Active Directory レプリケーションの問題のトラブルシューティングに関するページ

[アーティクル]
03/07/2024

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

バーチャルエージェントを試してActive Directory レプリケーションの問題には、いくつかの異なるソースがあります。

Active Directory レプリケーションの問題には、いくつかの異なるソースがあります。たとえば、ドメインネームシステム (DNS) の問題、ネットワークの問題、セキュリティの問題が、Active Directory レプリケーションの失敗の原因となる場合があります。

この記事の残りの部分では、Active Directoryのレプリケーションエラーを修正するためのツールと一般的な方法について説明します。以下のサブトピックでは、症状、原因、特定のレプリケーションエラーの解決方法について説明します：

Active Directory レプリケーションのトラブルシューティングの概要とリソース

入力方向または出力方向のレプリケーションが失敗すると、レプリケーショントポロジ、レプリケーションスケジュール、ドメインコントローラー、ユーザー、コンピューター、パスワード、セキュリティグループ、グループメンバーシップ、およびグループポリシーを表す Active Directory オブジェクトが、ドメインコントローラー間で不整合になります。ディレクトリの不整合とレプリケーションエラーは、操作のために接続されているドメインコントローラーに応じて、操作エラーまたは結果の不整合の原因となる可能性があります。また、グループポリシーおよびアクセス制御のアクセス許可の適用を妨げる可能性があります。 Active Directory Domain Services (AD DS) は、ネットワーク接続、名前解決、認証と承認、ディレクトリデータベース、レプリケーショントポロジ、レプリケーションエンジンに依存します。レプリケーションの問題の根本原因がすぐに明らかでない場合、多くの可能性のある原因の中から原因を特定するには、可能性の高い原因を体系的に排除する必要があります。

レプリケーションの監視とエラーの診断に役立つUIベースのツールについては、Microsoft Support and Recovery Assistantツールをダウンロードして実行してください。

Repadmin ツールを使用して Active Directory レプリケーションのトラブルシューティングを行う方法を説明する包括的なドキュメント「Repadmin を使用した Active Directory レプリケーションの監視とトラブルシューティング」を参照してください。

Active Directory レプリケーションのしくみについては、次のテクニカルリファレンスを参照してください。

イベントおよびツールの解決策の推奨事項

ディレクトリサービスイベントログ内の赤色 (エラー) のイベントと黄色の (警告) イベントによって、ソースドメインコントローラーまたは宛先ドメインコントローラーでレプリケーションが失敗する原因となっている特定の制約が示されることが理想的です。イベントメッセージで解決手順が提案されている場合は、イベントで説明されている手順を試してください。また、Repadmin ツールや他の診断ツールによって、レプリケーションエラーの解決に役立つ情報が提供されます。

レプリケーションの問題のトラブルシューティングに Repadmin を使用する方法について詳しくは、「Repadmin を使用した Active Directory レプリケーションの監視とトラブルシューティング」を参照してください。

意図的な中断やハードウェア障害を排除する

意図的な中断が原因で、レプリケーションエラーが発生することがあります。たとえば、Active Directory レプリケーションの問題のトラブルシューティングを行う場合は、最初に、意図的な切断、およびハードウェア障害またはアップグレードを排除します。

意図的な切断

ステージングサイトに構築されており、最終的な運用サイト (ブランチオフィスなどのリモートサイト) でのデプロイを現在オフラインで待機中のドメインコントローラーでレプリケーションを試行しているドメインコントローラーによってレプリケーションエラーが報告された場合、それらのレプリケーションエラーについて釈明することができます。ドメインコントローラーが長時間にわたってレプリケーショントポロジから分離されると、そのドメインコントローラーが再接続されるまでエラーが継続的に発生する原因となるため、そのようなコンピューターをメンバーサーバーとして最初に追加しておき、Active Directory Domain Services (AD DS) のインストールに IFM (メディアからのインストール) メソッドを使用することを検討します。インストールメディアを作成するには、Ntdsutil コマンドラインツールを使用します。インストールメディアをリムーバブルメディア (CD、DVD、または他のメディア) に保存すると、宛先サイトに発送できます。その後、そのインストールメディアを使用して、サイトにあるドメインコントローラー上の AD DS をインストールすることができます。レプリケーションを使用する必要はありません。

ハードウェア障害またはアップグレード

ハードウェア障害 (マザーボード、ディスクサブシステム、ハードドライブの障害など) が発生したためにレプリケーションの問題が発生した場合は、サーバー所有者にお知らせして、ハードウェアの問題が解決されるようにします。

ハードウェアを定期的にアップグレードすると、ドメインコントローラーがサービス停止となる可能性があります。サーバーの所有者が、そのような停止を事前に通知する適切なシステムを持っていることを確認します。

