベースをチューニングすることを検討できます。

警告の制限を変更する場合は、レジストリ キーを以下に示します。 値が 0 の場合、チェックは無効になります。

追加データ警告制限 (秒): 10 個の制限レジストリ キー: System\CurrentControlSet\Services\NTDS\Parameters\Replicator の更新オブジェクトの最大待機時間 (秒)

パフォーマンス監視と repadmin /queue 出力を使用して、データベースに適用された変更が遅く発生しているかどうかを判断します。 AD レプリケーション カウンターをベース OS パフォーマンス カウンター (ディスク、メモリ、ネットワーク、CPU) と関連付けます。

DC

ディスク

ネットワーク

キューには 55 個の項目が含まれています。
現在のタスクは、 <DateTime> で実行を開始しました。
タスクは 508 分 53 秒間実行されています。
[6485] Enqueued 2011-11-26 01:55:33 at priority 590
SYNC FROM SOURCE NC DC=corp,DC=contoso,DC=com
DC ヒューストン\5thWardDC
DC オブジェクト GUID <GUID>
DC トランスポート 加算 <GUID>._msdcs.contoso.com
FORCE
[12142] 優先順位 40 のエンキューされた <DateTime>
SYNC FROM SOURCE NC dc=west,dc=contoso,dc=com
DC ボルダー\ボルダーDC
DC オブジェクト GUID <GUID>
DC トランスポート 加算 <GUID>._msdcs.contoso.com
ASYNCHRONOUS_OPERATION NEVER_COMPLETED NEVER_NOTIFY PREEMPTED

詳細

AD レプリケーションの低速のトラブルシューティング

この問題には、複数のトラブルシューティング ツールに関する高度な知識が必要です。 データ分析プロセスを支援するために、Microsoft サポートの助けを求める必要がある場合があります。

用語: スローと潜在

AD レプリケーションが遅い場合、変更は Active Directory データベースにコミットされるか、レプリケーション タスクの処理に時間がかかります。

一般的な原因には、次のようなものがあります。

  • DC/OS のパフォーマンスに関する問題

    • リソースの枯渇
    • ディスクのボトルネック
  • AD データベースの問題

    • 論理的または物理的な破損
    • オブジェクトまたは属性の問題
  • DC の負荷に関する問題

    • 処理するクライアントが多すぎます

    • レプリケーション storm

      • オブジェクトと属性の変更率が高い
      • パーティションの完全同期

潜在的な AD レプリケーションでは、DC に長時間の変更が通知されません。

一般的な原因には、次のようなものがあります。

  • AD トポロジの構成 (スケジュール、サイト リンク、レプリケーション スケジュール、切断トポロジ)

このドキュメントとデータ収集戦略は、低速 AD レプリケーションのトラブルシューティングに使用することを目的としています。

AD レプリケーションが遅くなる現象

データ収集

Repadmin Data

Repadmin /queueを使用して、キューに登録されたレプリケーション タスクを文書化します。 キューを監視して、レプリケーション タスクの処理に遅延があるかどうかを確認します。 すべての repadmin /queue 出力を同じテキスト ファイルに記録して、適切な履歴データを取得します。

Repadmin /queue DCName >DCNameReplQueue.txt  
Choice /d y /t 300  
Repadmin /queue DCName >>DCNameReplQueue.txt  
Choice /d y /t 300  
Repadmin /queue DCName >>DCNameReplQueue.txt  
Choice /d y /t 900  
Repadmin /queue DCName >>DCNameReplQueue.txt  
Choice /d y /t 900  
Repadmin /queue DCName >>DCNameReplQueue.txt  
Choice /d y /t 1800  
Repadmin /queue DCName >>DCNameReplQueue.txt

出力を確認して、レプリケーション タスクがタイムリーに処理されるかどうかを確認します。 ファイルの先頭には、現在実行中のタスクと実行されている時間の長さが含まれています。 同じタスクが常に出力の一番上にある場合は、 repadmin /showrepl の詳細出力を使用して進行状況を監視できます。

