Active Directory レプリケーションエラー 8524: DNS 参照エラーのため DSA 操作を続行できません

適用対象: Supported versions of Windows Server

この記事では、Win32 エラー 8524 で失敗する AD 操作の現象、原因、解決手順について説明します。

DNS 参照エラーのため、DSA 操作を続行できません。

元の KB 番号: 2021446
適用対象: サポートされているすべてのバージョンの Windows Server

ホームユーザー: この記事は、テクニカルサポート担当者と IT プロフェッショナルのみを対象としています。問題に関するヘルプを探している場合は、microsoft コミュニティ。

現象

DCDIAG は、Active Directory レプリケーションテストが状態 8524 で失敗したことを報告します。

テストサーバー: <sitename><destination DC>
テストの開始: レプリケーション
[Replications Check,<destination DC>] 最近のレプリケーション試行が失敗しました: <ソース DC から> から <destination DC へ>
名前付けコンテキスト:
失敗したディレクトリパーティションの CN=<DN パス>,DC=Contoso,DC=Com
レプリケーションでエラーが発生しました (8524):
DNS 参照エラーのため、DSA 操作を続行できません。
REPADMIN は、状態 8524 でレプリケーションの試行が失敗したことを報告します。

一般的に 8524 状態を引用する REPADMIN コマンドは次のとおりですが、これらに限定されません。
- REPADMIN /REPLSUM
- REPADMIN /SHOWREPS
- REPADMIN /SHOWREPL
REPADMIN /SHOWREPL からの 8524 エラーのサンプルを次に示します。

Default-First-Site-Name\CONTOSO-DC1
DSA オプション: IS_GC
サイトオプション: (なし)
DSA オブジェクト GUID: DSA invocationID:
DC=contoso,DC=com
RPC 経由の Default-First-Site-Name\CONTOSO-DC2
DSA オブジェクト GUID:
最後の試行 @ YYYY-MM-DD HH:MM:SS failed, result 8524 (0x214c):
DNS 参照エラーのため、DSA 操作を続行できません。
1 つの連続する障害。
最後の成功 @ YYYY-MM-DD HH:MM:SS。

/showrepl 出力の残りの部分が切り捨てられました

8524 状態の次のいずれかのイベントがディレクトリサービスイベントログに記録されます。

NTDS ナレッジ整合性チェッカー (KCC)
NTDS 全般
Microsoft-Windows-ActiveDirectory_DomainService

一般的に 8524 の状態を引用する Active Directory イベントには次のものが含まれますが、これらに限定されません。

出来事	ソース	イベントの文字列
Microsoft-Windows-ActiveDirectory_DomainService	2023	このディレクトリサーバーは、次のディレクトリパーティションの次のリモートディレクトリサーバーに変更をレプリケートできませんでした
NTDS 全般	1655	Active Directory は、次のグローバルカタログと通信しようとして、試行が成功しなかった場合。
NTDS KCC	1308	KCC は、次のディレクトリサービスを使用した連続したレプリケートの試行が一貫して失敗したことを検出しました。
NTDS KCC	1,865	KCC は、完全なスパニングツリーネットワークトポロジを形成できませんでした。その結果、次のサイトの一覧にローカルサイトから到達できません
NTDS KCC	1925	次の書き込み可能なディレクトリパーティションのレプリケーションリンクを確立できませんでした。
NTDS KCC	19:26	次のパラメーターを使用して読み取り専用ディレクトリパーティションへのレプリケーションリンクを確立しようとしましたが失敗しました

ドメインコントローラーは、NTDS レプリケーションイベント 2087 と NTDS レプリケーションイベント 2088 をディレクトリサービスイベントログに記録します。

ログ名: ディレクトリサービス
ソース: Microsoft-Windows-ActiveDirectory_DomainService
日付: <date><time>
イベント ID: 2087
タスクカテゴリ: DS RPC クライアント
レベル: エラー
キーワード: クラシック
ユーザー: 匿名ログオン
コンピューター: <dc name>.<ドメイン名>
説明:

