Windows Server で Active Directory レプリケーション エラー 5 のトラブルシューティングを行う方法: アクセスが拒否されました

この記事では、Active Directory レプリケーションがエラー 5: アクセスが拒否された状態で失敗する状況の症状、原因、および解決策について説明します。

元の KB 番号: 3073945

現象

Active Directory レプリケーションがエラー 5 で失敗すると、次の 1 つ以上の現象が発生する可能性があります。

症状 1

Dcdiag.exeコマンド ライン ツールは、Active Directory レプリケーション テストがエラー 状態コード (5) で失敗したことを報告します。 レポートは次の例のようになります。

Testing server: <Site_Name>\<Destination_DC_Name>  
Starting test: Replications  
Replications Check  
[Replications Check,<Destination_DC_Name>] A recent replication attempt failed:  
From <Source_DC> to <Destination_DC>  
Naming Context: <Directory_Partition_DN_Path>  
The replication generated an error (5):  
Access is denied.  
The failure occurred at <Date> <Time>.  
The last success occurred at <Date> <Time>.  
<Number> failures have occurred since the last success.

現象 2

Dcdiag.exe コマンド ライン ツールは、DCDIAG /test:CHECKSECURITYERROR コマンドを実行して、DsBindWithSpnEx関数がエラー 5 で失敗したことを報告します。

現象 3

REPADMIN.exeコマンド ライン ツールは、最後のレプリケーション試行が状態 5 で失敗したことを報告します。

5 つの状態を頻繁に引用する REPADMIN コマンドには、次のものが含まれますが、これらに限定されません。

• REPADMIN /KCC
• REPADMIN /REPLICATE
• REPADMIN /REPLSUM
• REPADMIN /SHOWREPL
• REPADMIN /SHOWREPS
• REPADMIN /SYNCALL

REPADMIN /SHOWREPL コマンドからの出力例は次のとおりです。 この出力は、"アクセスが拒否されました" エラーで失敗したDC_1_NameへのDC_2_Nameからの受信レプリケーションを示しています。

<Site_Name>\<DC_1_Name>  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID: <GUID>  
DSA invocationID: <invocationID>

==== INBOUND NEIGHBORS======================================  
DC= <DomainName>,DC=com  
<Site_Name>\<DC_2_Name> via RPC  
DSA object GUID: <GUID> 
Last attempt @ <Date> <Time> failed, result 5(0x5):  
Access is denied.  
<#> consecutive failure(s).  
Last success @ <Date> <Time>.

症状 4

状態が 5 の NTDS KCC、NTDS General、または Microsoft-Windows-ActiveDirectory_DomainService イベントは、イベント ビューアーのディレクトリ サービス ログに記録されます。

次の表は、8524 の状態を頻繁に引用する Active Directory イベントをまとめたものです。これには、次のものが含まれますが、これらに限定されません。

イベント ID	ソース	イベント文字列
1655	NTDS 全般	Active Directory が次のグローバル カタログと通信しようとしましたが、試行は失敗しました。
1925	NTDS KCC	次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。
19:26	NTDS KCC	失敗した次のパラメーターを使用して、読み取り専用のディレクトリ パーティションへのレプリケーション リンクを確立するために試行します。

現象 5

Active Directory サイトとサービスのソース ドメイン コントローラー (DC) から接続オブジェクトを右クリックし、[ 今すぐ複製] を選択するとプロセスが失敗し、次のエラーが表示されます。

ダイアログ のタイトル テキスト: [今すぐレプリケート]

ダイアログ メッセージ テキスト:

ドメイン コントローラー <ソース DC> からドメイン コントローラー <Destination DC>: アクセスが拒否された場合に、名前付けコンテキスト %<directory パーティション名>% を同期しようとすると、次のエラーが発生しました。

操作は続行されません。

次のスクリーンショットは、エラーのサンプルを表しています。

回避策

複数のテストを実行するには、汎用 DCDIAG および NETDIAG コマンドライン ツールを使用します。 DCDIAG /TEST:CheckSecurityError コマンドライン ツールを使用して、特定のテストを実行します。 (これらのテストには、SPN 登録チェックが含まれます)。

この問題を回避するには、次の手順に従ってください。

1. コマンド プロンプトで、移行先ドメイン コントローラーで DCDIAG を実行します。
2. DCDIAG /TEST:CheckSecurityError および NETDIAG を実行します。
3. DCDIAGによって識別されたすべてのエラーを解決します。
4. 以前に失敗したレプリケーション操作を再試行します。 レプリケーションが失敗し続ける場合は、次の原因と解決策を参照してください。

