Windows Server ドメイン コントローラーをグローバル カタログ サーバーに昇格できない
この記事では、Windows Server ドメイン コントローラーをグローバル カタログ サーバーに昇格できない問題の解決策について説明します。
元の KB 番号: 889711、910204
Windows Server のディレクトリ サービス ログに記録されたイベント メッセージ
Windows Server ドメイン コントローラーをグローバル カタログ サーバーに昇格することはできません。 Global Catalog チェック ボックスをオンにしてグローバル カタログ サーバーの役割を Windows Server ドメイン コントローラーに割り当てようとすると、ドメイン コントローラーはグローバル カタログ サーバーに昇格されません。 レベル 1 でナレッジ整合性チェッカー (KCC) の診断ログを有効にすると、次のような情報イベントがディレクトリ サービス ログに繰り返し記録されることがあります。
- イベント 1559
- イベント 1578
- イベント 1801
Note
ドメイン コントローラーの診断チェックを実行するには、次の手順に従います。
- Start>Run を選択し、「cmd」と入力し、OK を選択します。
- コマンド プロンプトで、「
dcdiag /v /f: logfile.txt
」と入力し、 Enter キーを押します。
さらに、出力には、ドメイン コントローラーが広告テストに合格せず、グローバル カタログをアドバタイズしていないことを示している場合があります。 この出力は、ドメイン コントローラーがイベント ID 1578 をログに記録し、そのドメイン コントローラーでドメイン コントローラー診断チェック (Dcdiag.exe) を実行したときに発生します。
その他の症状
Windows Server ドメイン コントローラーのコマンド ラインで repadmin /showrepl
を入力すると、1 つ以上のドメインが表示されないことがあります。
不足しているドメインの名前付けコンテキストを使用して接続を追加しようとすると、次のエラー メッセージが表示されることがあります。
エラー番号: 8440。
このレプリケーション操作に指定された名前付けコンテキストが無効です。
グローバル カタログ昇格エラーの考えられる原因
グローバル カタログは、グローバル カタログ ロールをアドバタイズする前に、フォレスト内のすべてのドメイン パーティションのすべてのオブジェクトの受信コピーをレプリケートする必要があります。
グローバル カタログをホストするためにドメイン コントローラーが選択されている場合、昇格されるドメイン コントローラー上の KCC は、必要なパーティションをホストするソース ドメイン コントローラーから接続オブジェクトを作成するために、独自の裁量を使用します。 これらのソース ドメイン コントローラーは、フォレスト内の既存のグローバル カタログで構成されるか、フォレスト内に存在するすべてのドメイン パーティションの書き込み可能なコピーをホストできます。 その後、各ドメイン パーティションの内容は、KCC によって指定されたソース ドメイン コントローラーから受信レプリケートされます。 コンテンツは、既存または新しく作成された接続リンクを介して、新しく昇格されたグローバル カタログにレプリケートされます。
グローバル カタログの昇格は、次のいずれかの条件に該当する場合に失敗する可能性があります。
- 1 つ以上のドメイン コントローラーの構成パーティションには、古いドメインまたは孤立したドメインへの相互参照オブジェクトが含まれていますが、そのドメインのドメイン コントローラーはフォレスト内にありません。
- KCC によって指定されたソース ドメイン コントローラーのメタデータは、1 つ以上のドメイン コントローラーの構成パーティションにありますが、フォレストに現在存在するドメイン コントローラーを表していません。
- 昇格中のグローバル カタログ上の KCC によって選択されたソース ドメイン コントローラーがオフラインです。
- 昇格中のグローバル カタログ上の KCC によって選択されたソース ドメイン コントローラーに、ネットワーク経由でアクセスできません。 ネットワーク接続または部分的なネットワーク接続がないため、このドメイン コントローラーにアクセスできません。 ネットワーク接続の問題の例を次に示します。
- ポートはブロックされます。
- IP アドレスがフィルター処理されます。
- ネットワークは完全にはルーティングされませんが、 [すべてのサイト リンクをブリッジする ] オプションが有効になっています。
- ソース ドメイン グローバル カタログは、管理者が優先ブリッジヘッドとして非グローバル カタログ ドメイン コントローラーを誤って選択しているため、ブリッジヘッドとして機能することを制限されます。
- 昇格中のグローバル カタログは、 preceding イベントの 1 つに記録されたエラー状態のため、選択したソース ドメイン コントローラーから接続リンクを作成できません。
孤立したドメインでは、ドメイン コントローラーがレプリケーションを完了できなくなります。 ドメイン コントローラーは、レプリケーションが完了するまで、それ自体をグローバル カタログ サーバーとしてアドバタイズできません。 いくつかの問題によって、孤立したドメインが発生する可能性があります。
- Active Directory はドメインのすべてのドメイン コントローラーから削除されますが、ドメイン パーティションの相互参照オブジェクトは引き続き残ります。
- Active Directory がドメイン コントローラーから削除され、ドメイン コントローラーのディレクトリ パーティションが削除されます。 その後、レプリケーションが完了する前にドメイン コントローラーが再作成されます。 これらのイベントにより、相互参照オブジェクトが誤って参照する残留ファントムが発生します。
- ドメインのドメイン名の更新プログラムが、問題のあるドメイン コントローラーに到達していません。 または、新しく昇格されたドメインのドメイン名の更新が、そのドメインの外部のドメイン コントローラーに到達していない可能性があります。 この問題は一時的な問題になります。
問題が発生しているドメイン コントローラーの dumpDatabase 属性を変更することで、ドメイン名の更新がすべてのドメイン コントローラーに到達したかどうかを確認できます。 詳細については、「 Ldp.exeでオンライン dbdump 機能を使用する方法」を参照してください。