ファイアウォールの構成

既定では、Active Directory レプリケーションのリモートプロシージャコール (RPC) は、ポート 135 の RPC エンドポイントマッパー (RPCSS) を介して、使用可能なポート経由で動的に行われます。高度なセキュリティおよびその他のファイアウォールを備えた Windows Firewall が、レプリケーションを許可するように適切に構成されていることを確認します。 Active Directory レプリケーションとポート設定でポートを指定する方法について詳しくは、Microsoft サポート技術情報の記事 224196 を参照してください。

Active Directory レプリケーションによって使用されるポートの詳細については、「Active Directory レプリケーションのツールと設定」を参照してください。

ファイアウォール経由の Active Directory レプリケーションの管理に関する詳細については、「ファイアウォール経由の Active Directory レプリケーション」を参照してください。

Windows 2000 Server が実行されている古いサーバーの障害に対応する

Windows 2000 Server が実行されているドメインコントローラーで廃棄標識の日数よりも長い期間にわたって障害が発生した場合の解決策は、常に同じです。

サーバーを、企業ネットワークからプライベートネットワークに移動します。
Active Directory を強制的に削除するか、オペレーティングシステムを再インストールします。
サーバーオブジェクトが復活できないように、Active Directoryからサーバーメタデータを削除します。

スクリプトを使用すると、ほとんどの Windows オペレーティングシステムで、サーバーメタデータをクリーンアップできます。このスクリプトの使用方法について詳しくは、Active Directory ドメインコントローラーのメタデータの削除に関するページを参照してください。

既定では、削除された NTDS 設定オブジェクトは、14 日間自動的に復元されます。このため、サーバーのメタデータを削除しないと（Ntdsutilまたは前述のスクリプトを使用してメタデータのクリーンアップを実行する）、サーバーのメタデータがディレクトリに復活し、レプリケーションの試行が促されます。この場合、欠落しているドメインコントローラーでレプリケーションを実行できないため、エラーが永続的にログに記録されます。

根本原因

意図的な切断、ハードウェア障害、および古くなった Windows 2000 ドメインコントローラーを排除する場合、残りのレプリケーションの問題の根本原因は、ほぼ常に、次のいずれかとなります。

ネットワーク接続：ネットワーク接続：ネットワーク接続ができないか、ネットワーク設定が正しく行われていない可能性があります。
名前解決: DNS の構成ミスは、レプリケーションエラーのよくある原因です。
認証と承認: 認証と承認の問題が発生すると、ドメインコントローラーによってレプリケーションパートナーへの接続が施行される場合に "アクセス拒否" エラーが発生する原因となります。
ディレクトリデータベース (ストア): ディレクトリデータベースを使用しても、レプリケーションタイムアウトに対応するように、トランザクションを高速処理することはできません。
レプリケーションエンジン: サイト間レプリケーションのスケジュールが短すぎる場合、レプリケーションキューが、アウトバウンドレプリケーションスケジュールで必要な時間内に処理するには大きくなりすぎる可能性があります。この場合、一部の変更のレプリケーションが、廃棄標識の日数よりも長い期間にわたって、無期限に停止する可能性があります。
レプリケーショントポロジ: ドメインコントローラーには、実際のワイドエリアネットワーク (WAN) 接続または仮想プライベートネットワーク (VPN) 接続にマップするサイト間リンクが AD DS 内で必要となります。ネットワークの実際のサイト・トポロジーでサポートされていないレプリケーション・トポロジー用のオブジェクトをAD DSに作成した場合、誤ったトポロジーを必要とするレプリケーションは失敗します。

問題の修正に向けた一般的なアプローチ

レプリケーションの問題を修正するには、次の一般的なアプローチを使用します。

レプリケーションの正常性を毎日監視するか、Repadmin.exe を使用してレプリケーションの状態を毎日取得します。
イベントメッセージおよびこのガイドで説明している方法を使用して、報告されたすべての障害の解決を適宜試みます。ソフトウェアが問題の原因となっている可能性がある場合は、その他の解決策を使用して対応を継続する前に、ソフトウェアをアンインストールします。
レプリケーションが失敗する原因となっている問題が既知の方法で解決できない場合は、サーバーからAD DSを削除してから、AD DSを再インストールしてください。 AD DS の再インストールの詳細については、「ドメインコントローラーの使用停止」を参照してください。
サーバーがネットワークに接続されている状態でAD DSを正常に削除できない場合は、次のいずれかの方法で問題を解決してください：
- ディレクトリサービス復元モード (DSRM) で AD DS を強制的に削除し、サーバーのメタデータをクリーンアップしてから、AD DS を再インストールします。
- オペレーティングシステムを再インストールし、ドメインコントローラーをリビルドします。