Active Directory ドメイン Services は、ソースドメインコントローラーの次の DNS ホスト名を IP アドレスに解決できませんでした。このエラーにより、Active Directory ドメインサービスの追加、削除、変更がフォレスト内の 1 つ以上のドメインコントローラー間でレプリケートされなくなります。セキュリティグループ、グループポリシー、ユーザー、コンピューターとそのパスワードは、このエラーが解決されるまでドメインコントローラー間で矛盾します。ログオン認証とネットワークリソースへのアクセスに影響する可能性があります。

ログ名: ディレクトリサービス
ソース: Microsoft-Windows-ActiveDirectory_DomainService
日付: <date><time>
イベント ID: 2088
タスクカテゴリ: DS RPC クライアント
レベル: 警告
キーワード: クラシック
ユーザー: 匿名ログオン
コンピューター: <dc name>.<ドメイン名>
説明:
Active Directory ドメインサービスでは、次に示すソースドメインコントローラーの IP アドレスを解決するために DNS を使用できませんでした。セキュリティグループ、グループポリシー、ユーザー、およびコンピューターとそのパスワードの一貫性を維持するために、Active Directory ドメインサービスは、NetBIOS またはソースドメインコントローラーの完全修飾コンピューター名を使用して正常にレプリケートされました。

無効な DNS 構成は、ログオン認証やネットワークリソースへのアクセスなど、この Active Directory ドメイン Services フォレスト内のメンバーコンピューター、ドメインコントローラー、またはアプリケーションサーバー上の他の重要な操作に影響を与える可能性があります。

このドメインコントローラーが DNS を使用してソースドメインコントローラーの IP アドレスを解決できるように、この DNS 構成エラーをすぐに解決する必要があります。

原因

エラー状態 8524 は、次のエラー文字列にマップされます。

DNS 参照エラーのため、DSA 操作を続行できません。

これは、Windows Server 2003 SP1 ドメインコントローラー後の Active Directory に影響を与える可能性のあるすべての DNS エラーに対するキャッチオールエラーです。

Microsoft-Windows-ActiveDirectory_DomainService イベント 2087 は、Active Directory ドメインコントローラーが完全修飾 CNAME レコード (ソース DC NTDS 設定オブジェクトの <object guid>._msdcs.< でリモート DC を解決できない場合に 8524 状態を引用する他の Active Directory イベントに対するパートナーイベントです。DNS を使用するフォレストルートドメイン>) を選択します。

Microsoft-Windows-ActiveDirectory_DomainService イベント 2088 は、ソースドメインコントローラーがその NetBIOS 名によって正常に解決された場合にログに記録されますが、このような名前解決フォールバックは、DNS 名前解決が失敗した場合にのみ発生します。

8524 状態と Microsoft-Windows-ActiveDirectory_DomainService イベント 2088 または 2087 イベントがすべて存在すると、DNS 名解決が Active Directory で失敗していることを示します。

要約すると、宛先 DC が DNS を使用して CNAME レコードとホスト "A" レコードまたはホスト "AAAA" レコードによってソース DC を解決できない場合、8524 レプリケーションの状態がログに記録されます。具体的な根本原因は次のとおりです。

ソース DC がオフラインであるか、または存在しなくなったが、その NTDS Settings オブジェクトは Active Directory のコピー先 DC にまだ存在します。
次の理由により、ソース DC が 1 つ以上の DNS サーバーに CNAME レコードまたはホストレコードを登録できませんでした。
- 登録の試行が失敗しました。
- ソースの DNS クライアント設定が、_msdcs.<をホスト、転送、または委任する DNS サーバーを指していませんフォレストルートドメインゾーンと (または) プライマリ DNS サフィックスドメインゾーン>。
宛先 DC の DNS クライアント設定が、ソース DC の CNAME またはホストレコードを含む DNS ゾーンをホスト、転送、または委任する DNS サーバーを指していません
次の理由により、ソース DC によって登録された CNAME レコードとホストレコードが、宛先 DC によって照会された DNS サーバーに存在しません。
- 単純なレプリケーション待機時間
- レプリケーションエラー
- ゾーン転送エラー
フォワーダーまたは委任が無効です。これにより、移行先 DC がフォレスト内の他のドメインにある DC の CNAME またはホストレコードを解決できなくなります。
宛先 DC、ソース DC、または中間 DNS サーバーによって使用される DNS サーバーが正しく機能していません。

