Active Directory レプリケーションの問題のトラブルシューティングに関するページ

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

Active Directory レプリケーションの問題には、いくつかの異なるソースが存在する場合があります。 たとえば、ドメインネームシステム (DNS) の問題、ネットワークの問題、またはセキュリティの問題によっては、Active Directory レプリケーションが失敗する可能性があります。

このトピックの残りの部分では、Active Directory レプリケーションエラーを修正するためのツールと一般的な方法について説明します。 次のサブトピックでは、現象、原因、および特定のレプリケーションエラーの解決方法について説明します。

Active Directory レプリケーションのトラブルシューティングの概要とリソース

入力方向または出力方向のレプリケーションエラーが発生すると、レプリケーショントポロジ、レプリケーションスケジュール、ドメインコントローラー、ユーザー、コンピューター、パスワード、セキュリティグループ、グループメンバーシップ、グループポリシーを表すオブジェクトがドメインコントローラー間で不整合になる Active Directory ます。 ディレクトリの不整合とレプリケーションエラーによって、操作のために接続されたドメインコントローラに応じて、操作エラーまたは一貫性のない結果が発生する可能性があります。また、グループポリシーとアクセス制御のアクセス許可を適用できなくなる可能性があります。 Active Directory Domain Services (AD DS) は、ネットワーク接続、名前解決、認証と承認、ディレクトリデータベース、レプリケーショントポロジ、およびレプリケーションエンジンに依存します。 レプリケーションの問題の根本原因がすぐにわからない場合は、考えられる多くの原因の原因を特定するために、考えられる原因を体系的に排除する必要があります。

レプリケーションを監視し、エラーを診断するための UI ベースのツールについては、 Microsoft サポート/回復アシスタントツールをダウンロードして実行する 、レプリケーションの状態を分析するだけの場合は Active Directory Replication Status ツールを使用します。

Repadmin ツールを使用して Active Directory レプリケーションが利用可能であることをトラブルシューティングする方法について説明する包括的なドキュメントについては、「」を参照してください。「 Repadmin を使用した Active Directory レプリケーションの監視とトラブルシューティング」を参照してください。

Active Directory レプリケーションのしくみの詳細については、次のテクニカルリファレンスを参照してください。

イベントおよびツールソリューションに関する推奨事項

理想的には、ディレクトリサービスイベントログの赤 (エラー) イベントと黄 (警告) イベントが、ソースまたは宛先のドメインコントローラーでレプリケーションが失敗する原因となっている特定の制約を提案します。 イベントメッセージで解決策の手順が提案されている場合は、イベントで説明されている手順を試してください。 Repadmin ツールおよびその他の診断ツールでは、レプリケーションの失敗を解決するのに役立つ情報も提供されます。

Repadmin を使用したレプリケーションの問題のトラブルシューティングの詳細については、「 Repadmin を使用した Active Directory レプリケーションの監視とトラブルシューティング」を参照してください。

意図的な中断またはハードウェア障害の除外

意図的な中断が原因で、レプリケーションエラーが発生することがあります。 たとえば、Active Directory レプリケーションの問題のトラブルシューティングを行う場合は、意図的な切断とハードウェアの障害またはアップグレードをまず除外します。

意図的に切断

ステージングサイトに構築されており、最終的な運用サイト (ブランチオフィスなどのリモートサイト) で現在オフラインになっているドメインコントローラーでレプリケーションエラーが報告されている場合は、それらのレプリケーションエラーを考慮することができます。 ドメインコントローラーが再接続されるまで連続エラーが発生するように、長時間にわたってレプリケーショントポロジからドメインコントローラーを分離するには、最初にこのようなコンピューターをメンバーサーバーとして追加し、[メディアからのインストール (IFM)] 方法を使用して Active Directory Domain Services (AD DS) をインストールすることを検討してください。 Ntdsutil コマンドラインツールを使用して、リムーバブルメディア (CD、DVD、またはその他のメディア) に保存し、転送先サイトに発送できるインストールメディアを作成できます。 その後、インストールメディアを使用して、サイトのドメインコントローラーに AD DS をインストールできます。レプリケーションを使用する必要はありません。

ハードウェアの障害またはアップグレード

ハードウェア障害 (マザーボード、ディスクサブシステム、ハードドライブの障害など) が原因でレプリケーションの問題が発生した場合は、ハードウェアの問題を解決できるように、サーバーの所有者に通知します。

定期的なハードウェアのアップグレードによって、ドメインコントローラーがサービスを停止する場合もあります。 サーバーの所有者が、このような障害を事前に通信するための十分なシステムを備えていることを確認します。