次の原因により、エラー 5 が発生する可能性があります。 その一部には解決策があります。

原因 1: ソースまたは宛先 DC に無効なセキュリティ チャネルまたはパスワードの不一致がある

次のいずれかのコマンドを実行して、セキュリティ チャネルを検証します。

• nltest /sc_query:<Domain Name>

• netdom verify <DC Name>

条件に応じて、 NETDOM /RESETPWDを使用して、移行先ドメイン コントローラーのパスワードをリセットします。

ソリューション

1. 移行先ドメイン コントローラーで Kerberos キー配布センター (KDC) サービスを無効にします。

2. 移行先ドメイン コントローラーの管理者特権でのコマンド プロンプトから、 Klist -li 0x3e7 purgeを実行してシステムの Kerberos チケットを取得します。

3. NETDOM RESETPWDを実行して、リモート ドメイン コントローラーのパスワードをリセットします。

   c:\>netdom resetpwd /server:<remote_dc_name> /userd: domain_name\administrator /passwordd: administrator_password
   

4. 潜在的な KDC とソース ドメイン コントローラー (同じドメイン内にある場合) の受信で、宛先ドメイン コントローラーの新しいパスワードがレプリケートされていることを確認します。

5. 宛先ドメイン コントローラーで KDC サービスを開始し、レプリケーション操作を再試行します。

詳細については、「 ドメイン コントローラーのコンピューター アカウント パスワードをリセットするためにNetdom.exeを使用する方法を参照してください。

原因 2: 宛先 DC のレジストリの "CrashOnAuditFail" 設定の値が "2" である

2のCrashOnAuditFail値は、Audit: セキュリティ監査をログに記録できない場合はシステムを直ちにシャットダウングループ ポリシーのポリシー設定が有効になっており、ローカル セキュリティ イベント ログがいっぱいの場合にトリガーされます。

Active Directory ドメイン コントローラーは、監査が有効になっており、セキュリティ イベント ログのサイズがによって制限される場合、特に最大容量のセキュリティ ログが発生しやすくなります。イベントを上書きしない (手動でログをクリアする)、必要に応じて上書きイベント ビューアーまたはグループ ポリシーの同等のオプション。

ソリューション

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前にレジストリをバックアップして、問題が発生した場合にレジストリを復元できるようにします。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。

1. セキュリティ イベント ログをクリアし、必要に応じて別の場所に保存します。

2. セキュリティ イベント ログのサイズ制約を再評価します。 これには、ポリシーベースの設定が含まれます。

3. 次のように、 CrashOnAuditFail レジストリ エントリを削除してから再作成します。

   レジストリ サブキー: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
   値の名前: CrashOnAuditFail
   値の型: REG_DWORD
   値データ: 1

4. 宛先ドメイン コントローラーを再起動します。

0または1のCrashOnAuditFail値が表示されると、一部の CSS エンジニアは、セキュリティ イベント ログをもう一度クリアし、CrashOnAuditFail レジストリ値を削除し、宛先ドメイン コントローラーを再起動することで、"アクセスが拒否されました" エラーを解決しました。

詳細については、「 管理監査とセキュリティ ログを参照してください。

原因 3: 信頼が無効です (ソースまたは宛先 DC のセキュリティで保護されたチャネルが無効であるか、信頼チェーンの信頼関係が壊れているか無効です)

異なるドメイン内のドメイン コントローラー間で Active Directory レプリケーションが失敗した場合は、信頼パスに沿って信頼関係の正常性を確認する必要があります。

NetDiag の信頼関係テストを試して、破損した信頼を確認できます。 Netdiag.exe ユーティリティは、次のテキストを表示して、破損した信頼を識別します。

Trust relationship test. . . . . . : Failed  
Test to ensure DomainSid of domain '<domainname>' is correct.  
[FATAL] Secure channel to domain '<domainname>' is broken.  
[% <variable status code> %]