解決方法

8524 がオフライン DC または古い DC メタデータによって発生しているかどうかを確認する

8524 エラー/イベントが、現在オフラインであってもフォレスト内で有効な DC を参照している場合は、動作可能にします。

8524 エラー/イベントが非アクティブ DC を参照している場合は、その DC の古いメタデータをターゲット DC の Active Directory のコピーから削除します。非アクティブ DC は、ネットワーク上に存在しなくなった DC インストールですが、その NTDS Settings オブジェクトは Active Directory のコピー先 DC にまだ存在します。

Microsoft サポートは、存在しない DC の古いメタデータ、または Active Directory から削除されていない同じコンピューター名を持つ DC の以前の昇格からの古いメタデータを定期的に検索します。

古い DC メタデータが存在する場合は削除する

Active Directory サイトとサービス (DSSITE) を使用した GUI メタデータのクリーンアップ。MSC)

Windows Server 2008 または Windows Server 2008 R2 Active Directory サイトおよびサービススナップイン (DSSITE) を起動します。MSC)。

リモートサーバー管理ツール (RSAT) パッケージの一部としてインストールされている Windows Vista または Windows 7 コンピューターで Active Directory サイトとサービスを起動して実行することもできます。
DSSITE にフォーカスを合わせる。コピー先 DC の Active Directory のコピー上の MSC スナップイン。

DSSITE を開始した後。MSC で、[Active Directory サイトとサービス [<DC 名>] を右クリックします。

[ドメインコントローラーの変更]に表示される DC の一覧から、8524 エラー/イベントをログに記録している宛先 DC を選択します。リスト
8524 エラーとイベントで参照されているソース DC NTDS Settings オブジェクトを削除します。 Active Directory ユーザーとコンピューター (DSA。MSC) スナップインとソース DC NTDS 設定オブジェクトを削除します。

DC NTDS 設定オブジェクトが表示される
- サイト、サイト名、サーバーコンテナー、および %server name% コンテナーの下
- Active Directory サイトとサービスの右側のウィンドウに表示される受信接続オブジェクトの上。
次のスクリーンショットの赤い強調表示は、既定の最初のサイト名サイトの下にある CONTOSO-DC2 の NTDS Settings オブジェクトを示しています。

削除する古い NTDS Settings オブジェクトを右クリックし、[削除] を選択します。

メタデータのクリーンアップは、TECHNET に記載されているように、W2K8/W2K8 R2 Active Directory ユーザーとコンピュータースナップインから行うこともできます。

NTDSUTIL を使用したコマンドラインメタデータのクリーンアップ

NTDSUTIL メタデータクリーンアップコマンドを使用して古い NTDS Settings オブジェクトを削除する従来の方法またはコマンドラインメソッドについては、「Clean up Active Directory ドメイン Controller サーバーメタデータに関するページを参照してください。

ソース DC + 宛先 DC で `DCDIAG /TEST:DNS` を実行する

DCDIAG /TEST:DNS は、ドメインコントローラーの DNS 正常性をすばやく検証するために、7 つの異なるテストを行います。このテストは、DCDIAG の既定の実行の一部として実行されません。

エンタープライズ管理者の資格情報を使用して、8524 イベントをログに記録する宛先ドメインコントローラーのコンソールにサインインします。
管理特権 CMD プロンプトを開き、DC で 8424 の状態をログに記録し、移行先 DC のレプリケート元 DC で DCDIAG /TEST:DNS /F を実行します。

