次の方法で共有

孤立した子ドメイン コントローラー情報が他のドメイン コントローラーにレプリケートされない

この記事では、孤立した子ドメイン コントローラーを他のドメイン コントローラーにレプリケートできない問題の解決策を示します。

適用対象: サポートされているすべてのバージョンの Windows Server
元の KB 番号: 887430

現象

Microsoft Windows Server ベースの子ドメインは、フォレストの残りの部分から孤立しています。 この子ドメインは、親 (ルート) ドメインのドメイン コントローラーによってレプリケートされる変更を受け取ることができますが、ルート ドメイン内のドメイン コントローラーや、影響を受ける子ドメイン内のドメイン コントローラーに関する知識を持つ子ドメインはありません。

管理者が別のドメインから孤立した子ドメイン内のドメイン コントローラーを表示しようとすると、ドメイン コントローラーは表示されません。 たとえば、次の構成名前付けコンテキストではドメイン コントローラーは表示されません。
CN=Servers,CN=<Site_Name>,CN=Sites,CN=Configuration,DC=<Domain_Name>,DC=com

この場合、 <Site_Name> は孤立したドメイン コントローラーが存在するサイトであり、 <Domain_Name> はフォレスト ルート ドメインの名前です。

原因

この問題は、子ドメインが親ドメインから孤立している場合に発生する可能性があります。

解決方法

重要

慎重にこのセクションの手順に従います。 レジストリを正しく変更しないと、重大な問題が発生する可能性があります。 変更する前に、問題が発生した場合に復元するためにレジストリをバックアップします。

この問題を解決するには、レプリケーション リンクを作成し、双方向認証ではなく一方向認証を有効にする必要があります。 これを行うには、次の手順を実行します。

  1. ルート ドメインのドメイン コントローラーで、 Replicator Allow SPN Fallback レジストリ値を追加します。 これを行うには、ドメイン コントローラーで次の手順に従います。

    1. Start>Run を選択し、「regedt32」と入力します。
    2. 次のレジストリ サブキーを選択します。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    3. Edit>New>DWORD 値を選択します。
    4. Replicator Allow SPN Fallback」と入力します。
    5. 右側のウィンドウで、[SPN フォールバックを許可するをダブルクリックし値データボックスに「1」と入力し、OKを選択します。
    6. ドメイン コントローラーを再起動してください。

  2. コマンド プロンプト ウィンドウを開き、次のコマンドを実行します。

    repadmin /options fully_qualified_domain_name_(FQDN)_of_the_root_domain_controller +DISABLE_NTDSCONN_XLATE  
repadmin /add CN=Configuration,DC=Domain_Name,DC=Domain_Name FQDN_of_the_root_domain_controller FQDN_of_the_child_domain_controller  
repadmin /showreps

    子ドメイン コントローラーからの構成名前付けコンテキストに対して、正常な受信接続が表示されます。

    Note

    Repadmin.exe ツールの詳細については、「 Repadmin を使用した Active Directory レプリケーションの監視とトラブルシューティングを参照してください。

  3. コマンド プロンプトで、コマンド repadmin /options FQDN_of_the_root_domain_controller -DISABLE_NTDSCONN_XLATEを実行します。

  4. Replicator Allow SPN Fallback レジストリ エントリを削除します。 これを行うには、次の手順を実行します。

    1. レジストリ エディターを起動し、次のレジストリ サブキーを選択します。

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

    2. [SPN フォールバックを許可するを右クリックし[削除] を選択し、[OK を選択します。

  5. ルート ドメイン内のすべてのドメイン コントローラー間のレプリケーションを強制します。 これを行うには、次の手順を実行します。

    1. ルート ドメインのドメイン コントローラーで、 Start>Programs>Administrative Tools>Active Directory Sites and Services を選択します。

    2. Sites>Servers を展開し、Server_Name フォルダーを展開して、[NTDS 設定] を選択

    3. 環境内にレプリケートする他のドメイン コントローラーがある場合は、右側のウィンドウに表示されます。 一覧で最初のドメイン コントローラーを右クリックし、[ すべてのタスク] を選択し、 [レプリケーション トポロジのチェック] を選択して、ナレッジ整合性チェッカー (KCC) を開始します。

      1 つ以上の子ドメイン コントローラーからの受信接続オブジェクトが表示されます。 F5 キーを押してディスプレイを更新する必要がある場合があります。

    4. ルート ドメイン内のドメイン コントローラーごとに手順 3 を繰り返します。

  6. フォレスト全体でレプリケーションを実行できるようにします。 次に、ルート ドメイン コントローラーと子ドメイン コントローラーで repadmin /showreps コマンドを実行します。 この手順により、Active Directory Directory Service (AD DS) レプリケーションが正常に実行されます。

Replication Allow SPN Fallback レジストリ エントリを使用すると、サービス プリンシパル名 (SPN) をコンピューター アカウントに解決できないために双方向認証を実行できない場合、ドメイン コントローラーは一方向認証を使用できます。

データ収集

Microsoft サポートからのサポートが必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」に記載されている手順に従って情報を収集することをお勧めします