Windows Server で Active Directory レプリケーション エラー 5 のトラブルシューティングを行う方法: アクセスが拒否されました
この記事では、エラー 5: アクセスが拒否され、Active Directory レプリケーションが失敗する状況の症状、原因、解決について説明します。
元の KB 番号: 3073945
現象
Active Directory レプリケーションがエラー 5 で失敗すると、次の 1 つ以上の現象が発生する可能性があります。
現象 1
Dcdiag.exe コマンド ライン ツールは、Active Directory レプリケーション テストがエラー 状態コード (5) で失敗したことを報告します。 レポートは次の例のようになります。
Testing server: <Site_Name>\<Destination_DC_Name>
Starting test: Replications
Replications Check
[Replications Check,<Destination_DC_Name>] A recent replication attempt failed:
From <Source_DC> to <Destination_DC>
Naming Context: <Directory_Partition_DN_Path>
The replication generated an error (5):
Access is denied.
The failure occurred at <Date> <Time>.
The last success occurred at <Date> <Time>.
<Number> failures have occurred since the last success.
現象 2
Dcdiag.exe コマンド ライン ツールは、 コマンドを実行DCDIAG /test:CHECKSECURITYERROR
して、関数がDsBindWithSpnEx
エラー 5 で失敗したことを報告します。
現象 3
REPADMIN.exe コマンド ライン ツールは、最後のレプリケーション試行が状態 5 で失敗したことを報告します。
5 つの状態を頻繁に引用するコマンドには REPADMIN
、次のものが含まれますが、これらに限定されません。
REPADMIN /KCC
REPADMIN /REPLICATE
REPADMIN /REPLSUM
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS
REPADMIN /SYNCALL
コマンドからの出力例 REPADMIN /SHOWREPL
は次のとおりです。 この出力は、"アクセスが拒否されました" エラーで、受信レプリケーションがDC_2_Name
DC_1_Name
失敗したことを示しています。
<Site_Name>\<DC_1_Name>
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: <GUID>
DSA invocationID: <invocationID>
==== INBOUND NEIGHBORS======================================
DC= <DomainName>,DC=com
<Site_Name>\<DC_2_Name> via RPC
DSA object GUID: <GUID>
Last attempt @ <Date> <Time> failed, result 5(0x5):
Access is denied.
<#> consecutive failure(s).
Last success @ <Date> <Time>.
現象 4
状態が 5 の NTDS KCC、NTDS General、または Microsoft-Windows-ActiveDirectory_DomainService イベントは、イベント ビューアーのディレクトリ サービス ログに記録されます。
次の表は、8524 の状態を頻繁に引用する Active Directory イベントをまとめたものです。これには、以下が含まれますが、これらに限定されません。
イベント ID | ソース | イベント文字列 |
---|---|---|
1655 | NTDS 全般 | Active Directory は次のグローバル カタログと通信しようとしましたが、試行は失敗しました。 |
1925 | NTDS KCC | 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。 |
1926 | NTDS KCC | 次のパラメーターを使用して、読み取り専用ディレクトリ パーティションへのレプリケーション リンクを確立できませんでした。 |
症状 5
Active Directory サイトとサービスのソース ドメイン コントローラー (DC) から接続オブジェクトを右クリックし、[ 今すぐレプリケート] を選択すると、プロセスが失敗し、次のエラーが表示されます。
ダイアログ タイトル テキスト: [今すぐレプリケート]
ダイアログ メッセージ テキスト:
ドメイン コントローラー ソース DC からドメイン コントローラー宛先 DC に名前付けコンテキスト %<directory パーティション名>% を同期しようとすると、<次のエラーが発生しました: アクセスが拒否されます。>><
操作は続行されません。
次のスクリーンショットは、エラーのサンプルを表しています。
回避策
汎用 DCDIAG および NETDIAG