フォレスト内のすべての DC に対して DCDIAG を実行するには、「 DCDIAG /TEST:DNS /V /E /F:<File name.txt>」と入力します。

特定の DC に対して DCDIAG TEST:DNS を実行するには、「 DCDIAG /TEST:DNS /V /S:<DC NAME> /F:<File name.txt>」と入力します。
DCDIAG /TEST:DNS出力の末尾にあるサマリーテーブルを見つけます。レポートの関連 DC の警告またはエラーの状態を特定して調整します。
DCDIAG で根本原因が特定されない場合は、次の手順を使用して "長い道のり" を取ります。

PING を使用して Active Directory の名前解決を確認する

宛先 DC は、リモート DC NTDS 設定オブジェクト (Active Directory サイトおよびサービススナップインに表示される接続オブジェクトへの親オブジェクト) のオブジェクト GUID から派生した完全修飾 CNAME レコードによって、DNS 内のソース DC を解決します。 PING コマンドを使用して、ソース DC 完全修飾 CNAME レコードを解決する特定の DC の機能をテストできます。

ソース DC の Active Directory のコピーで、ソース DC NTDS 設定オブジェクトの objectGUID を見つけます。

ソース DC のコンソールから 8524 エラー/イベントをログに記録し、次のように入力します。

repadmin /showrepl <fully qualified hostname of source DC cited in the 8524 error (event)>

たとえば、8524 エラー/イベントで参照されている DC が、 contoso.com ドメインの contoso-DC2 である場合は、次のように入力します。

repadmin /showrepl contoso-dc2.contoso.com

repadmin /SHOWREPl コマンドのヘッダーの "DSA オブジェクト GUID" フィールドには、ソース DC current NTDS 設定オブジェクトの objectGUID が含まれています。レプリケーションが遅いか失敗した場合は、ソース DC の NTDS 設定オブジェクトのビューを使用します。 repadmin出力のヘッダーは次のようになります。

Default-First-Site-Name\CONTOSO-DC1
DSA オプション: IS_GC
サイトオプション: (なし)
DSA オブジェクト GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016 <- 右クリックしてこの文字列を Windows にコピーします
<- クリップボードに PING コマンドを貼り付けます
<- 手順 4
active Directory の destination DC のコピーで、ソース DC の ObjectGUID を見つけます。

宛先 DC のコンソールから 8524 エラー/イベントをログに記録し、次のように入力します。

repadmin /showrepl <fully qualified hostname of destination DC>

たとえば、DC ログ 8524 エラー/イベントが contoso.com ドメインの contoso-DC1 である場合は、次のように入力します。

repadmin /showrepl contoso-dc1.contoso.com

REPADMIN /SHOWREPL 出力を次に示します。 "DSA オブジェクト GUID" フィールドは、宛先 DC 受信がレプリケート元のソース DC ごとに一覧表示されます。
```
 c:\>repadmin /showreps `contoso-dc1.contoso.com`  
 Default-First-Site-Name\CONTOSO-DC1  
 DSA Options: IS_GC  
 Site Options: (none)  
 DSA object GUID:  
 DSA invocationID:  
  DC=contoso,DC=com  
     Default-First-Site-Name\CONTOSO-DC2 via RPC  
         DSA object GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016      <- Object GUID for source DC derived from  
         Last attempt @ 2010-03-24 15:45:15 failed, result 8524 (0x214c):        \ destination DCs copy of Active Directory  
             The DSA operation is unable to proceed because of a DNS lookup failure.
         23 consecutive failure(s).  
         Last success @ YYYY-MM-DD HH:MM:SS.
```
#2 と #3 のオブジェクト GUID を比較します。

オブジェクト GUID が同じ場合、ソース DC と宛先 DC は、ソース DC の同じインスタンス化 (同じ昇格) について認識します。異なる場合は、後で作成されたものを確認します。以前の作成日の NTDS 設定オブジェクトは古い可能性が高く、削除する必要があります。
完全修飾 CNAME を使用してソース DC に PING を実行します。