Repadmin の変更

Repadmin /showrepl

Repadmin /showrepl/verbose オプションを使用して、最後のレプリケーションの状態と、レプリケートする残りの変更の数を監視します。

Repadmin /showrepl /verbose DCNameDomainDN  

Repadmin /showrepl /verbose 5thwardCorpDC dc=corp,dc=contoso,dc=com

目的のソース DC のみが表示されるように出力を制限するには、次のコマンドを使用します。

Repadmin /showrepl /verbose DCNameDomainDN SourceDcDSAObjectGUID

Repadmin /showrepl /verbose 5thwardCorpDC <GUID> dc=corp,dc=contoso,dc=com

Repadmin /showutdvec

レプリケーションの差分を確認するには、ソース DC と宛先 DC の Repadmin /showutdvec を使用します。

repadmin /showutdvec DCName DomainDN

repadmin /showutdvec LiverpoolDC1 dc=north,dc=fabrikam,dc=com

対象のパーティションのソース DC と宛先 DC から Repadmin /showutdvec /latency を取得します。

出力で、次の内容を文書化します。

  1. ソース DC showutdvec から: ソース DCName の横にある USN #
  2. SOURCE DCNanme の横にある宛先 DC showutdvec USN# から

ソース DC

Dallas\2008DC1 @ USN 451265 @ Time <DateTime>
Dallas\SourceDC @ USN 1126541 @ Time <DateTime>
Houston\2012DC3 @ USN 469842 @ Time <DateTime>
66a1b264-80b8-44f8-8356-9ebcd7a34f15 @ USN 32811 @ Time <DateTime>
Dallas\2012DC2 @ USN 460219 @ Time <DateTime>
Dallas\DestinationDC @ USN 1353465 @ Time <DateTime>
Dallas\2003DC1 @ USN 15556 @ Time <DateTime>

宛先 DC

Dallas\2008DC1 @ USN 451265 @ Time <DateTime>
Dallas\SourceDC @ USN 801224 @ Time <DateTime>
Houston\2012DC3 @ USN 469842 @ Time <DateTime>
66a1b264-80b8-44f8-8356-9ebcd7a34f15 @ USN 32811 @ Time <DateTime>
Dallas\2012DC2 @ USN 460219 @ Time <DateTime>
Dallas\DestinationDC @ USN 1359087 @ Time <DateTime>
Dallas\2003DC1 @ USN 15556 @ Time <DateTime>

ソース DC

SourceDC @ USN 1126541

宛先 DC

SourceDC @ USN 801224

1126541-801224 = 325317

宛先 DC は 325,317 USN ビハインドです。

Note

次のコマンドを使用して、ソース DC からソース DC highestcommitedUSN を取得することもできます。

repadmin /showattr SourceDC . /atts:highestcommittedusn DN: 1> highestCommittedUSN: 1126541

パフォーマンス データ

AD 診断テンプレートを使用する新しいユーザー定義データ コレクター セットをパフォーマンス モニターに作成します。

ここでの手順では、ベースライン DC パフォーマンス カウンターの適切なセットを設定する方法について詳しく説明します。 特定のシナリオに合わせて期間やサンプル間隔など、一部の設定を変更する必要があります。

ユーザー定義データ コレクション セットを作成する方法

  1. フル バージョンの Windows Server 2008 以降のバージョンでサーバー マネージャーを開きます。
  2. [診断] > [パフォーマンス] > [データ コレクター セット] を展開します。
  3. [ユーザー定義] を右クリックし、[新規 > データ コレクター セット] を選択します。
  4. AD DS 診断などの名前を入力し、既定の [テンプレートから作成] (推奨) を選択したままにします。 次に、 [次へ] を選択します。
  5. テンプレートの一覧から [Active Directory 診断] を選択し、[次へ] を選択し、ウィザードの指示に従います (必要と思う変更を加えます)。
  6. 新しいユーザー定義データ コレクター セットを右クリックし、[プロパティ] を表示します。
  7. 実行時間を変更するには、[停止条件] タブの [全体の期間] 設定を変更し、[OK] をクリックして変更を適用します。