たとえば、ルート ドメイン (Contoso.COM)、子ドメイン (B.Contoso.COM)、孫ドメイン (C.B.Contoso.COM)、および同じフォレスト内のツリー ドメイン (Fabrikam.COM) を含むマルチドメイン フォレストがあり、孫ドメイン (C.B.Contoso.COM) とツリー ドメイン (Fabrikam.COM)、 C.B.Contoso.COM と B.Contoso.COMの間、 B.Contoso.COM と Contoso.COMの間、最後に Contoso.COM と Fabrikam.COMの間の信頼の正常性を確認する必要があります。

宛先ドメイン間にショートカット信頼が存在する場合は、信頼パス チェーンを検証する必要はありません。 代わりに、宛先ドメインとソース ドメインの間のショートカット信頼を検証する必要があります。

次のコマンドを実行して、信頼に対する最近のパスワードの変更を確認します。

Repadmin /showobjmeta * <DN path for TDO in question>

宛先ドメイン コントローラーが、信頼パスワードの変更が有効になる可能性がある書き込み可能なドメイン ディレクトリ パーティションを推移的に受信してレプリケートしていることを確認します。

ルート ドメイン PDC からの信頼をリセットするコマンドは次のとおりです。

netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay

子ドメイン PDC からの信頼をリセットするコマンドは次のとおりです。

netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

原因 4: 過度の時間ずれ

宛先 DC とソース DC で使用される KDC には時間差があります。 時間差が、既定のドメイン ポリシーで定義されている Kerberos で許可されている最大時間ずれを超えています。

既定のドメイン ポリシーの Kerberos ポリシー設定を使用すると、再生攻撃を防ぐために、KDC ドメイン コントローラーと Kerberos ターゲット サーバーの間でシステム時間 (これが既定値) が 5 分違います。 一部のドキュメントでは、クライアントのシステム時刻と Kerberos ターゲットのシステム時刻は、互いに 5 分以内である必要があることを示しています。 他のドキュメントでは、Kerberos 認証のコンテキストでは、重要な時刻は、呼び出し元によって使用される KDC と Kerberos ターゲットの時刻との間の差分であると述べています。 また、Kerberos では、関連するドメイン コントローラーのシステム時刻が現在の時刻と一致するかどうかは考慮されません。 KDC とターゲット ドメイン コントローラーの相対的な時間差が、Kerberos ポリシーで許容される最大時間スキュー内にあることを考慮します。 (既定の時刻は 5 分以下です)。

Active Directory 操作のコンテキストでは、ターゲット サーバーは、移行先ドメイン コントローラーによって接続されるソース ドメイン コントローラーです。 現在 KDC サービスを実行している Active Directory フォレスト内のすべてのドメイン コントローラーは、潜在的な KDC です。 そのため、ソース ドメイン コントローラーに対して他のすべてのドメイン コントローラーで時間の精度を考慮する必要があります。 これには、宛先ドメイン コントローラー自体の時間が含まれます。

次の 2 つのコマンドを使用して、時刻の精度を確認できます。

• DCDIAG /TEST:CheckSecurityError
• W32TM /MONITOR

DCDIAG /TEST:CheckSecurityErrorからのサンプル出力については、「詳細情報」セクションを参照してください。 このサンプルでは、ドメイン コントローラーの過度の時間ずれを示します。

レプリケーション要求が失敗したときに、宛先ドメイン コントローラーで LSASRV 40960 イベントを探します。 拡張エラー 0xc000133を含むソース ドメイン コントローラーの CNAME レコードで GUID を引用するイベントを探します。 次のようなイベントを探します。

0xc000133: プライマリ ドメイン コントローラーの時刻が、バックアップ ドメイン コントローラーまたはメンバー サーバーの時刻と大きすぎて異なります

ソース ドメイン コントローラー上の共有フォルダーに接続する対象コンピューターをキャプチャするネットワーク トレース (およびその他の操作) では、"拡張エラーが発生しました" という画面エラーが表示されることがありますが、ネットワーク トレースには次の情報が表示されます。

-> KerberosV5 KerberosV5:TGS 要求領域: <- ソース DC からの TGS 要求
<- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS 応答 ("KRB_AP_ERR_TKE_NYV
<- "チケットがまだ有効ではありません" < - "チケットがまだ有効ではありません" にマップされます