コマンド ライン ツールを使用して、複数のテストを実行します。 コマンド ライン ツールを DCDIAG /TEST:CheckSecurityError
使用して、特定のテストを実行します。 (これらのテストには、SPN 登録チェックが含まれます)。
この問題を回避するには、以下の手順を実行します。
- コマンド プロンプトで、宛先ドメイン コントローラーで を実行
DCDIAG
します。 - と を実行
DCDIAG /TEST:CheckSecurityError
しますNETDIAG
。 - によって
DCDIAG
識別されたすべてのエラーを解決します。 - 以前に失敗したレプリケーション操作を再試行します。 レプリケーションが失敗し続ける場合は、次の原因と解決策を参照してください。
次の原因により、エラー 5 が発生する可能性があります。 一部のソリューションがあります。
原因 1: ソースまたは宛先 DC に無効なセキュリティ チャネルまたはパスワードの不一致がある
次のいずれかのコマンドを実行して、セキュリティ チャネルを検証します。
nltest /sc_query:<Domain Name>
netdom verify <DC Name>
条件に応じて、 を使用して宛先ドメイン コントローラーのパスワードを NETDOM /RESETPWD
リセットします。
解決方法
移行先ドメイン コントローラーで Kerberos キー配布センター (KDC) サービスを無効にします。
移行先ドメイン コントローラーの管理者特権のコマンド プロンプトから、 を実行
Klist -li 0x3e7 purge
してシステムの Kerberos チケットを取得します。を実行
NETDOM RESETPWD
して、リモート ドメイン コントローラーのパスワードをリセットします。c:\>netdom resetpwd /server:<remote_dc_name> /userd: domain_name\administrator /passwordd: administrator_password
潜在的な KDC とソース ドメイン コントローラー (同じドメイン内にある場合) の受信で、宛先ドメイン コントローラーの新しいパスワードがレプリケートされていることを確認します。
宛先ドメイン コントローラーで KDC サービスを開始し、レプリケーション操作を再試行します。
詳細については、「 Netdom.exe を使用してドメイン コントローラーのマシン アカウント パスワードをリセットする方法」を参照してください。
原因 2: 移行先 DC のレジストリの "CrashOnAuditFail" 設定の値は "2" です
CrashOnAuditFail
グループ ポリシーのセキュリティ監査ポリシー設定をログに記録できず、ローカル セキュリティ イベント ログがいっぱいになっている場合、監査: システムを直ちにシャットダウンすると、 の2
値がトリガーされます。
Active Directory ドメイン コントローラーは、監査が有効になっていて、セキュリティ イベント ログのサイズがイベントを 上書きしない (手動でログをクリアする) オプションと、イベント ビューアーまたはそのグループ ポリシーに相当する 必要に応じて上書き するオプションによって制限される場合、特に最大容量のセキュリティ ログが発生する傾向があります。
解決方法
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護のために、レジストリを変更する前にレジストリをバックアップして、問題が発生した場合にレジストリを復元できるようにします。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。
セキュリティ イベント ログをクリアし、必要に応じて別の場所に保存します。
セキュリティ イベント ログのサイズ制約を再評価します。 これには、ポリシー ベースの設定が含まれます。
レジストリ エントリを
CrashOnAuditFail
削除してから、次のように再作成します。レジストリ サブキー:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
値の名前:CrashOnAuditFail
値の種類:REG_DWORD
値データ:1
宛先ドメイン コントローラーを再起動します。
または 1
の値がCrashOnAuditFail
表示された場合、一部の 0
CSS エンジニアは、セキュリティ イベント ログを再度クリアし、レジストリ値をCrashOnAuditFail
削除し、宛先ドメイン コントローラーを再起動することで、"アクセスが拒否されました" エラーを解決しました。
詳細については、「 監査とセキュリティ ログの管理」を参照してください。
原因 3: 信頼が無効です (ソースまたは宛先 DC のセキュリティで保護されたチャネルが無効であるか、信頼チェーン内の信頼関係が壊れているか無効です)
異なるドメイン内のドメイン コントローラー間で Active Directory レプリケーションが失敗した場合は、信頼パスに沿った信頼関係の正常性を確認する必要があります。
NetDiag 信頼関係テストを試して、破損した信頼を確認できます。 Netdiag.exe ユーティリティは、次のテキストを表示することで、破損した信頼を識別します。
Trust relationship test. . . . . . : Failed
Test to ensure DomainSid of domain '<domainname>' is correct.
[FATAL] Secure channel to domain '<domainname>' is broken.
