次の方法で共有


Windows Server 2012 R2 で TCPIP 経由の NetBIOS が無効になっていると、ドメイン コントローラーの昇格が応答を停止する

この記事では、NetBIOS over TCPIP が無効になっている環境で短い資格情報が使用されると、ドメイン コントローラーの昇格が応答を停止する問題の解決策を示します。

元の KB 番号: 2948052

現象

Active Directory ドメイン サービス構成ウィザードを使用して、Windows Server 2012 R2 でコンピューターをドメイン コントローラーに昇格させると、ウィザードの応答が停止します。 問題が発生すると、Active Directory ドメイン サービス構成ウィザードは昇格が進行中であることを示し、次のテキストを表示します。

Windows Server 2012 R2 ドメイン コントローラーには、[Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する] という名前のセキュリティ設定の既定値があり、セキュリティ チャネル セッションを確立するときに弱い暗号化アルゴリズムを防ぎます。

問題が発生すると、Dcpromo.log ファイルは昇格操作が停止したことを正しく示します。

[INFO]DnsDomainName chilld contoso.local
[INFO]FlatDomainName 子
[INFO]SiteName Default-First-Site-Name
[INFO]SystemVolumeRootPath C:\Windows\SYSVOL
INFO] DsDatabasePath C:\Windows\NTDS, DsLogPath C:\Windows\NTDS
[INFO]ParentDnsDomainName contoso.local
[INFO]ParentServer <helper DC>.contoso.local
[INFO]アカウント contoso\administrator
[INFO]オプション 5243072
[INFO]指定されたパスを検証する
....
[INFO]EVENTLOG (エラー): NTDS レプリケーション/ DS RPC クライアント: 1963
内部イベント: 次のローカル ディレクトリ サービスは、リモート プロシージャ コール (RPC) 接続から例外を受信しました。 広範な RPC 情報が要求されました。 これは中間情報であり、考えられる原因が含まれていない可能性があります

[INFO]EVENTLOG (エラー): NTDS レプリケーション/ DS RPC クライアント : 1962
内部イベント: ローカル ディレクトリ サービスがリモート プロシージャ コール (RPC) 接続から例外を受信しました。 拡張エラー情報は使用できません。
....エラー値:
セキュリティ パッケージ固有のエラーが発生しました。 1825directory サービス:
<hostname> 追加データ

エラー値:
このドメインのドメイン コントローラーが見つかりませんでした。 (1908)

[INFO]EVENTLOG (エラー): NTDS レプリケーション/セットアップ: 1125
Active Directory ドメイン サービス インストール ウィザード (Dcpromo) は、次のドメイン コントローラーとの接続を確立できませんでした。
ドメイン コントローラー: <DC 名>.<DNS ドメイン名>.<最上位ドメイン名>
追加データ
エラー値:
1908 このドメインのドメイン コントローラーが見つかりませんでした。

この問題は、次の条件に該当する場合に発生します。

  • NETBIOS over TCP/IP が無効になっています。 これは、次の状況で発生します。
    [ネットワーク] パネルの [IPv4 プロパティの TCP/IP の詳細設定] の [WINS] タブで、[TCP/IP 経由で NetBIOS を無効にする] オプションが選択されていません。
    TCP/IP 経由の NetBIOS が DHCP サーバーで無効になっています。
    コンピューターは IPv6 構成のみを使用しています。

  • "短い" 資格情報名は、資格情報 UI またはドメイン コントローラー昇格応答ファイルで使用されます。
    このセクションの前の Dcpromo.log は、昇格プロセスが最初の名前付けコンテキストをレプリケートするように設定しているときに、DRS バインド呼び出しからERROR_DOMAIN_CONTROLLER_NOT_FOUND エラーが返されたことを示しています。

    この場合、Kerberos は、指定された資格情報を使用して認証するドメイン コントローラーを見つけることができません。 たとえば、指定された資格情報は、wolf.com\administrator などの "長い" DNS 資格情報ではなく "wolf\administrator" です。 資格情報の "wolf" は、管理者アカウントをホストしているドメインの NetBIOS 名です。

Note

新しい子ドメインで新しいドメイン コントローラーを昇格するときに問題が発生した場合。 次の問題も発生します。

  • コンピューターは、ドメインに参加しているとみなします。
  • 子ドメインにログオンするオプションがありますが、ログオンは失敗します。
  • コンピューターにローカルでログオンすると、ADDS サービスと AWDS サービスは無効になります。 Netlogon.exeプロセスは開始されず、スタートアップ値は手動で同じに設定されます (メンバー ワークステーションの既定の設定など)。

原因

NetBIOS-less\WINS-less 環境で Active Directory ドメイン Services 構成ウィザードを実行すると、短いドメイン名に注意する DC ロケーターの制限が導入されます。 これは、ドメインに参加していないコンピューターでは特に当てはまります。 DC ロケーターは、ほとんどの場合 DNS を使用する trusted-domain-list を使用して、短いドメイン名を完全修飾ドメイン名 (FQDN) にマップしようとします。 DNS を使用できない場合は、ロケーターで WINS\NetBIOS を使用する必要があります。 ただし、TCP/IP 経由の NetBIOS が無効になっている場合、WINS\NetBIOS は使用できません。 この問題の一部は、Windows Server 2012 R2 および Windows 8.1 の DC ロケーターに追加される DNS サフィックス機能によって回避できますが、常に 100% の信頼性の高いソリューションであるとは限りません。

解決方法

この問題を解決するには、次の手順を実行します:

  1. タスク マネージャーでサーバー マネージャープロセスを終了します。

    Note

    この手順では、Active Directory ドメイン サービス構成ウィザードを閉じます。 問題が発生すると、UI のキャンセル ボタンが機能しません。 さらに、タスク マネージャーで Active Directory ドメイン Services 構成ウィザードを終了しても機能しません。

  2. コンピューターをドメイン コントローラーとして再度昇格する場合は、次のいずれかの回避策を使用します。

    • 昇格ウィザードや昇格応答ファイルの特定の "長い" 資格情報 ( <domain>\administrator など)。

    • Windows 8.1 および Windows Server 2012 R2 コンピューターでは、DNS 検索サフィックスを構成して、指定された NetBIOS ドメイン名と DNS 検索サフィックスを連結するときに、認証された操作の実行に使用されているユーザー アカウントをホストする Active Directory ドメインの完全修飾 DNS 名に解決できるようにします。

      Note

      これは、資格情報 "UI" で指定された NetBIOS 名が、ターゲット アカウントの DNS ドメイン名の左端の部分と一致することを前提としています。

    • ターゲット ドメインのメンバー コンピューターとしてメッセージが表示されているコンピューターに参加し、昇格を再試行します。

    • 昇格を完了するために、TCP/IP 経由で NetBIOS を一時的に有効にします。