考慮すべきオプション:

  • [全体の期間] - 一定時間収集した後にデータ コレクターを停止できます

  • 制限 - 時間またはサイズのしきい値に達した後にデータ収集を停止できます (自動的に再起動するオプションを使用)

    ログ サイズを制限する場合は、制限の設定が便利です。

    • 制限でデータ コレクター セットを再起動する

    • Duration

    • 最大サイズ

      最大サイズが 100 MB に設定された AD DS 診断プロパティ ウィンドウのスクリーンショット。

ユーザー定義データ コレクター セットのパフォーマンス カウンター プロパティを表示する

  1. 新しいユーザー定義データ コレクター セットを選択します。
  2. [パフォーマンス カウンター] を右クリックし、[プロパティ] を選択します。

ここでは、サンプル間隔を変更し、追加のカウンターを追加または削除するオプションがあります。

このシナリオでは、3 秒の既定のサンプリング間隔で十分です。 ただし、サンプリング時間が長い場合、3 秒は間隔が長すぎます。

間隔に 3 秒が設定されているパフォーマンス カウンター プロパティ ウィンドウのスクリーンショット。

推奨されるすべてのカウンターは、3 つの例外を除き、既定の AD 診断のコレクター セットに含まれます。

  • Database ==>Instances(lsass/NTDSA)\ *

  • LogicalDisk(*)\*

    LogicalDisk の場合: すべてのインスタンスは必須ではありません。データベースとログが格納されているシステム ドライブとドライブは、最小で含める必要がありますSecurity System-Wide Statistics\*

  • セキュリティ システム全体の統計情報\*

AD DS データベース カウンターをユーザー定義データ コレクション セットに追加するには

  1. パフォーマンス カウンターのプロパティで、[追加] を選択します。

  2. Database ==>Instances を展開します (すべてのカウンターを強調表示する必要があります)。

  3. 選択したオブジェクトのインスタンスで、lsass/NTDSA を選択します。

  4. [追加] を選択し、[OK] をクリックします。

    選択したオブジェクトのインスタンスで選択された lsass/NTDSA のスクリーンショット。

  5. LogicalDisk オブジェクトと Security System-Wide Statistics オブジェクトも追加します。

    LogicalDisk オブジェクトと Security System-Wide Statistics オブジェクトが選択されているパフォーマンス カウンター プロパティ ウィンドウのスクリーンショット。

設定が好みに合わせて構成されたら、新しいデータ コレクター セットをサーバー マネージャーから直接実行するか、エクスポートして特定のサーバーに展開できます。

パフォーマンス データの収集を開始する準備ができたら、新しく定義したコレクション セットを開始します。

MMC から新しく定義されたデータ コレクション セットを開始するには:

  1. パフォーマンス モニター mmc で、パフォーマンス/データ コレクター セット/ユーザー定義に移動します。
  2. 新しいコレクション セット AD DS 診断 を右クリックし、[開始] を選択します。
  3. ユーザー定義 AD DS 診断を選択して開始されたことを確認できます 状態が [実行中] になっている必要があります。

テストが完了したら、AD DS 診断コレクション セットを停止します。

  1. パフォーマンス モニター mmc で、パフォーマンス/データ コレクター セット/ユーザー定義に移動します。
  2. 新しいコレクション セット AD DS 診断を右クリックし、[停止] を選択します。 [ユーザー定義] を選択すると、停止したことを確認できます。

AD DS 診断 状態が [実行中] から [コンパイル中] になり、最後に [停止] 表示の更新に関して MMC が優れているわけではないことに注意してください。そのため、clickStop の後に実行中またはコンパイル中にスタックしているように見える場合は、画面を更新してみてください。