[% <variable status code> %]
たとえば、ルート ドメイン ()、子ドメイン ()、孫ドメイン (Contoso.COM
B.Contoso.COM
)、および同じフォレスト (C.B.Contoso.COM
) 内のツリー ドメインを含むマルチドメイン フォレストがあり、孫ドメイン (Fabrikam.COM
) とツリー ドメインC.B.Contoso.COM
() のドメイン コントローラー間でレプリケーションが失敗している場合はFabrikam.COM)
、 と B.Contoso.COM
B.Contoso.COM
Contoso.COM
の間、および の間C.B.Contoso.COM
で信頼の正常性を確認するContoso.COM
Fabrikam.COM
必要があります。
宛先ドメイン間にショートカット信頼が存在する場合は、信頼パス チェーンを検証する必要はありません。 代わりに、宛先ドメインとソース ドメインの間のショートカット信頼を検証する必要があります。
次のコマンドを実行して、信頼に対する最近のパスワードの変更を確認します。
Repadmin /showobjmeta * <DN path for TDO in question>
信頼パスワードの変更が有効になる可能性がある書き込み可能なドメイン ディレクトリ パーティションをレプリケートする移行先ドメイン コントローラーが推移的に受信していることを確認します。
ルート ドメイン PDC からの信頼をリセットするコマンドは次のとおりです。
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
子ドメイン PDC からの信頼をリセットするコマンドは次のとおりです。
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay
原因 4: 時間のずれが多すぎる
宛先 DC とソース DC で使用される KDC には時間差があります。 時間差は、既定のドメイン ポリシーで定義されている Kerberos によって許可される最大時間スキューを超えています。
既定のドメイン ポリシーの Kerberos ポリシー設定を使用すると、再生攻撃を防ぐために、KDC ドメイン コントローラーと Kerberos ターゲット サーバーの間でシステム時間が 5 分差 (既定値) できます。 一部のドキュメントでは、クライアントのシステム時刻と Kerberos ターゲットのシステム時刻は、互いに 5 分以内である必要があることを示しています。 他のドキュメントでは、Kerberos 認証のコンテキストでは、重要な時間は、呼び出し元が使用する KDC と Kerberos ターゲットの時刻との間の差分であると述べています。 また、Kerberos は、関連するドメイン コントローラーのシステム時刻が現在の時刻と一致するかどうかは気にしません。 KDC とターゲット ドメイン コントローラーの相対的な時間差が、Kerberos ポリシーで許可される最大時間スキュー内にあることを考慮します。 (既定の時刻は 5 分以下です)。
Active Directory 操作のコンテキストでは、ターゲット サーバーは、移行先ドメイン コントローラーから接続されるソース ドメイン コントローラーです。 現在 KDC サービスを実行している Active Directory フォレスト内のすべてのドメイン コントローラーは、KDC の可能性があります。 そのため、ソース ドメイン コントローラーに対する他のすべてのドメイン コントローラーで時間の精度を考慮する必要があります。 これには、宛先ドメイン コントローラー自体の時間が含まれます。
次の 2 つのコマンドを使用して、時間の精度を確認できます。
DCDIAG /TEST:CheckSecurityError
W32TM /MONITOR
サンプル出力 DCDIAG /TEST:CheckSecurityError
については、「詳細情報」セクションを参照してください。 このサンプルでは、ドメイン コントローラーでの過度のタイム スキューを示します。
レプリケーション要求が失敗したときに、宛先ドメイン コントローラーで LSASRV 40960 イベントを探します。 拡張エラー 0xc000133を含むソース ドメイン コントローラーの CNAME レコードに GUID を引用するイベントを探します。 次のようなイベントを探します。
0xc000133: プライマリ ドメイン コントローラーでの時刻は、バックアップ ドメイン コントローラーまたはメンバー サーバーの時刻と大きすぎて異なります
ソース ドメイン コントローラー上の共有フォルダーに接続するターゲット コンピューターをキャプチャするネットワーク トレース (およびその他の操作) には、"拡張エラーが発生しました" という画面エラーが表示されることがありますが、ネットワーク トレースには次の情報が表示されます。
-> KerberosV5 KerberosV5:TGS 要求領域: <- ソース DC からの TGS 要求
<- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS 応答 ("KRB_AP_ERR_TKE_NYV
<- "チケットがまだ有効ではありません" <にマップ - "チケットがまだ有効ではありません" にマップされます
応答は TKE_NYV
、TGS チケットの日付範囲がターゲットの時刻よりも新しいことを示します。 これは、過度の時間ずれを示します。
注:
W32TM /MONITOR
は、テスト コンピューター ドメイン内のドメイン コントローラーでのみ時間をチェックするため、各ドメインでこれを実行し、ドメイン間の時間を比較する必要があります。- システム時刻が不正確であることが判明した場合は、将来不正確な時間を防ぐために実行できる理由と方法を理解してみてください。 フォレスト ルート PDC は外部タイム ソースで構成されましたか? 基準時間ソースはオンラインで、ネットワーク上で使用できますか? タイム サービスは実行されていましたか? ソース時間に NT5DS 階層を使用するように DC ロール コンピューターが構成されていますか?