TKE_NYV応答は、TGS チケットの日付範囲がターゲットの時刻よりも新しいことを示します。 これは、過度の時間ずれを示します。

Note

• W32TM /MONITOR は、テスト コンピューター ドメイン内のドメイン コントローラーでのみ時間をチェックするため、各ドメインでこれを実行し、ドメイン間で時間を比較する必要があります。
• システム時刻が不正確であることが判明した場合は、将来不正確な時間を防ぐために実行できる理由と方法を理解してみてください。 フォレスト ルート PDC は外部タイム ソースで構成されましたか? 参照時刻ソースはオンラインであり、ネットワーク上で使用できますか? タイム サービスは実行されていましたか? ソース時刻に NT5DS 階層を使用するように DC 役割コンピューターが構成されていますか?
• 宛先ドメイン コントローラーで時間差が大きすぎる場合は、DSSITE の Replicate now コマンド。MSCは、画面上のエラー"クライアントとサーバーの間に時刻や日付の違いがあります"で失敗します。 このエラー文字列は、エラー 1398 (10 進数) または0x576 (16 進数) にERROR_TIME_SKEWシンボリック エラー名でマップされます。

詳細については、「 再生攻撃を防ぐためにクロック同期許容値を設定するを参照してください。

原因 5: レジストリの "RestrictRemoteClients" 設定の値が "2" である

認証されていない RPC クライアントの Restrictionsポリシー設定が有効になっており、例外なしで Authenticated に設定されている場合RestrictRemoteClientsレジストリ値は、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC レジストリ サブキーの0x2の値に設定されます。

このポリシー設定では、認証されたリモート プロシージャ コール (RPC) クライアントのみが、ポリシー設定が適用されているコンピューターで実行されている RPC サーバーに接続できます。 例外は許可されません。 このオプションを選択した場合、システムは RPC を使用してリモートの匿名呼び出しを受信できません。 この設定をドメイン コントローラーに適用しないでください。

ソリューション

1. 認証されていない RPC クライアントの Restrictions RestrictRemoteClients レジストリ値を 2に制限するポリシー設定を無効にします。

   Note

   ポリシー設定は、次のパスにあります。

   Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients.

2. RestrictRemoteClients レジストリ設定を削除し、再起動します。

詳細については、「認証されていない RPC クライアントのアクセス許可: 顔にドメインをパンチするグループ ポリシーRestrictRemoteClients レジストリ キーが有効になっているを参照してください。

原因 6: "ネットワークからこのコンピューターにアクセスする" ユーザー権限は、"エンタープライズ ドメイン コントローラー" グループまたはレプリケーションをトリガーしたユーザーには付与されません

Windows の既定のインストールでは、既定のドメイン コントローラー ポリシーがドメイン コントローラーの組織単位 (OU) にリンクされます。 OU は、 ネットワークからこのコンピューターにアクセス ユーザーに次のセキュリティ グループへの権限を付与します。

ローカル ポリシー	既定のドメイン コントローラー ポリシー
管理者	管理者
Authenticated Users	Authenticated Users
すべてのユーザー	すべてのユーザー
Enterprise Domain Controllers	Enterprise Domain Controllers
[Pre-Windows 2000 compatible Access]	Windows 2000 より前の互換性のあるアクセス

エラー 5 で Active Directory 操作が失敗した場合は、次の点を確認する必要があります。

• テーブル内のセキュリティ グループには、既定のドメイン コントローラーのポリシーのネットワーク ユーザー権限からこのコンピューターにアクセスする権限が付与されます。

• ドメイン コントローラーのコンピューター アカウントは、ドメイン コントローラーの OU にあります。

• 既定のドメイン コントローラーのポリシーは、ドメイン コントローラーの OU またはドメイン コントローラー コンピューター アカウントをホストしている代替 OU にリンクされます。

• グループ ポリシーは、現在エラー 5 をログに記録している宛先ドメイン コントローラーに適用されます。

• ネットワークからこのコンピューターにアクセスするユーザー権利が有効になっているか、レプリケーションをトリガーするドメイン コントローラーまたはユーザー アカウントによって使用されているセキュリティ コンテキストが直接または推移的なグループを参照していません。

• ポリシーの優先順位、ブロックされた継承、Microsoft Windows Management Instrumentation (WMI) のフィルター処理などによって、ポリシー設定がドメイン コントローラーの役割コンピューターに適用されるのを妨げません。

