この記事では、Windows Server で Active Directory (AD) レプリケーションと Netlogon リモート プロシージャ コール (RPC) 要求バックログ値を構成する方法について説明します。
次のいずれかの問題が発生します。
- 伝送制御プロトコル (TCP) のリセットは頻繁に発生しますが、ネットワーク トレース分析では根本原因は提供されません。
- Microsoft Exchange サーバーは、ドメイン コントローラーへの認証時に断続的に 401 エラーを受け取ります。
- Exchange サーバーがドメイン コントローラーに接続できず、"サーバーは使用できません" と報告されます。
- Microsoft Outlook では、ドメイン コントローラーへの認証時にユーザー資格情報の入力を繰り返し求められます。
- サインインすると、次のエラー メッセージが表示されます。
"このワークステーションとプライマリ ドメインの間の信頼関係が失敗しました。"
Windows Server では、次のイベントが表示される場合もあります。
イベント ID 3210
Event Log: System Event Type: Error Event Source: Netlogon Event ID: 3210 Event Text: This computer could not authenticate with [file://%3cDomain]\\<Domain Controller Name>.<Domain Name>, a Windows domain controller for domain <Domain Name>, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.イベント ID 5719
Event Log: System Event Type: Error Event Source: Netlogon Event ID: 5719 Event Text: This computer was not able to set up a secure session with a domain controller in domain <Domain Name> due to the following: The remote procedure call failed and did not execute. This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.イベント ID 7
Event Log: System Event Type: Error Event Source: Microsoft-Windows-Security-Kerberos Event ID: 7 Event Text: The digitally signed Privilege Attribute Certificate (PAC) that contains the authorization information for client <Hostname>$ in realm <Domain Name> could not be validated.
Windows プレビュー更新プログラムのインストール後のイベント 2022 年 6 月
Windows Server 2019 June 23, 2022 (KB5014669 (OS ビルド 17763.3113) プレビュー 更新プログラムと Windows Server 2022 June 23, 2022- KB5014665 (OS ビルド 20348.803) プレビュー 更新プログラムは、問題を報告し、RPC 要求バックログの設定を調整します。 これらの更新プログラムをインストールすると、次のイベントが発生する可能性があります。
Netlogon サービスは、指定された RPC バックログ サイズで正常に開始されます。
Event Log: System Event Type: Info Event Source: Netlogon Event ID: 5836 Event Text: The Netlogon service was able to bind to a TCP/IP port with the configured backlog size of <Configured Backlog Size>Netlogon サービス関連のバックログ サイズエラー。
Event Log: System Event Type: Warning Event Source: Netlogon Event ID: 5837 Event Text: The Netlogon service tried to bind to a TCP/IP port with the configured backlog size of <Configured RPC Backlog Size> but failed. More information can be found in the following log file '%SystemRoot%\debug\netlogon.log' and, potentially, in the log file '%SystemRoot%\debug\netlogon.bak' created if the former log becomes full. For steps in enabling the log, please visit https://go.microsoft.com/fwlink/?linkid=2163327.Active Directory レプリケーション関連のバックログ制限エラー。
Event Log: Active Directory Domain Services Event Type: Warning Event Source: ActiveDirectory_DomainService Event ID: 3042 Event Text: Active Directory Domain Services could not configure the TCP port with the backlog limit as specified in registry. Additional Data TCP Port: <Configured Port> Configured backlog limit: <Backlog Limit Configured on Port> Registry backlog limit: <Backlog Limit Specified in Registry> User Action: Make sure the same TCP port is not being used by other services such as Netlogon and the Active Directory Domain Controller has been rebooted after configuring the backlog limit value in registry.
バックログの制限値を超えています
AD レプリケーションに登録された伝送制御プロトコル/インターネット プロトコル (TCP/IP) ポートと Netlogon サービスの RPC は、バックログ制限値で構成されます。 既定値は 10 です。 この値は、登録済みの TCP/IP ポートでキューに登録できる要求の最大数を表します。 バックログの制限値を超えると、TCP SYN パケットはサーバー上の RPC レイヤーによって直ちにリセットされます。 この動作は、システムの認証に影響します。
DRSUAPI と Netlogon の RPC バックログ制限値を増やす
重要
このセクションでは、レジストリを変更する手順について説明します。 レジストリが正しく変更されていない場合は、重大な問題が発生する可能性があります。 予防措置として、レジストリを変更する前にバックアップしてください。 レジストリをバックアップ、復元、および変更する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。
レジストリ エディターを使用して、DRSUAPI と Netlogon サービスの RPC バックログ制限値を次のように増やすことができます。
Note
管理者は、レジストリ キーの適切な値を構成することをお勧めします。 Windows サーバーの値が大きいと、ページプール以外のメモリ使用量が大量に発生する可能性があります。 管理者は、メモリフットプリントとスケーラビリティ要件のバランスを取る必要があります。
DRSUAPI のレジストリ キー
レジストリ キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
レジストリ値: TCP/IP バックログの制限
値の型: REG_DWORD
値データ: 10 ~ 100 の任意の値設定を有効にするには、システムを再起動します。
Netlogon のレジストリ キー
レジストリ キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
レジストリ値: DcTcpipBacklogLimit
値の型: REG_DWORD
値データ: 10 ~ 100 の任意の値設定を有効にするには、Netlogon サービスを再起動します。 ドメイン コントローラーの再起動が必要な場合もあります。