- 宛先ドメイン コントローラーで時間差が大きすぎる場合は、DSSITE で [今すぐレプリケート] コマンドを実行します 。MSC が"クライアントとサーバーの間に時刻や日付の違いがあります" という画面エラーで失敗します。 このエラー文字列は、エラー 1398 (10 進数) または 0x576 (16 進数) にマップされ、ERROR_TIME_SKEWシンボリック エラー名が付けられます。
詳細については、「 再生攻撃を防ぐためのクロック同期トレランスの設定」を参照してください。
原因 5: レジストリの "RestrictRemoteClients" 設定の値は "2" です
[認証されていない RPC クライアントの制限] ポリシー設定が有効で、例外なしで Authenticated に設定されている場合、RestrictRemoteClients
レジストリの値はレジストリ サブキーの HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC
の0x2
値に設定されます。
このポリシー設定を使用すると、認証されたリモート プロシージャ コール (RPC) クライアントのみが、ポリシー設定が適用されているコンピューターで実行されている RPC サーバーに接続できます。 例外は許可されません。 このオプションを選択した場合、システムは RPC を使用してリモート匿名呼び出しを受信できません。 この設定をドメイン コントローラーに適用しないでください。
解決方法
レジストリ値を に
2
制限する認証されていない RPC クライアントの制限ポリシー設定をRestrictRemoteClients
無効にします。注:
ポリシー設定は、次のパスにあります。
コンピューターの構成\管理用テンプレート\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients.
レジストリ設定を
RestrictRemoteClients
削除し、再起動します。
詳細については、「 認証されていない RPC クライアントの制限: ドメインを顔にパンチするグループ ポリシー 」および「 RestrictRemoteClients レジストリ キーが有効になっている」を参照してください。
原因 6: "ネットワークからこのコンピューターにアクセスする" ユーザー権利は、"エンタープライズ ドメイン コントローラー" グループまたはレプリケーションをトリガーしたユーザーには付与されません
Windows の既定のインストールでは、既定のドメイン コントローラー ポリシーがドメイン コントローラーの組織単位 (OU) にリンクされます。 OU は、ネットワーク ユーザーから次のセキュリティ グループへの アクセス権をこのコンピューター に付与します。
ローカル ポリシー | 既定のドメイン コントローラー ポリシー |
---|---|
管理者 | 管理者 |
Authenticated Users | Authenticated Users |
すべてのユーザー | すべてのユーザー |
エンタープライズ ドメイン コントローラー | エンタープライズ ドメイン コントローラー |
[Windows 2000 以前の互換性のあるアクセス] | Windows 2000 以前の互換性のあるアクセス |
エラー 5 で Active Directory 操作が失敗した場合は、次の点を確認する必要があります。
テーブル内のセキュリティ グループには、既定のドメイン コントローラーのポリシーの [ネットワーク ユーザーからこのコンピューターにアクセスする] 権限が付与されます。
ドメイン コントローラー コンピューター アカウントは、ドメイン コントローラーの OU にあります。
既定のドメイン コントローラーのポリシーは、ドメイン コントローラーの OU またはドメイン コントローラー コンピューター アカウントをホストしている代替 OU にリンクされます。
グループ ポリシーは、現在エラー 5 をログに記録する宛先ドメイン コントローラーに適用されます。
[ネットワーク ユーザーからこのコンピューターへのアクセスを拒否する] 権限が有効になっているか、レプリケーションをトリガーするドメイン コントローラーまたはユーザー アカウントによって使用されているセキュリティ コンテキストが直接または推移的なグループを参照していません。
ポリシーの優先順位、ブロックされた継承、Microsoft Windows Management Instrumentation (WMI) フィルター処理などでは、ポリシー設定がドメイン コントローラーの役割コンピューターに適用されるのを妨げません。
注:
- ポリシー設定は RSOP を使用して検証できます 。MSC が
GPRESULT
推奨されるツールです。たとえば、GPRESULT /H c:\temp\GPOResult.html
やGPRESULT /Z
など、より正確であるためです。 - ローカル ポリシーは、サイト、ドメイン、OU で定義されているポリシーよりも優先されます。
- 一度に、管理者は、既定のドメイン コントローラーのポリシーの [ネットワーク ポリシーからこのコンピューターにアクセスする] ポリシー設定からエンタープライズ ドメイン コントローラーと Everyone グループを削除するのが一般的でした。 ただし、両方のグループを削除することは致命的です。 ドメイン コントローラーのみがこのグループのメンバーであるため、このポリシー設定から Enterprise ドメイン コントローラー を削除する理由はありません。
原因 7: ソース DC と宛先 DC の間に SMB 署名の不一致がある
SMB 署名に最適な互換性マトリックスは、4 つのポリシー設定とそのレジストリ ベースの同等物によって定義されます。
ポリシー設定 | レジストリ パス |
---|---|
Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) | HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature |
Microsoft ネットワーク クライアント: 通信にデジタル署名する (常に) | HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature |
Microsoft ネットワーク サーバー: 通信にデジタル署名する (サーバーが同意する場合) | HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature |
Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) | HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature |
宛先ドメイン コントローラーとソース ドメイン コントローラーの間の SMB 署名の不一致に焦点を当てる必要があります。 クラシック ケースには、一方で有効または必須ですが、他方では無効になっている設定が含まれます。
注:
内部テストでは SMB 署名の不一致が示され、"RPC サーバーは使用できません" というエラー 1722 でレプリケーションが失敗しました。
原因 8: UDP 形式の Kerberos パケットの断片化
ネットワーク ルーターとスイッチは、Kerberos と拡張メカニズム for DNS (EDNS0) によって使用される大規模なユーザー データグラム プロトコル (UDP) 形式のネットワーク パケットを断片化または完全にドロップする可能性があります。
解決方法
宛先ドメイン コントローラーのコンソールから、完全修飾コンピューター名でソース ドメイン コントローラーに ping を実行し、ネットワーク ルートでサポートされている最大のパケットを識別します。 このためには、次のコマンドを実行します。
c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
最大のフラグメント化されていないパケットが 1,472 バイト未満の場合は、次のいずれかの方法 (優先順) を試してください。
- 大規模な UDP フレームを適切にサポートするようにネットワーク インフラストラクチャを変更します。 これには、ルーター、スイッチ、またはファイアウォールでファームウェアのアップグレードまたは構成の変更が必要になる場合があります。
- (宛先ドメイン コントローラー上の) maxpacketsize を、TCP ヘッダーを考慮する 8 バイト未満の
PING -f -l
コマンドによって識別される最大パケットに設定し、変更されたドメイン コントローラーを再起動します。 - (宛先ドメイン コントローラー上の) maxpacketsize を の
1
値に設定します。 これにより、TCP を使用するために Kerberos 認証がトリガーされます。 変更されたドメイン コントローラーを再起動して、変更を有効にします。
失敗した Active Directory 操作を再試行します。
原因 9: ネットワーク アダプターで "大きな送信オフロード" 機能が有効になっている
解決方法
- 宛先ドメイン コントローラーで、ネットワーク アダプターのプロパティを開きます。
- [ 構成 ] ボタンを選択します。
- [詳細設定] タブを選択します。
- IPv4 Large Send Offload プロパティを無効にします。
- ドメイン コントローラーを再起動します。
原因 10: 無効な Kerberos 領域
次の条件の 1 つ以上が当てはまる場合、Kerberos 領域は無効です。
KDCNames
レジストリ エントリに、ローカル Active Directory ドメイン名が誤って含まれています。PolAcDmN
レジストリ キーとレジストリ キーがPolPrDmN
一致しません。
ソリューション
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護のために、レジストリを変更する前にレジストリをバックアップして、問題が発生した場合にレジストリを復元できるようにします。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。
正しくない "KDCNames" レジストリ エントリに対する解決策
- 宛先ドメイン コントローラーで を実行
REGEDIT
します。 - レジストリで次のサブキーを見つけます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
- サブキーの下のFully_Qualified_Domain>ごとに<、レジストリ エントリの値が、ローカル ドメインまたは同じ Active Directory フォレスト内の
KdcNames
別のドメインではなく、有効な外部 Kerberos 領域を参照していることを確認します。
一致しない "PolAcDmN" と "PolPrDmN" レジストリ キーの解決策
レジストリ エディターを起動します。
ナビゲーション ウィンドウで、[セキュリティ] を展開 します。
[ セキュリティ ] メニューの [ アクセス許可 ] を選択して、Hive とその子コンテナーとオブジェクトの完全な制御を Administrators ローカル グループに
SECURITY
付与します。レジストリで次のサブキーを見つけます。
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
レジストリ エディターの右側のウィンドウで、[ 名前なし: REG_NONE レジストリ エントリを 1 回選択します。
[ 表示 ] メニューの [ バイナリ データの表示] を選択します。
ダイアログの [ 書式 ] セクションで、[バイト] を選択 します。
ドメイン名は、[ バイナリ データ ] ダイアログの右側に文字列として表示されます。 ドメイン名は Kerberos 領域と同じです。
レジストリで次のサブキーを見つけます。
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
レジストリ エディターの右側のウィンドウで、[ 名前なし: REG_NONE ] エントリをダブルクリックします。