Note

• ポリシー設定は、 RSOP を使用して検証できます。MSCが、 GPRESULT は、 GPRESULT /H c:\temp\GPOResult.html や GPRESULT /Zなど、より正確であるため、推奨されるツールです。
• ローカル ポリシーは、サイト、ドメイン、OU で定義されているポリシーよりも優先されます。
• 一度に、管理者は、既定のドメイン コントローラーのポリシーの Enterprise ドメイン コントローラー と everyone グループ をネットワークからこのコンピューターにアクセス ネットワークからアクセスするグループを削除するのが一般的でした。 ただし、両方のグループを削除することは致命的です。 ドメイン コントローラーのみがこのグループのメンバーであるため、このポリシー設定から Enterprise ドメイン コントローラー を削除する理由はありません。

原因 7: ソース DC と宛先 DC の間に SMB 署名の不一致がある

SMB 署名に最適な互換性マトリックスは、次の 4 つのポリシー設定とそのレジストリ ベースの設定によって定義されます。

ポリシー設定	レジストリ パス
Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う	HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う	HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Microsoft ネットワーク サーバー: 通信にデジタル署名する (サーバーが同意する場合)	HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う	HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature

宛先ドメイン コントローラーとソース ドメイン コントローラーの間の SMB 署名の不一致に焦点を当てる必要があります。 クラシック ケースには、一方で有効または必須であるが、他方では無効になっている設定が含まれます。

Note

内部テストでは SMB 署名の不一致が示され、"RPC サーバーは使用できません" というエラー 1722 でレプリケーションが失敗しました。

原因 8: UDP 形式の Kerberos パケットの断片化

ネットワーク ルーターとスイッチは、Kerberos および拡張メカニズム for DNS (EDNS0) で使用される、大きなユーザー データグラム プロトコル (UDP) 形式のネットワーク パケットを断片化または完全に削除する場合があります。

ソリューション

1. 宛先ドメイン コントローラーのコンソールから、完全修飾コンピューター名でソース ドメイン コントローラーに ping を実行し、ネットワーク ルートでサポートされている最大のパケットを識別します。 そのためには、次のコマンドを実行します。

   c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
   

2. 最大のフラグメント化されていないパケットが 1,472 バイト未満の場合は、次のいずれかの方法 (優先順) を試してください。

   • 大規模な UDP フレームを適切にサポートするようにネットワーク インフラストラクチャを変更します。 これには、ルーター、スイッチ、またはファイアウォールでファームウェアのアップグレードまたは構成の変更が必要になる場合があります。
   • (宛先ドメイン コントローラー上の) maxpacketsize を、TCP ヘッダーを考慮する 8 バイト未満の PING -f -l コマンドによって識別される最大パケットに設定し、変更されたドメイン コントローラーを再起動します。
   • (宛先ドメイン コントローラー上の) maxpacketsize を 1 の値に設定します。 これにより、TCP を使用する Kerberos 認証がトリガーされます。 変更を有効にするには、変更されたドメイン コントローラーを再起動します。

3. 失敗した Active Directory 操作を再試行します。

原因 9: ネットワーク アダプターで "Large Send Offload" 機能が有効になっている

ソリューション

1. 宛先ドメイン コントローラーで、ネットワーク アダプターのプロパティを開きます。
2. [構成] ボタンを選択します。
3. [Advanced] タブを選択します。
4. IPv4 Large Send Offload プロパティを無効にします。
5. ドメイン コントローラーを再起動してください。

原因 10: Kerberos 領域が無効です

次の条件のうち 1 つ以上が当てはまる場合、Kerberos 領域は無効です。

• KDCNames レジストリ エントリに、ローカル Active Directory ドメイン名が正しく含まれています。
• PolAcDmNレジストリ キーとPolPrDmNレジストリ キーが一致しません。

ソリューション

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前にレジストリをバックアップして、問題が発生した場合にレジストリを復元できるようにします。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。

誤った "KDCNames" レジストリエントリへの解決策

1. 宛先ドメイン コントローラーで、 REGEDITを実行します。
2. レジストリで次のサブキーを見つけます。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
3. サブキーの下の各 <Fully_Qualified_Domain> について、 KdcNames レジストリ エントリの値が、ローカル ドメインまたは同じ Active Directory フォレスト内の別のドメインではなく、有効な外部 Kerberos 領域を参照していることを確認します。

一致しない "PolAcDmN" レジストリ キーと "PolPrDmN" レジストリ キーの解決策

1. レジストリ エディターを起動します。

2. ナビゲーション ウィンドウで、 Security を展開します。

3. Security メニューで Permissions を選択して、AdministratorsSECURITY ハイブとその子コンテナーとオブジェクトのフル コントロールをローカル グループに付与します。

4. レジストリで次のサブキーを見つけます。
   HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN

5. レジストリ エディターの右側のウィンドウで、 名前: REG_NONE レジストリ エントリを 1 回選択します。

6. [ View メニューの [バイナリ データの表示 を選択。

7. ダイアログの [ Format セクションで、 Byte を選択します。

   ドメイン名は、 Binary Data ダイアログの右側に文字列として表示されます。 ドメイン名は Kerberos 領域と同じです。

8. レジストリで次のサブキーを見つけます。
   HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN

9. レジストリ エディターの右側のウィンドウで、 名前: REG_NONE エントリをダブルクリックします。

10. Binary エディター ダイアログで、PolPrDmN レジストリ サブキーの値を貼り付けます。 ( PolPrDmN レジストリ サブキーの値は NetBIOS ドメイン名です)。

11. ドメイン コントローラーを再起動してください。 ドメイン コントローラーが正しく機能していない場合は、その他の方法 参照してください。

原因 11: ソース DC と宛先 DC の間に LAN Manager 互換性 (LM 互換) の不一致がある

原因 12: 単純なレプリケーションの待機時間またはレプリケーションエラーが原因で、サービス プリンシパル名が登録されていないか、存在しない

原因 13: ウイルス対策ソフトウェアは、ソースまたは宛先 DC のミニファイアウォール ネットワーク アダプター フィルター ドライバーを使用します。

詳細

「現象」セクションで説明されている Active Directory のエラーやイベントは、エラー 8453 と次のようなエラー文字列で失敗する場合もあります。

レプリケーション アクセスが拒否されました。

次の状況では、Active Directory 操作がエラー 8453 で失敗する可能性があります。 ただし、このような状況では、エラー 5 でエラーが発生することはありません。

• 名前付けコンテキスト (NC) ヘッドは、 ディレクトリ変更 アクセス許可では許可されていません。
• レプリケーションを開始するセキュリティ プリンシパルは、 ディレクトリ変更 アクセス許可が付与されているグループのメンバーではありません。
• UserAccountControl属性にフラグがありません。 これらのフラグには、 SERVER_TRUST_ACCOUNT と TRUSTED_FOR_DELEGATIONが含まれます。
• 読み取り専用ドメイン コントローラー (RODC) は、最初に ADPREP /RODCPREP コマンドを実行せずにドメインに参加しました。

"DCDIAG /TEST:CheckSecurityError" からのサンプル出力

ドメイン コントローラーの DCDIAG /CHECKSECURITYERROR からの出力例は次のとおりです。 これは、過度の時間のずれが原因で発生します。

Doing primary tests  
Testing server: <Site_Name>\<Destination_DC_Name>  
Starting test: CheckSecurityError  
Source DC <Source DC> has possible security error (5). Diagnosing...  
Time skew error between client and 1 DCs! ERROR_ACCESS_DENIED or down machine recieved by:
<Source DC>  
Source DC <Source DC>_has possible security error (5). Diagnosing...  
Time skew error: 7205 seconds different between:.  
<Source DC>  
<Destination_DC>  
[<Source DC>] DsBindWithSpnEx() failed with error 5,  
Access is denied..  
Ignoring DC <Source DC> in the convergence test of object CN=<Destination_DC>,OU=Domain  Controllers,DC=<DomainName>,DC=com, because we cannot connect!  
......................... <Destination_DC> failed test CheckSecurityError  

DCDIAG /CHECKSECURITYERRORからの出力例は次のとおりです。 不足している SPN 名が表示されます。 (出力は環境によって異なる場合があります)。

Doing primary tests  
Testing server: <site name>\<dc name>  
Test omitted by user request: Advertising  
Starting test: CheckSecurityError  
* Dr Auth: Beginning security errors check'  
Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>  
Checking machine account for DC <DC name> on DC <DC Name>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>  
* Missing SPN :LDAP/<hostname>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>  
* Missing SPN :LDAP/bba727ef-be4e-477d-9796-63b6cee3bSf.<forest root domain DN>  
* SPN found :E3514235-4B06-I1D1-ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>  
* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>  
* SPN found :HOST/<hostname>.<DNS domain name>  
* SPN found :HOST/<hostname>  
* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>  
* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>
Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.

データ収集

Microsoft サポートからのサポートが必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」に記載されている手順に従って情報を収集することをお勧めします。