コンパイル済みレポートは、 パフォーマンス/レポート/ユーザー定義/AD DS 診断で表示できます

Windows エクスプローラーの既定のパスは次のとおりです: %systemdrive%\PerfLogs\Admin\AD DS Diagnostics

コマンド ラインの手順: コマンド ラインから AD 診断を収集します。

コマンド ラインからデータのコレクションを開始するには、管理者特権のコマンド プロンプトから次のコマンドを発行します。 logman start "user defined\AD DS Diagnostics" -ets
既定の 5 分前にデータの収集を停止するには、次のコマンドを発行します (この問題の完全な 5 分間のサンプルを少なくとも 1 つ取得します) logman stop "user defined\AD DS Diagnostics" -ets

診断データは、C:\PerfLogs\Admin\AD DS Diagnostics\DateStamp に記録されます。

サンプル データ収集スクリプト

logman start "system\Active Directory Diagnostics" -ets time /t >slow.txt  
repadmin /showrepl /verbose LiverpoolDC1 dc=north,dc=fabrikam,dc=com >slowrepl.txt  
repadmin /queue LiverpoolDC1 >>slow.txt  
repadmin /showutdvec LiverpoolDC1 dc=north,dc=fabrikam,dc=com >>slow.txt  
:start  
ping 127.0.0.1 -n 60 >NUL  
time /t >>slow.txt time /t >>slowrepl.txt  
repadmin /showrepl /verbose LiverpoolDC1 dc=north,dc=fabrikam,dc=com >>slowrepl.txt
repadmin /queue LiverpoolDC1 >>slow.txt  
repadmin /showutdvec LiverpoolDC1 dc=north,dc=fabrikam,dc=com >>slow.txt  
goto start

イベント ログ データ

ディレクトリ サービスのイベント ログで有効になっている既定のログは、変更の適用速度が遅いイベントを監視するのに役立ちます。 (EVENT X)詳細診断ログを有効にすると、現在適用されている変更を確認できます。 この記事で説明されているレベルで診断ログを有効にすると、ログがすぐにいっぱいになるため、この状態のトラブルシューティングを積極的に行っている間にのみ有効にしてください。 このレベルの詳細度でログに記録されるイベントの割合を把握するには:

2 分未満 (1 分 27 秒) でラップされた 100 MB に構成された Directory Services イベント ログ。 ログには 195,728 個のイベントが含まれていました。 すべてのイベントのうち、189,340 はイベント ID 1412 (属性の追加) でした。

  • Directory Services イベント ログのサイズを増やす

  • 拡張ログによってログが短時間でラップされないようにイベント ログのサイズを変更する

  • AD レプリケーション診断ログを有効にして0x5します。

    HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics 5 Replication Events = 5

状態 8461 を受け取った直後に Directory Services イベント ログをエクスポートし、診断ログを適切なレベルに減らします。

次のイベント ログを確認します。

属性値はデータベースにどのくらいの速さで書き込まれますか? ->Directory Services イベント ログ イベント ID 1412 以上、パフォーマンス カウンターを使用する: DirectoryServices/ DRA 受信プロパティの適用/秒

レプリケーション イベントの診断レベル 5 では、ユーザー オブジェクトの作成では、約 25 個程度のイベント 1412 が (ユーザー作成時に書き込まれた内容に応じて) 書き込まれます (属性値ごとに 1 つ)。 すべての属性が追加されると、オブジェクト作成イベントがログに記録されます (イベント ID 1365)。

イベントの説明セクションには、次のデータが含まれています。

内部イベント:
次のオブジェクトの変更は、ローカル Active Directory ドメイン Services データベースに適用されました。
プロパティ: 900dd (sAMAccountName)
オブジェクト: CN=xtestingusers14167,CN=Users,DC=north,DC=fabrikam,DC=com オブジェクト
GUID: <GUID>
リモート バージョン: 1
リモート タイムスタンプ: <DateTime>
リモート発信元 USN: 540828