宛先 DC のコンソールから、ソース DC 完全修飾 CNAME レコードの PING を使用して Active Directory の名前解決をテストします。

c:\>ping <ObjectGUID> from source DCs NTDS Settings object._msdcs.<DNS name for Active Directory forest root domain>

ドメインの contoso-dc1 DC からの上記のrepadmin /showreps出力の contoso.com objectGUID の例を使用すると、PING 構文は次のようになります。

c:\>ping 8a7baee5-cd81-4c8c-9c0f-b10030574016. _msdcs.contoso.com

ping が機能する場合は、Active Directory で失敗した操作を再試行してください。 PING が失敗した場合は、"8524 DNS 参照エラーの解決" に進みますが、解決されるまで各手順の後に PING テストを再試行してください。

8524 DNS 参照エラーを解決する: 長い道のり

8524 エラー/イベントが古い DC メタデータによって発生せず、CNAME PING テストが失敗した場合は、次の DNS 正常性を検証します。

ソース DC
宛先 DC
ソース DC と宛先 DC によって使用される DNS サーバー

まとめると、次のことを確認します。

ソース DC が CNAME レコードとホストレコードを有効な DNS に登録しました。
宛先 DC は有効な DNS サーバーを指します。
ソース DC によって登録された対象のレコードは、宛先 DC によって解決できます。

DS RPC クライアントイベント 2087 のエラーメッセージテキストには、8524 エラーを解決するためのユーザーアクションが示されています。より詳細なアクションプランは次のとおりです。

ソース DC が有効な DNS サーバーを指していることを確認する

ソース DC で、DNS クライアント設定が、the_msdcs.<をホスト、転送、または委任する運用 DNS サーバーのみを指していることを確認します。フォレストルートドメイン> ゾーン (つまり、contoso.com フォレスト内のすべての DC は、the_msdcs.contoso.com ゾーンに CNAME レコードを登録します)

および

Active Directory ドメインの DNS ゾーン (つまり、contoso.com ドメイン内のコンピューターは、contoso.com ゾーンにホストレコードを登録します)。

および

Active Directory ドメイン名と異なる場合は、コンピューターのプライマリ DNS サフィックスドメイン (Technet の記事 Disjoint 名前空間を参照)。

DNS サーバーがこのようなゾーンをホスト、転送、またはデリゲート (つまり、"解決可能") であることを検証するためのオプションが含まれます。
- DNS の DNS 管理ツールを起動し、ソース DC が名前解決のためにポイントする DNS サーバーが対象のゾーンをホストすることを確認します。
- NSLOOKUP を使用して、ソース DC が指すすべての DNS サーバーが、問題の DNS ゾーンのクエリを解決できることを確認します。
  
  ソース DC のコンソールで IPCONFIG /ALL を実行する
```
c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                           10.45.42.101<- Secondary DNS Server IP>
```
  次の NSLOOKUP クエリを実行します。
```
c:\>nslookup -type=soa  <Source DC DNS domain name> <source DCs primary DNS Server IP >
c:\>nslookup -type=soa  < Source DC DNS domain name > <source DCs secondary DNS Server IP >
c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs primary DNS Server IP >
c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs secondary DNS Server IP >
```
  たとえば、CHILD.CONTOSO.COM フォレストのcontoso.com ドメイン内の DC がプライマリ DNS サーバー IP とセカンダリ DNS サーバー IP "10.45.42.99" と "10.45.42.101" で構成されている場合、NSLOOKUP 構文は次のようになります。
```
c:\>nslookup -type=soa  child.contoso.com 10.45.42.99
c:\>nslookup -type=soa  child.contoso.com 10.45.42.101
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.99
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.101
```
注:
- ターゲット DNS に適切なフォワーダーまたは委任がある場合、または the_msdcs.< の場合、_mscs.contoso.com ゾーンの SOA クエリが正しく解決されますフォレストルートゾーン>。 _msdcs.<クエリ対象の DNS サーバー上のフォレストルートゾーン> は、Windows 2000 ドメインによって作成されたゾーンリレーションシップである <フォレストルートゾーン> の委任されていないサブドメインです。
- CNAME レコードは常に _msdcs.< に登録されますフォレストルートゾーン>(非ルートドメインの DC の場合でも)。
- 名前解決のために ISP DNS サーバーを指す DC またはメンバーコンピューターの DNS クライアントを構成することは無効です。唯一の例外は、ISP が契約され (つまり有料)、現在 Active Directory フォレストの DNS クエリをホスト、転送、または委任していることです。
- ISP DNS サーバーは通常、動的 DNS 更新を受け入れないので、CNAME、Host、SRV レコードを手動で登録する必要があります。
ソース DC が CNAME レコードを登録したことを確認する