[ バイナリ エディター] ダイアログで、レジストリ サブキーの値を
PolPrDmN
貼り付けます。 (レジストリ サブキーのPolPrDmN
値は NetBIOS ドメイン名です)。ドメイン コントローラーを再起動します。 ドメイン コントローラーが正しく機能していない場合は、他の 方法を参照してください。
原因 11: ソース DC と宛先 DC の間に LAN Manager 互換性 (LM 互換性) の不一致がある
原因 12: サービス プリンシパル名が登録されていないか、単純なレプリケーション待機時間またはレプリケーションエラーが原因で存在しない
原因 13: ウイルス対策ソフトウェアは、ソースまたは宛先 DC でミニファイアウォール ネットワーク アダプター フィルター ドライバーを使用します
詳細
「現象」セクションで説明されているなどの Active Directory エラーとイベントは、エラー 8453 と次のようなエラー文字列と共に失敗する可能性もあります。
レプリケーション アクセスが拒否されました。
次の状況により、Active Directory 操作がエラー 8453 で失敗する可能性があります。 ただし、このような状況では、エラー 5 でエラーが発生することはありません。
- 名前付けコンテキスト (NC) ヘッドは、 ディレクトリの変更のレプリケート アクセス許可では許可されません。
- レプリケーションを開始するセキュリティ プリンシパルは、 レプリケート ディレクトリの変更 アクセス許可が付与されているグループのメンバーではありません。
- 属性に
UserAccountControl
フラグがありません。 これらのフラグには、 と がTRUSTED_FOR_DELEGATION
含まれますSERVER_TRUST_ACCOUNT
。 - 読み取り専用ドメイン コントローラー (RODC) は、最初にコマンドを実行せずにドメインに
ADPREP /RODCPREP
参加しました。
"DCDIAG /TEST:CheckSecurityError" からのサンプル出力
ドメイン コントローラーの DCDIAG /CHECKSECURITYERROR
出力例を次に示します。 これは、時間のずれが多すぎる場合に発生します。
Doing primary tests
Testing server: <Site_Name>\<Destination_DC_Name>
Starting test: CheckSecurityError
Source DC <Source DC> has possible security error (5). Diagnosing...
Time skew error between client and 1 DCs! ERROR_ACCESS_DENIED or down machine recieved by:
<Source DC>
Source DC <Source DC>_has possible security error (5). Diagnosing...
Time skew error: 7205 seconds different between:.
<Source DC>
<Destination_DC>
[<Source DC>] DsBindWithSpnEx() failed with error 5,
Access is denied..
Ignoring DC <Source DC> in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!
......................... <Destination_DC> failed test CheckSecurityError
からの DCDIAG /CHECKSECURITYERROR
出力例は次のとおりです。 不足している SPN 名が表示されます。 (出力は環境によって異なる場合があります)。
Doing primary tests
Testing server: <site name>\<dc name>
Test omitted by user request: Advertising
Starting test: CheckSecurityError
* Dr Auth: Beginning security errors check'
Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>
Checking machine account for DC <DC name> on DC <DC Name>
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>
* Missing SPN :LDAP/<hostname>.<DNS domain name>
* Missing SPN :LDAP/<hostname>
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>
* Missing SPN :LDAP/bba727ef-be4e-477d-9796-63b6cee3bSf.<forest root domain DN>
* SPN found :E3514235-4B06-I1D1-ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>
* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>
* SPN found :HOST/<hostname>.<DNS domain name>
* SPN found :HOST/<hostname>
* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>
* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>
Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.
データ収集
Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示