ファイアウォールの構成

既定では、Active Directory レプリケーションのリモートプロシージャコール (Rpc) は、ポート135で RPC エンドポイントマッパー (RPCSS) を介して使用可能なポートを介して動的に実行されます。 セキュリティが強化された Windows ファイアウォールとその他のファイアウォールが、レプリケーションを許可するように適切に構成されていることを確認します。 Active Directory レプリケーションとポート設定のポートを指定する方法の詳細について は、Microsoft サポート技術情報の記事 224196を参照してください。

レプリケーション Active Directory で使用するポートの詳細については、「 Active Directory レプリケーションツールと設定」を参照してください。

ファイアウォール経由で Active Directory レプリケーションを管理する方法の詳細については、「 ファイアウォール経由のレプリケーションの Active Directory」を参照してください。

Windows 2000 サーバーを実行している古いサーバーの障害への対応

Windows 2000 Server を実行しているドメインコントローラが廃棄 (tombstone) の有効期間の日数を超えて失敗した場合、ソリューションは常に同じになります。

  1. 企業ネットワークからプライベートネットワークにサーバーを移動します。
  2. 強制的に Active Directory を削除するか、オペレーティングシステムを再インストールしてください。
  3. サーバーオブジェクトを復元できないように、Active Directory からサーバーメタデータを削除します。

スクリプトを使用すると、ほとんどの Windows オペレーティングシステムのサーバーメタデータをクリーンアップできます。 このスクリプトの使用方法の詳細については、「 Remove Active Directory ドメイン Controller Metadata」を参照してください。

既定では、削除される NTDS 設定オブジェクトは、14日間にわたって自動的に復元されます。 したがって、サーバーのメタデータを削除しない (Ntdsutil を使用するか、前に説明したスクリプトを使用してメタデータのクリーンアップを実行する) と、ディレクトリ内でサーバーメタデータが復元されます。これにより、レプリケーションの試行が求められます。 この場合、不足しているドメインコントローラーではレプリケートできないため、エラーは永続的にログに記録されます。

根本原因

意図的な切断、ハードウェア障害、および Windows 2000 ドメインコントローラーの期限切れを除外する場合、レプリケーションの問題の残りの部分には、次のいずれかの根本原因があります。

  • ネットワーク接続: ネットワーク接続が利用できないか、ネットワーク設定が正しく構成されていない可能性があります。
  • 名前解決: レプリケーションエラーの一般的な原因として、DNS の誤りが考えられます。
  • 認証と承認: ドメインコントローラーがレプリケーションパートナーに接続しようとすると、認証と承認の問題によって "アクセスが拒否されました" というエラーが発生します。
  • ディレクトリデータベース (ストア): ディレクトリデータベースは、レプリケーションのタイムアウトに対応するのに十分な速度でトランザクションを処理できない可能性があります。
  • レプリケーションエンジン: サイト間レプリケーションスケジュールが短すぎる場合、レプリケーションキューが大きすぎて、送信レプリケーションスケジュールで必要な時間内に処理できないことがあります。 この場合、一部の変更のレプリケーションは、廃棄 (tombstone) の有効期間を超えても、無期限に停止する可能性があります。
  • レプリケーショントポロジ: ドメインコントローラーには、実際のワイドエリアネットワーク (WAN) 接続または仮想プライベートネットワーク (VPN) 接続にマップされた AD DS のサイト間リンクが必要です。 ネットワークの実際のサイトトポロジでサポートされていないレプリケーショントポロジ用に AD DS でオブジェクトを作成した場合、正しく構成されていないトポロジを必要とするレプリケーションは失敗します。

問題を解決するための一般的な方法

レプリケーションの問題を解決するには、次の一般的な方法を使用します。

  1. レプリケーションの正常性を毎日監視するか、Repadmin.exe を使用して毎日レプリケーションの状態を取得します。

  2. 「イベントメッセージとこのガイド」で説明されている方法を使用して、報告されたエラーを適切なタイミングで解決しようとします。 ソフトウェアが問題の原因になっている可能性がある場合は、他のソリューションを続行する前に、ソフトウェアをアンインストールしてください。

  3. レプリケーションが失敗する原因となっている問題が、既知の方法で解決できない場合は、サーバーから AD DS を削除し、AD DS を再インストールします。 AD DS の再インストールの詳細については、「 ドメインコントローラーの使用を停止する」を参照してください。

  4. サーバーがネットワークに接続されている間に AD DS を正常に削除できない場合は、次のいずれかの方法を使用して問題を解決します。

    • ディレクトリサービス復元モード (DSRM) で AD DS 削除を強制し、サーバーメタデータをクリーンアップしてから AD DS を再インストールします。
    • オペレーティングシステムを再インストールし、ドメインコントローラーを再構築します。

