ドメイン コントローラーが正しく機能していない

この記事では、ドメイン コントローラーが正しく機能しないという問題に対する一般的な解決策について説明します。

適用対象:  Windows Server 2012R2
元の KB 番号:   837513

現象

Microsoft Windows 2000-Server ベースのドメイン コントローラーまたは Windows Server 2003 ベースのドメイン コントローラーで Dcdiag ツールを実行すると、次のエラー メッセージが表示されることがあります。

DC 診断
初期セットアップの実行:
[DC1]LDAP バインドがエラー 31 で失敗しました

ドメイン コントローラーでユーティリティをローカルで実行すると、次のいずれかのエラー メッセージ REPADMIN /SHOWREPS が表示される場合があります。

[D: \ nt private ds src \ \ \ \ util \ repadmin \ repinfo.c, 389] LDAP エラー 82 (ローカル エラー)。

最後の試行 @ yyyy-mm-dd hh:mm.ss が失敗し、結果 1753: エンドポイント マッパーから使用できるエンドポイントはもう存在しない。

最後の試行 @ yyyy-mm-dd hh:mm.ss が失敗し、結果 5: アクセスが拒否されました。

Active Directory サイトとサービスを使用してレプリケーションをトリガーする場合は、アクセスが拒否されたというメッセージが表示されることがあります。

ユニバーサル名前付け規則 (UNC) リソースやマップされたネットワーク ドライブなど、影響を受けるドメイン コントローラーのコンソールからネットワーク リソースを使用しようとすると、次のエラー メッセージが表示されることがあります。

ログオン サーバーが使用できません (c000005e = "STATUS_NO_LOGON_SERVERS")

影響を受けるドメイン コントローラーのコンソールから Active Directory 管理ツール (Active Directory サイトとサービス、Active Directory ユーザーとコンピューターなど) を起動すると、次のいずれかのエラー メッセージが表示される場合があります。

名前付け情報を見つけないので、認証用にアクセスできる権限はありません。 ドメインが適切に構成され、現在オンラインである場合は、システム管理者に問い合わせてください。

名前の情報は、ターゲット アカウント名が正しくないので見つからできません。 ドメインが適切に構成され、現在オンラインである場合は、システム管理者に問い合わせてください。

影響を受けるドメイン コントローラーを認証に使用している Microsoft Exchange Server コンピューターに接続されている Microsoft Outlook クライアントは、他のドメイン コントローラーからのログオン認証が成功している場合でも、ログオン資格情報を求めるメッセージが表示される場合があります。

Netdiag ツールには、次のエラー メッセージが表示される場合があります。

DC リスト テスト 。 . . . . . . . . . . : 失敗しました
[WARNING]DsBind を呼び出す <servername> 必要があります。<fqdn> (<ip address>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos テスト。 . . . . . . . . . . : 失敗しました
[FATAL]Kerberos には krbtgt/ のチケットが含め <fqdn> ではありません。

[FATAL]Kerberos のチケットは持ってない <hostname> 。
LDAP テスト。 . . . . . . . . . . . . : 渡される
[WARNING]DC での SPN 登録のクエリに失敗しました <hostname><fqdn>

影響を受けるドメイン コントローラーのシステム イベント ログに次のイベントが記録される場合があります。

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

解決方法

これらの現象にはいくつかの解決策があります。 次に、試すメソッドの一覧を示します。 リストの後に、各メソッドを実行する手順が続きます。 問題が解決するまで、各メソッドを試してください。 これらの現象に対するあまり一般的な修正を説明する Microsoft サポート技術情報の記事は、後で一覧表示されます。

  1. 方法 1: ドメイン ネーム システム (DNS) エラーを修正します。
  2. 方法 2: コンピューター間で時刻を同期します。
  3. 方法 3: ネットワーク ユーザー 権限からこのコンピューターにアクセスするを 確認します。
  4. 方法 4: ドメイン コントローラーの userAccountControl 属性が 532480 である必要があります。
  5. 方法 5: Kerberos 領域を修正します (PolAcDmN レジストリ キーと PolPrDmN レジストリ キーが一致すること確認してください)。
  6. 方法 6: コンピューター アカウントのパスワードをリセットし、新しい Kerberos チケットを取得します。