作成したダンプ ファイルで、ドメインの相互参照レコードを探します。 この相互参照レコードには、オブジェクト クラス 196619があります。 オブジェクト クラスが指 196619 レコードを見つけます。 次に、レコードに含まれるオブジェクト クラスに GUID が割り当てられていることを確認します。
次の例では、オブジェクト 5070 はオブジェクト 5072 を参照します。 ただし、オブジェクト 5072 には GUID が割り当てられません。
5070 4111 1 1459 true 3 <DOMAIN> <DOMAIN> 5072 196619 - 6f73dba6-33e1-41e5-9330-c09a60a37942 4
objectclass: 196619, 65536
5071 2 2 - false <DateTime> - 1376281 com com - - - - -
5072 5071 5 - false <DateTime> - 1376281 <domain> <domain>
グローバル カタログ昇格エラーの原因を特定する
この問題を解決するには、まずレプリケーションの問題の根本原因を特定します。 レプリケーションの問題が次のいずれかの条件によって発生しているかどうかを判断します。
- レプリケーションの遅延
- フォレスト環境にある孤立したドメイン
- 接続リンクを構築できない
- 接続契約経由でレプリケートできない
グローバル カタログ昇格エラーを解決する方法
グローバル カタログ昇格エラーを解決するには、次のいずれかの方法を使用します。
方法 1
1 つまたは 2 つのドメイン コントローラーで問題が発生し、同じドメイン内の他のドメイン コントローラーで問題が発生しない場合は、問題が発生しているドメイン コントローラーを降格してから昇格する必要があります。 これを行うには、次の手順を実行します。
ドメイン管理者のアクセス許可を持つアカウントを使用して Windows Server ドメイン コントローラーにサインインし、ドメイン コントローラーの の手順を使用してドメイン コントローラーを降格します。
ドメイン コントローラーを降格した後、Windows Server コンピューターを再起動します。 コンピューターが再起動したら、次の記事の手順を使用して、Active Directory ドメイン サービスの役割をインストールし、新しいドメイン コントローラーを昇格させます。
方法 2
次のいずれかの条件に該当する場合は、影響を受けるドメインを再構築します。
- ドメイン内のドメイン コントローラーが更新プログラムを受信しなかった。
- イベント メッセージで報告されたドメインの外部に存在するドメイン コントローラーは、更新プログラムを受信しませんでした。
方法 3
NT Directory Services (NTDS) KCC イベント ID 1265 がディレクトリ サービス ログに記録されている場合は、そのイベントを使用して、同じドメイン パーティションのレプリケーションエラーの原因を特定します。 ネットワーク接続が良好であり、必要なネットワーク ポートがブロックされていないことを確認します。 必要なネットワーク ポートは、TCP 135 やリモート プロシージャ コール (RPC) で使用されるエフェメラル ポートなどです。 ドメイン ネーム システム (DNS) レコードを表示して、登録済みのホストとサービスの場所 (SRV) レコードがすべて正しく登録されていることを確認します。 正しくないレコードがある場合は、それらをクリアし、そのようなレコードを登録します。
関連するイベント ID に一覧表示されているフォレスト内のドメイン コントローラーとドメインのすべての古いメタデータを削除します。 これは、存在しないドメイン コントローラーまたはドメインが原因でレプリケーションが失敗しないようにするためです。
詳細については、以下を参照してください:
GUI ツールを使用してサーバー メタデータをクリーンアップする
コントローラー サーバーメタデータActive Directory ドメインクリーンアップします。
ドメイン コントローラー間のレプリケーションが正常に動作していることを確認したら、孤立したドメイン オブジェクトが存在するかどうかを確認します。 Ntdsutil.exe ユーティリティを使用して、孤立したドメイン オブジェクトをクリアできます。 そのドメインの孤立したドメイン コントローラー オブジェクトがある場合は、ドメイン コントローラー オブジェクトも削除します。 詳細については、「 Active Directory から孤立したドメインを削除する方法を参照してください。
孤立したドメイン コントローラー オブジェクトを削除する方法の詳細については、「コントローラー サーバーのメタデータActive Directory ドメインクリーンアップするを参照してください。
詳細
ドメイン コントローラーをグローバル カタログ サーバーに昇格すると、フォレスト内のドメイン パーティションが新しいグローバル カタログ サーバーにレプリケートされます。 イベント ID 1119 は、ドメイン コントローラーのディレクトリ サービス ログに記録される場合があります。 このイベントは、グローバル カタログ サーバーの役割をドメイン コントローラーに割り当てた後、およびアカウントとスキーマ情報が新しいグローバル カタログ サーバーにレプリケートされた後にログに記録されることがあります。
イベントの説明は、コンピューターがグローバル カタログ サーバーとして識別されることを示します。 ドメイン名付けマスターがグローバル カタログ サーバーであることを確認するには、コマンド プロンプト ウィンドウを開き、次のコマンドを実行します。
nltest /dsgetdc:<Domain_Name> /server:<Server_Name>
このコマンドの出力は、次の例のようになります。
DC: \\<Server_Name>
Address: \\<IP_Address>
Dom Guid: <GUID>
Dom Name: <Domain_Name>
Forest Name: <Domain_Name.com>
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE
The command completed successfully
出力の Flags
エントリに GC
が含まれていることを確認します。
詳細については、「 Active Directory から孤立したドメインを削除する方法を参照してください。