ソース DC の現在の CNAME を見つけるには、「PING を使用して Active Directory の名前解決を確認する」の手順 1 を使用します。

ソース DC のコンソールで ipconfig /all を実行して、名前解決のためにソース DC がポイントする DNS サーバーを決定します。
```
c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99                        <primary DNS Server IP
                                           10.45.41.101                      <secondary DNS Server IP
```
NSLOOKUP を使用して、ソース DC の CNAME レコードの現在の DNS サーバーに対してクエリを実行します (「PING を使用して Active Directory の名前解決を確認する」の手順を参照してください)。
```
c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs primary DNS Server IP >
c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs secondary DNS Server IP>
```
この例では、contoso.com ドメインの contoso-dc2 の NTDS Settings objectGUID は 8a7baee5-cd81-4c8c-9c0f-b10030574016 です。 DNS 名前解決のプライマリとして "10.45.42.99" を指します。 NSLOOKUP 構文は次のようになります。
```
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.99
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.101
```
ソース DC が名前解決を指す DNS サーバーに CNAME レコードを登録していない場合は、ソース DC から次のコマンドを実行します。次に、CNAME レコードの登録を再確認します。
```
c:\>net stop netlogon & net start netlogon
```
注:
- CNAME レコードは常に _msdcs.< に登録されますフォレストルートゾーン>(非ルートドメインの DC の場合でも)。
- CNAME レコードは、OS の起動時、NETLOGON サービスの起動中、および後で繰り返し実行される間隔の間に NETLOGON サービスによって登録されます。
- 同じ名前の DC を昇格するたびに、異なる objectGUID を持つ新しい NTDS Settings オブジェクトが作成され、異なる CNAME レコードが登録される場合があります。ソースが 1 倍を超える昇格を行っている場合は、ソース DC の最後の昇格に基づいて、コピー先 DC の NTDS Settings オブジェクトの objectGUID に基づいて、CNAME レコードの登録を確認します。
- OS の起動中にタイミングの問題が発生すると、動的 DNS 登録の成功が遅れる可能性があります。
- DC の CNAME レコードが正常に登録されたが、後で消えた場合は、 KB953317確認します。異なるレプリケーションスコープ内の重複 DNS ゾーン、または DNS サーバーによる過度にアグレッシブな DNS 清掃。
- ソース DC が名前解決をポイントする DNS サーバーで CNAME レコードの登録が失敗する場合は、SYSTEM イベントログの NETLOGN イベントで DNS 登録エラーを確認します。
ソース DC がホストレコードを登録したことを確認する

ソース DC のコンソールから、 ipconfig /all を実行して、名前解決のためにソース DC がポイントする DNS サーバーを決定します。
```
c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                           10.45.42.101<- Secondary DNS Server IP>
```
NSLOOKUP を使用して、ホストレコードの現在の DNS サーバーに対してクエリを実行します。
```
c:\>nslookup -type=A+AAAA  <fully qualified hostname of source DC> <source DCs primary DNS Server IP >
c:\>nslookup -type=A+AAAA <fully qualified hostname of source DC> <source DCs secondary DNS Server IP>
```
引き続き、contoso.com ドメインの contoso-dc2 のホスト名の例は 8a7baee5-cd81-4c8c-9c0f-b10030574016 であり、DNS 名前解決のプライマリとして self (127.0.0.1) を指しています。NSLOOKUP 構文は次のようになります。
```
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.99
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.101
```
ソース DC のセカンダリ DNS サーバー IP アドレスに対して NSLOOKUP コマンドを繰り返します。