方法 1: DNS エラーを修正する

  1. コマンド プロンプトで、コマンドを実行 netdiag -v します。 このコマンドは、コマンドが実行されたフォルダーに Netdiag.log ファイルを作成します。
  2. 続行する前に、Netdiag.log ファイル内の DNS エラーを解決します。 Netdiag ツールは、Windows 2000 Server CD-ROM またはダウンロードWindows 2000 Server サポート ツールに含まれています。
  3. DNS が正しく構成されていることを確認します。 最も一般的な DNS の間違いの 1 つは、DNS を自身または動的更新および SRV レコードをサポートする別の DNS サーバーを指す代わりに、ドメイン コントローラーを DNS 用のインターネット サービス プロバイダー (ISP) に向けることです。 ドメイン コントローラー自体または動的更新と SRV レコードをサポートする別の DNS サーバーをポイントすることをお勧めします。 インターネット上の名前解決のために、ISP に転送者を設定することをお勧めします。

Active Directory ディレクトリ サービスの DNS の構成の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。
254680 DNS 名前空間の計画

方法 2: コンピューター間で時刻を同期する

ドメイン コントローラー間で時刻が正しく同期されていることを確認します。 さらに、クライアント コンピューターとドメイン コントローラー間で時刻が正しく同期されていることを確認します。

方法 3: "ネットワークからこのコンピューターにアクセスする" ユーザー権限を確認する

Gpttmpl.inf ファイルを変更して、適切なユーザーがドメインコントローラーのネットワーク ユーザーからこのコンピューターにアクセスする権限を持っている必要があります。 そのためには、次の手順に従います。

  1. 既定のドメイン コントローラー ポリシーの Gpttmpl.inf ファイルを変更します。 既定では、既定のドメイン コントローラー ポリシーは、ドメイン コントローラーに対してユーザー権限が定義されている場所です。 既定では、既定のドメイン コントローラー ポリシーの Gpttmpl.inf ファイルは次のフォルダーにあります。

    注意

    Sysvol は別の場所にある場合がありますが、Gpttmpl.inf ファイルのパスは同じです。

    サーバー Windows 2003 ドメイン コントローラーの場合:

    C: \ WINDOWS \ Sysvol \ Sysvol \ <Domainname> \ Policies \ { 6AC1786C-016F-11D2-945F-00C04fB984F9} \ MACHINE Microsoft Windows NT \ \ \ SecEdit \ GptTmpl.inf

    2000 Windows ドメイン コントローラーの場合:

    C: \ WINNT \ Sysvol \ Sysvol \ <Domainname> \ Policies \ { 6AC1786C-016F-11D2-945F-00C04fB984F9} \ MACHINE Microsoft Windows NT \ \ \ SecEdit \ GptTmpl.inf

  2. SeNetworkLogonRight エントリの右側に、管理者、認証されたユーザー、およびすべてのユーザーのセキュリティ識別子を追加します。 次の例を参照してください。

    サーバー Windows 2003 ドメイン コントローラーの場合:

    SeNetworkLogonRight = * S-1-5-32-554, * S-1-5-9, * S-1-5-32-544, * S-1-1-1-0

    2000 Windows ドメイン コントローラーの場合:

    SeNetworkLogonRight = * S-1-5-11, * S-1-5-32-544, * S-1-1-0

    注意

    管理者 (S-1-5-32-544)、認証ユーザー (S-1-5-11)、Everyone (S-1-1-0)、および Enterprise コントローラー (S-1-5-9) は、すべてのドメインで同じ既知のセキュリティ識別子を使用します。

  3. 次の例に一致する SeDenyNetworkLogonRight エントリ (ネットワークからこのコンピューターへのアクセスを拒否する) の右側にあるエントリを削除します。

    SeDenyNetworkLogonRight =

    注意

    この例は、2000 Server および Windows Server 2003 Windows同じです。

    既定では、Windows 2000 Server には SeDenyNetworkLogonRight エントリにエントリはありません。 既定では、Windows Server 2003 には、SeDenyNetworkLogonRight エントリSupport_random文字列アカウントだけが含まれます。 (文字列Support_randomはリモート アシスタンスで使用されます。Support_random文字列アカウントは、すべてのドメインで異なるセキュリティ識別子 (SID) を使用します。このアカウントは、SID を見ただけで一般的なユーザー アカウントと簡単に区別できません。 SID を別のテキスト ファイルにコピーし、SeDenyNetworkLogonRight エントリから SID を削除することができます。 この方法で、問題のトラブルシューティングが完了したら、問題を取り戻します。