Property セクションには、属性の attributeID と lDAPDisplayName の両方が含まれています。

このデバッグ ログ レベルでは、値ごとに 1 つのイベントが書き込まれます。 イベントをフィルター処理し、特定の期間内に発生するエントリの数を決定します。 イベントの詳細を確認して、オブジェクトをインスタンス化するために複数の属性の値を書き込んでいるか、複数のオブジェクト間で同じ属性に書き込んでいるかを判断します。 このレベルの分析は煩雑に思えるかもしれませんが、根本原因の特定に役立ちます。 たとえば、1 秒あたり数イベントしか書き込み中でない場合は、トランザクションがデータベースに書き込まれる速度が遅いか、冗長な変更を送信しているパートナーが多すぎる (イベント ID 1239) ことを示している可能性があります。

レプリケーション診断が0x5に設定されている場合、イベント ID 1239 が表示されるのが完全に正常であることに注意してください。 イベント 1239 を除外し、他に何も表示されておらず、イベント ログ履歴が非常に長い場合は、問題を示している可能性があります。 この問題は、サイト間の変更通知が有効になっている大規模な Active Directory 環境を持つお客様によって観察されました。 1 秒あたりに多数のイベントがあると判断した場合、レプリケーションはパフォーマンスの問題の影響を受けないでしょう。

オブジェクト メタデータ

イベント ID の処理に変更に時間がかかっていることを示すイベントがログに記録された場合は、objectGUID を記録してから、次の出力を取得します。

レプリケーション メタデータ:

Repadmin /showobjmeta "<GUID=ObjectGUID>" >objectmeta.txt

最近変更された属性の出力を確認します。 頻繁に変更されるバージョン番号を持つ属性に特に注意してください。 バージョン数が多い属性は、属性に頻繁に変更が加えられていることを示している可能性があります。 これが疑われる場合は、属性値を表示して属性が変更された理由に関するコンテキストを取得するか、時間を経過させてから出力 repadmin /showobjmeta 追加して、同じオブジェクトの同じ属性のバージョンがさらに増加したかどうかを確認できます。

オブジェクトと属性のデータ:

ユーティリティを使用して、オブジェクトと属性値を出力します。 次に、最近データを変更した属性の属性データを確認します。 次の例では、これを行う 2 つの方法を示します。

repadmin のオブジェクト属性値:

Repadmin /showattr DCName "<GUID=ObjectGUID>" /allvalues /long >objectByGuid.txt

CLR からのオブジェクト属性値

サーバーに接続して、データベースにバインドし、オブジェクトのすべての出力をテキスト ファイルにコピーします。

ldpoutput.txt

ネットワーク関連データ

Tasklist /svc >nets.txt Netstat -anob >>nets.txt

Data AnalysisKey AD レプリケーション固有のパフォーマンス カウンター

  • 残りの DRA 受信完全同期オブジェクト
  • DRA 受信オブジェクトの適用/秒
  • DRA 受信オブジェクト/秒 (受信レプリケーション)
  • フィルター処理された DRA 受信オブジェクト /秒 (すべての新しい属性を提案)
  • ブート レプリケーション キュー以降の DRA 送信バイト数の合計:
DirectoryServices\DRA Pending Replication Synchronizations このサーバーのキューに登録されているディレクトリ同期の数を示します。 このカウンターは、レプリケーション バックログを識別するのに役立ちます。数値が大きいほど、バックログが大きくなります。 このカウンターは、できるだけ低くする必要があります。 そうでない場合は、サーバー ハードウェアのレプリケーション速度が低下している可能性があります。

このカウンターを使用して、レプリケーション キューを特定します。 Repadmin /queue DCName もこの情報を報告します。

現在のパフォーマンスの測定:

DRA Inbound Objects Applied/sec 受信レプリケーションを通じて近隣ノードから受信し、適用されたオブジェクトの数を示します。
DRA Inbound Properties Applied/sec 受信レプリケーション パートナーから適用されたオブジェクト プロパティ (属性) の合計数を示します。

2 つのカウンターを使用して、変更がデータベースに適用されている速度を監視できます。

データベース:

サーバーのパフォーマンス:

パケットに残っている DirectoryServices\DRA 受信オブジェクトの更新 ローカル サーバーにまだ適用されていない最新のディレクトリ レプリケーション更新パケットで受信したオブジェクト更新の数を示します。 このカウンターは、監視対象サーバーが変更を受信しているが、データベースに適用するのに時間がかかっていることを示します。 このカウンターは、できるだけ低くする必要があります。 そうでない場合は、通常、サーバー ハードウェアのレプリケーション速度が低下していることを示します。

ネットワーク:

Object\counter 説明 ガイドライン
DirectoryServices\DRA Inbound Bytes Total/sec 受信レプリケーションを通じて 1 秒あたりに受信した合計バイト数を示します。 この数値は、受信中に受信した圧縮されていないデータと圧縮されたデータのバイト数の合計です。

テスト

シナリオ 2 つの DC が分離されました (クライアントまたはその他のサーバー アクティビティなし) 15,000 人のユーザーがスクリプトから作成され、1 つの DC に設定された最小属性が 2 つの DC 間の接続を有効にしました。

このレベルの詳細度でログに記録されるイベントの割合を把握するには:

2 分 (1 分 27 秒) 未満でラップされたサイズで 100 MB に構成された Directory Services イベント ログ。 ログには 195,728 個のイベントが含まれていました。 すべてのイベントのうち、189,340 はイベント ID 1412 (属性の追加) でした。 1 秒あたり 1412 秒のイベントの数:

01: 2400
02: 3570
03: 3540
04: 2160
05: 1170
06: 1890
07: 2225
08: 1435
09: 4233
10: 2817

イベント ID 1365 (オブジェクトの作成) は、1 分 27 秒で 6,312 回ログに記録されました。 1 分で 4,630 個のユーザー オブジェクトが作成され、138,900 個の属性)、または 1 秒あたり約 77 個のオブジェクトで構成されます。

この問題を効果的にトラブルシューティングするには、NTDS パフォーマンス カウンターを理解する必要があります。

1 秒あたりのオブジェクトの作成は、次のパフォーマンス カウンターを使用して取得されます。

  • NTDS/DRA 受信オブジェクトの適用/秒

  • Database adds/sec

  • NTDS/DRA 受信値 (DN のみ)/秒 この数には、他のオブジェクトを参照するオブジェクトが含まれます。 グループまたは配布リスト のメンバーシップなどの識別名の値は、グループまたは配布リスト オブジェクトに数百または数千のメンバーを含めることができるため、他の種類の値よりも適用するコストが高くなります。 これに対し、単純なオブジェクトには 1 つまたは 2 つの属性しかない場合があります。 このカウンターの値が多いと、受信の変更がデータベースに適用されるのに時間がかかる理由が説明される場合があります。 1 秒あたりの属性の作成数は次のとおりです。

  • NTDS/DRA 受信プロパティの適用/秒

よく発生する特殊な条件

Repadmin /rehost の結果は、状態 8461 になります。

この問題は、再ホストされている GC が他のパーティションの更新の受け入れ中である場合に発生します。 スキーマ、構成、ドメイン パーティションを含む書き込み可能なドメイン パーティションのソーシングは、本質的に、読み取り専用ドメイン パーティションのリホストよりも優先度の高い作業項目です。

Repadmin /queue 出力には、パーティションを追加する要求がキューに登録され、最終的に処理されることを示す必要があります。 ただし、パーティションリホストの別の方法を使用する必要がある場合があります。

  1. Repadmin /unhost
  2. イベント ID 1660 を待機します
  3. KCC 接続変換を無効にする
  4. Repadmin /addIf /add が完了する前にプロセスが割り込まれます。受信レプリケーションを無効にし、 repadmin /replicate/readonly オプションと /force オプションを使用して、受信レプリケーションを再度有効にする前にパーティションを再ホストできます。

データ収集

Microsoft サポートからのサポートが必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」に記載されている手順に従って情報を収集することをお勧めします