ホスト "A" レコードを動的に登録するには、コンピューターのコンソールから次のコマンドを入力します。
```
c:\>ipconfig /registerdns
```
注:
- Windows 2000 から Windows Server 2008 R2 コンピューターはすべて、IPv4 ホスト "A" レコードを登録します。
- Windows Server 2008 および Windows Server 2008 R2 コンピューターはすべて、IPv6 ホスト "AAAA" レコードを登録します。
- ホスト "A" レコードと "AAAA" レコードは、コンピューターのプライマリ DNS サフィックスゾーンに登録されます。
- ネットワークケーブルが接続されていない NIC を無効にします。
- ネットワーク上の DC およびメンバーコンピューターからアクセスできない NIC でホストレコードの登録を無効にします。
- ネットワークカードのプロパティの [IPv6] チェックボックスをオフにして、IPv6 プロトコルを無効にすることはできません。
宛先 DC が有効な DNS サーバーを指していることを確認します

宛先 DC で、DNS クライアント設定が、_msdcs.<をホスト、転送、委任する現在のオンライン DNS サーバーのみを指していることを確認します。フォレストルートドメイン> ゾーン (つまり、contoso.com フォレスト内のすべての DC は、the_msdcs.contoso.com ゾーンに CNAME レコードを登録します)。

および

Active Directory ドメインの DNS ゾーン (つまり、contoso.com ドメイン内のコンピューターは、contoso.com ゾーンにホストレコードを登録します)。

および

Active Directory ドメイン名と異なる場合は、コンピューターのプライマリ DNS サフィックスドメイン (Technet の記事 Disjoint 名前空間を参照)。

DNS サーバーがこのようなゾーンをホスト、転送、またはデリゲート (つまり、"解決可能") であることを検証するオプションは次のとおりです。
- DNS の DNS 管理ツールを起動し、ソース DC が名前解決のためにポイントする DNS サーバーが対象のゾーンをホストすることを確認します。
  
  または
- NSLOOKUP を使用して、ソース DC が指すすべての DNS サーバーが、問題の DNS ゾーンのクエリを解決できることを確認します。
  
  宛先 DC のコンソールで IPCONFIG /ALL を実行します。
```
c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                                      10.45.42.103<- Secondary DNS Server IP>
```
  宛先 DC のコンソールから次の NSLOOKUP クエリを実行します。
```
c:\>nslookup -type=soa  <Source DC DNS domain name> <destinatin DCs primary DNS Server IP >
c:\>nslookup -type=soa  < Source DC DNS domain name > <destination DCs secondary DNS Server IP >
c:\>nslookup -type=soa  _msdcs.<forest root DNS domain> <destination DCs primary DNS Server IP >
c:\>nslookup -type=soa  _msdcs.<forest root DNS name> <destination DCs secondary DNS Server IP>
```
たとえば、contoso.com フォレストの CHILD.CONTOSO.COM ドメイン内の DC がプライマリおよびセカンダリ DNS サーバー IP "10.45.42.102" と "10.45.42.103" で構成されている場合、NSLOOKUP 構文は
```
c:\>nslookup -type=soa  child.contoso.com 10.45.42.102
c:\>nslookup -type=soa  child.contoso.com 10.45.42.103
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.102
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.103
```
注:
- ターゲット DNS に適切なフォワーダーまたは委任がある場合、または the_msdcs.< の場合、_mscs.contoso.com ゾーンの SOA クエリが正しく解決されますフォレストルートゾーン>。 the_msdcs.<の場合、正しく解決されませんクエリ対象の DNS サーバー上のフォレストルートゾーン> は、Windows 2000 ドメインによって作成されたゾーンリレーションシップである <フォレストルートゾーン> の委任されていないサブドメインです。
- CNAME レコードは常に _msdcs.< に登録されますフォレストルートゾーン>(非ルートドメインの DC の場合でも)。
- 名前解決のために ISP DNS サーバーを指す DC またはメンバーコンピューターの DNS クライアントを構成することは無効です。唯一の例外は、ISP が契約済み (つまり有料) であり、現在 Active Directory フォレストの DNS クエリをホスト、転送、または委任していることです。
- ISP DNS サーバーは通常、動的 DNS 更新を受け入れないので、CNAME、Host、SRV レコードを手動で登録する必要がある場合があります。
- Windows コンピューター上の DNS リゾルバーは、仕様上 "固定" です。このような DNS サーバーが必要なゾーンをホスト、転送、または委任するかどうかに関係なく、クエリに応答する DNS サーバーを使用します。再び、DNS サーバーからの応答が "探しているレコードをホストしないか、そのレコードのゾーンのコピーをホストする" であっても、アクティブな DNS が応答している限り、DNS リゾルバーはフェールオーバーおよび別の DNS サーバーのクエリを実行しません。