AD DS の強制的な削除に関する詳細については、「ドメインコントローラーの強制削除」を参照してください。

Repadmin を使用してレプリケーションの状態を取得する

レプリケーションの状態は、ディレクトリサービスの状態を評価するための重要な方法です。レプリケーションがエラーの発生なしに動作している場合は、オンラインのドメインコントローラーがあることがわかります。また、次のシステムとサービスが動作していることがわかります。

DNS インフラストラクチャ
Kerberos 認証プロトコル
Windows タイムサービス (W32time)
リモートプロシージャ呼び出し (RPC)
ネットワーク接続

Repadmin を使用して、フォレスト内のすべてのドメインコントローラーのレプリケーションの状態を評価するコマンドを実行することで、レプリケーションの状態を毎日監視します。この手順では、.csv ファイルを生成します。Microsoft Excel でこのファイルを開き、レプリケーションエラーをフィルター処理します。

次の手順を使用すると、フォレスト内のすべてのドメインコントローラーのレプリケーションの状態を取得できます。

要件

この手順を完了するには、少なくとも、Enterprise Admins グループ、またはそれと同等の権限を持つグループのメンバーである必要があります。

ツールでの操作 :

Repadmin.exe
Excel (Microsoft Office)

ドメインコントローラーの repadmin /showrepl スプレッドシートを生成するには

管理者としてコマンドプロンプトを開く: スタートメニューの [コマンドプロンプト] を右クリックして、[管理者として実行] をクリックします。 [ユーザーアカウント制御] ダイアログボックスが表示されたら、必要に応じて、エンタープライズ管理者の資格情報を入力し、[続行] をクリックします。
コマンドプロンプトで、コマンド repadmin /showrepl * /csv > showrepl.csv を入力して、Enter キーを押します。
Excel を開きます。
Office ボタン、[開く] の順にクリックして、showrepl.csv に移動したら、[開く] をクリックします。
次のように、列 A と [トランスポートの種類] 列を非表示または削除します。
非表示または削除する列を選択します。
- 列を非表示にする場合は、列を右クリックし、[非表示] をクリックします。
- 列を削除する場合は、選択した列を右クリックし、[削除] をクリックします。
列見出し行の下にある行 1 を選択します。 [表示] タブで [ウィンドウ枠の固定] をクリックし、[先頭行の固定] をクリックします。
スプレッドシート全体を選択します。 [データ] タブで、[フィルター] をクリックします。
[最後の成功の時刻] 列で下矢印をクリックし、[昇順で並べ替え] をクリックします。
[ソース DC] 列で、フィルターの下矢印をクリックし、[テキストフィルター] をポイントしたら、[カスタムフィルター] をクリックします。
カスタム・オートフィルター」ダイアログ・ボックスで、「表示する行」の下にある「含まれていない」をクリックします。隣のテキストボックスに「del」と入力すると、削除したドメインコントローラーの結果が表示されなくなります。
ステップ11をLast Failure Time列に繰り返しますが、値はdoesn't equalとし、値0を入力します。
レプリケーションエラーを解決します。

フォレスト内のすべてのドメインコントローラーについて、ソースレプリケーションパートナー、レプリケーションが最後に発生した時刻、および各名前付けコンテキスト (ディレクトリパーティション) で最後のレプリケーションエラーが発生した時刻がスプレッドシートに表示されます。 Excel でオートフィルターを使用すると、動作しているドメインコントローラーのみ、障害が発生しているドメインコントローラーのみ、最古または最新のドメインコントローラーの、それぞれのレプリケーションの正常性を表示できます。また、レプリケーションが正常に行われているレプリケーションパートナーを確認することもできます。

レプリケーションの問題と解決

レプリケーションの問題は、イベントメッセージ内や、アプリケーションまたはサービスによって操作が試行されるときに発生するさまざまなエラーメッセージ内で報告されます。これらのメッセージは、監視アプリケーションによって、またはレプリケーションの状態を取得するときに収集されるのが理想的です。

レプリケーションのほとんどの問題は、ディレクトリサービスのイベントログに記録されるイベントメッセージで示されています。レプリケーションの問題は、repadmin /showrepl コマンドの出力のエラーメッセージの形式で示される場合もあります。

レプリケーションの問題を示す repadmin /showrepl エラーメッセージ

Active Directory レプリケーションの問題を特定するには、前のセクションで説明したように、repadmin /showrepl コマンドを使用します。次の表は、このコマンドによって生成されるエラーメッセージを示すと同時に、エラーの根本原因およびエラーの解決策を提供するトピックへのリンクを示しています。