    SeNetworkLogonRight と SeDenyNetworkLogonRight は、任意のポリシーで定義できます。 前の手順で問題が解決しない場合は、Sysvol の他のポリシーの Gpttmpl.inf ファイルを確認して、ユーザー権限も定義されていないか確認してください。 Gpttmpl.inf ファイルに SeNetworkLogonRight または SeDenyNetworkLogonRight への参照が含まれている場合、これらの設定はポリシーで定義されません。このポリシーは、この問題を引き起こしていない。 これらのエントリが存在する場合は、既定のドメイン コントローラー ポリシーの前に示した設定と一致する必要があります。

方法 4: ドメイン コントローラーの userAccountControl 属性が 532480 である必要があります。

  1. [ スタート] ボタン をクリックし 、[実行] をクリックし 、「adsiedit.msc」と入力します
  2. [ ドメイン NC] を 展開し 、[DC=ドメイン] を展開し 、[OU=ドメイン コントローラー] を展開します
  3. 影響を受けるドメイン コントローラーを右クリックし、[プロパティ] を クリックします
  4. [Windows Server 2003 で、[属性エディター]タブの [必須属性を表示する] チェック ボックスと [オプションの属性を表示する] チェック ボックスを オン にします。[Windows 2000 Server で、[表示するプロパティの選択] ボックスの [両方] をクリック します。
  5. [Windows Server 2003 で、[属性] ボックスの [userAccountControl] をクリック します。 2000 Windowsで、[表示するプロパティを選択する] ボックスの [userAccountControl] をクリック します。
  6. 値が 532480 ではない場合は、[属性の編集] ボックスに 「532480」 と入力し、[設定] をクリックし、[適用] をクリックし 、[OK] をクリックします
  7. ADSI 編集を終了します。

方法 5: Kerberos 領域を修正します (PolAcDmN レジストリ キーと PolPrDmN レジストリ キーが一致する確認)

注意

このメソッドは、2000 Server Windows有効です。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。
322756 Windows でレジストリをバックアップおよび復元する方法

  1. レジストリ エディターを起動します
  2. 左側のウィンドウで、[セキュリティ] を展開します
  3. [セキュリティ ] メニューの[アクセス 許可] をクリックして、セキュリティ ハイブとその子コンテナーとオブジェクトの Administrators ローカル グループのフル コントロールを付与します。
  4. キーを見 HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN つける。
  5. レジストリ エディターの右側のウィンドウ 、次 <No Name> のエントリを 1 回REG_NONEクリックします。
  6. [表示] メニューの [バイナリ データの 表示] をクリックします。 ダイアログ ボックスの [書式 ] セクションで、[バイト] を クリックします
  7. ドメイン名は、[バイナリ データ] ダイアログ ボックスの右側に文字列 として 表示されます。 ドメイン名は Kerberos 領域と同じです。
  8. レジストリ キー HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN を探します。
  9. レジストリ エディターの右側の ウィンドウで、次の <No Name> エントリをダブルクリックREG_NONE します。
  10. [バイナリ エディター] ダイアログ ボックスで、PolPrDmN の値を貼り付けます。 (PolPrDmN の値は NetBIOS ドメイン名になります)。
  11. ドメイン コントローラーを再起動します。

方法 6: コンピューター アカウントのパスワードをリセットし、新しい Kerberos チケットを取得する

  1. Kerberos キー配布センター サービスを停止 し、スタートアップ値を [手動] に 設定します

  2. Windows 2000 Server サポート ツールまたは Windows Server 2003 サポート ツールの Netdom ツールを使用して、ドメイン コントローラーのコンピューター アカウントのパスワードをリセットします。

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>  
    

    コマンドが正常 netdom に完了したとして返されたことを確認します。 指定されていない場合、コマンドは機能しません。 影響を受けるドメイン コントローラーが DC1 で、作業ドメイン コントローラーが DC2 であるドメイン Contoso の場合は、DC1 のコンソールから次のコマンド netdom を実行します。

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
    
  3. 影響を受けるドメイン コントローラーを再起動します。

  4. Kerberos キー配布センター サービスを開始 し、スタートアップ設定を [自動] に 設定します

この問題の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。
323542 サーバーが動作していないので、Active Directory ユーザーとコンピューター ツールを起動できません