宛先 DC によって使用される DNS サーバーが、ソース DC の CNAME レコードと HOST レコードを解決できることを確認します

宛先 DC のコンソールから、 ipconfig /all を実行して、名前解決のために宛先 DC がポイントする DNS サーバーを決定します。

DNS Servers that destination DC points to for name resolution:

c:\>ipconfig /all
…
  DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                             10.45.42.103<- Secondary DNS Server IP>

宛先 DC のコンソールから、 NSLOOKUP を使用して、ソース DC の CNAME レコードとホストレコードに対して宛先 DC に構成された DNS サーバーに対してクエリを実行します。

c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs secondary DNS Server IP>
c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs secondary DNS Server IP>

この例では、 Contoso.com フォレストルートドメインの GUID 8a7baee5-cd81-4c8c-9c0f-b10030574016 の contoso.com ドメインの contoso-dc2 は、DNS サーバー "10.45.42.102" と "10.45.42.103" を指しています。 NSLOOKUP 構文は次のようになります。

c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.102
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.103
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102

ソース DC と宛先 DC で使用される DNS サーバー間の関係を確認する

_msdcs.<のソースと宛先ホストの AD 統合コピーによって使用される DNS サーバーの場合フォレストルート> と <primary DNS サフィックス> ゾーンで、次のことを確認します。
- レコードが登録された DNS とレコードが照会されている DNS の間のレプリケーション待機時間。
- レコードが登録されている DNS とクエリ対象の DNS の間のレプリケーションエラー。
- 関心のあるレコードをホストする DNS ゾーンは、異なるレプリケーションスコープに留まり、したがって内容が異なるか、1 つ以上の DC で CNF/競合が発生します。
ソース DC と宛先 DC で使用される DNS ゾーンが DNS ゾーンのプライマリコピーとセカンダリコピーに格納されている場合は、次のことを確認します。
- ゾーンのプライマリコピーをホストする DNS では、[ゾーン転送を許可する] チェックボックスが有効になっていません。
- [次のサーバーのみ] チェックボックスが有効になっていますが、セカンダリ DNS の IP アドレスがプライマリ DNS の許可リストに追加されていません。
- ゾーンのセカンダリコピーをホストしている Windows Server 2008 DNS の DNS ゾーンは、 KB953317のため空です。
ソース DC と宛先 DC で使用される DNS サーバーに親/子リレーションシップがある場合は、次のことを確認します。
- 下位ゾーンに委任している親ゾーンを所有する DNS の委任が無効です。
- 上位の DNS ゾーンを解決しようとしている DNS サーバーのフォワーダー IP アドレスが無効です (たとえば、child.contoso.com の DC がルートドメイン内の DNS サーバーに留まる conto.com ゾーン内のホストレコードを解決しようとしています)。

データ収集

Microsoft サポートからのサポートが必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」に記載されている手順に従って情報を収集することをお勧めします。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-02-12