Repadmin エラー	根本原因	解決策
このサーバーでの最後のレプリケーションが廃棄標識の日数を超えてからの経過時間。	ドメインコントローラーが、名前付きソースドメインコントローラーで、入力方向のレプリケーションに失敗しました。その間、削除の廃棄、レプリケート、および AD DS からのガベージコレクションを実行するには十分に長い時間が経過しています。	イベント ID 2042: このコンピューターがレプリケートされてからの経過時間が長すぎます
入力方向の近隣ノードなし。	repadmin /showreplによって生成される出力の「Inbound Neighbors」セクションに項目が表示されない場合、ドメインコントローラは別のドメインコントローラとレプリケーションリンクを確立できませんでした。	レプリケーション接続の問題を解決する (イベント ID 1925)
アクセスが拒否されました。	レプリケーションリンクは2つのドメインコントローラー間に存在しますが、認証に失敗した結果、レプリケーションを正しく実行できません。	レプリケーションのセキュリティの問題を解決する
<date - time> での最後の試行が失敗し、"ターゲットアカウント名が正しくありません" と表示されました。	この問題は、接続、DNS、または認証の問題に関連している可能性があります。 DNSエラーの場合、ローカルドメインコントローラーがレプリケーションパートナーのグローバル一意識別子（GUID）ベースのDNS名を解決できませんでした。	レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088) レプリケーションのセキュリティの問題を解決するレプリケーション接続の問題を解決する (イベント ID 1925)
LDAP エラー 49。	ドメインコントローラーのコンピューターアカウントが、キー配布センター (KDC) に同期されていない可能性があります。	レプリケーションのセキュリティの問題を解決する
ローカルホストへのLDAP接続を開けない	管理ツールが AD DS に接続できませんでした。	レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088)
Active Directory レプリケーションが割り込まれました。	repadmin /sync コマンドを使用して手動で生成された要求など、優先順位が高いレプリケーション要求によって、入力方向のレプリケーションの進行が中断しました。	レプリケーションが完了するまで待ちます。この情報メッセージは、通常の操作を示しています。
レプリケーションが投稿され、待機中です。	ドメインコントローラーによって、レプリケーション要求が投稿され、回答を待っています。レプリケーションは、このソースから進行中です。	レプリケーションが完了するまで待ちます。この情報メッセージは、通常の操作を示しています。

次の表は、Active Directory レプリケーションに関する問題を示している可能性がある一般的なイベントと併せ、問題の根本原因と、問題の解決策を提供するトピックへのリンクを一覧で示しています。

イベント ID とソース	根本原因	解決策
1311 NTDS KCC	AD DSのレプリケーション構成情報は、ネットワークの物理トポロジーを正確に反映していません。	レプリケーショントポロジの問題を解決する (イベント ID 1311)
1388 NTDS レプリケーション	厳密なレプリケーション一貫性が有効ではなく、残っているオブジェクトがドメインコントローラにレプリケートされました。	レプリケーション残留オブジェクトの問題を解決する (イベント ID 1388、1988、2042)
1925 NTDS KCC	書き込み可能なディレクトリパーティションのレプリケーションリンクを確立できませんでした。このイベントには、エラーに応じたさまざまな原因が考えられます。	レプリケーション接続の問題を解決する (イベント ID 1925) レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088)
1988 NTDS レプリケーション	ローカルドメインコントローラーは、ソースドメインコントローラーからオブジェクトをレプリケートしようとしました。状況が解決されるまで、このパートナーでこのディレクトリパーティションのレプリケーションは続行されません。	レプリケーション残留オブジェクトの問題を解決する (イベント ID 1388、1988、2042)
2042 NTDS レプリケーション	このパートナーとのレプリケーションは墓石寿命の間発生しておらず、レプリケーションを続行できません。	レプリケーション残留オブジェクトの問題を解決する (イベント ID 1388、1988、2042)
2087 NTDS レプリケーション	AD DSがソースドメインコントローラーのDNSホスト名をIPアドレスに解決できず、レプリケーションに失敗しました。	レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088)
2088 NTDS レプリケーション	AD DSはソースドメインコントローラーのDNSホスト名をIPアドレスに解決できませんでしたが、レプリケーションは成功しました。	レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088)
5805 Net Logon	コンピューターアカウントが認証に失敗しました。通常は、同じコンピューター名の複数のインスタンス、またはコンピューター名がすべてのドメインコントローラーにレプリケートされていないことのいずれかが原因で失敗します。	レプリケーションのセキュリティの問題を解決する

レプリケーションの概念に関する詳細については、「Active Directory レプリケーションテクノロジ」を参照してください。

次の手順

エラーコードに固有のサポート記事など、詳細については、サポート記事「一般的な Active Directory レプリケーションエラーのトラブルシューティング」を参照してください