AD DS を強制的に削除する方法の詳細については、「 ドメインコントローラーを強制的に削除する」を参照してください。

Repadmin を使用してレプリケーションの状態を取得する

レプリケーションの状態は、ディレクトリサービスの状態を評価するための重要な方法です。 レプリケーションがエラーなしで動作している場合は、オンラインになっているドメインコントローラがあることを確認します。 また、次のシステムとサービスが動作していることもわかります。

  • DNS インフラストラクチャ
  • Kerberos 認証プロトコル
  • Windowsタイムサービス (W32time)
  • リモート プロシージャ呼び出し (RPC)
  • ネットワーク接続

フォレスト内のすべてのドメインコントローラーのレプリケーションステータスを評価するコマンドを実行して、レプリケーションステータスを毎日監視するには、Repadmin を使用します。 このプロシージャは、Microsoft Excel で開くことができ、レプリケーションエラーをフィルター処理するために .csv ファイルを生成します。

フォレスト内のすべてのドメインコントローラーのレプリケーションの状態を取得するには、次の手順を実行します。

要件

この手順を完了するには、少なくとも、Enterprise Admins グループ、またはそれと同等の権限を持つグループのメンバーである必要があります。

ツールでの操作 :

  • Repadmin.exe
  • Excel (Microsoft Office)

ドメインコントローラーの repadmin/showrepl スプレッドシートを生成するには

  1. 管理者としてコマンドプロンプトを開きます。スタートメニューで、[コマンドプロンプト] を右クリックし、[管理者として実行] をクリックします。 [ユーザーアカウント制御] ダイアログボックスが表示されたら、必要に応じて Enterprise 管理者の資格情報を入力し、[続行] をクリックします。

  2. コマンドプロンプトで、次のコマンドを入力し、enter キーを押します。 repadmin /showrepl * /csv > showrepl.csv

  3. Excel を開きます。

  4. [Office] ボタンをクリックし、[開く] をクリックして showrepl.csv に移動し、[開く] をクリックします。

  5. 次のように、列 A とトランスポートの種類の列を非表示または削除します。

  6. 非表示または削除する列を選択します。

    • 列を非表示にするには、列を右クリックし、[非表示] をクリックします。
    • 列を削除するには、選択した列を右クリックし、[削除] をクリックします。
  7. 列見出し行の下にある行1を選択します。 [表示] タブで [ウィンドウの固定] をクリックし、[上位行の固定] をクリックします。

  8. スプレッドシート全体を選択します。 [データ] タブで、[フィルター] をクリックします。

  9. [最終成功時刻] 列で下矢印をクリックし、[昇順で並べ替え] をクリックします。

  10. [ソース DC] 列で、フィルターの下矢印をクリックし、[テキスト フィルター] をポイントして、[カスタム フィルター] をクリックします。

  11. [カスタムオートフィルター] ダイアログ ボックスの [行の表示場所] の下にある [含めない] をクリックします。 隣接するテキスト ボックスに、「」と入力すると、削除されたドメイン コントローラーの結果 del が表示されません。

  12. [最後の失敗時刻] 列に対して手順 11 を繰り返しますが、値が等しくない場合は使用し、値 0 を入力します。

  13. レプリケーションエラーを解決します。

フォレスト内のすべてのドメイン コントローラーについて、スプレッドシートには、ソース レプリケーション パートナー、レプリケーションが最後に発生した時刻、および名前付けコンテキスト (ディレクトリ パーティション) ごとに最後のレプリケーション エラーが発生した時刻が表示されます。 Excel で自動フィルターを使用すると、動作しているドメイン コントローラー、障害が発生したドメイン コントローラー、または最新のドメイン コントローラーについてのみレプリケーションの正常性を表示できます。また、正常にレプリケートされているレプリケーション パートナーを確認できます。

レプリケーションの問題と解決策

レプリケーションの問題は、イベント メッセージと、アプリケーションまたはサービスが操作を試行するときに発生するさまざまなエラー メッセージで報告されます。 これらのメッセージは、監視アプリケーションによって、またはレプリケーションの状態を取得するときに収集されるのが理想的です。

ほとんどのレプリケーションの問題は、ディレクトリ サービスのイベント ログに記録されるイベント メッセージで特定されます。 レプリケーションの問題は、コマンドの出力でエラー メッセージの形式で特定される場合 repadmin /showrepl があります。

レプリケーションの問題を示す repadmin /showrepl エラー メッセージ

Active Directory レプリケーションの問題を特定するには、前のセクションで repadmin /showrepl 説明したように、 コマンドを使用します。 次の表は、このコマンドによって生成されるエラー メッセージと、エラーの根本原因と、エラーの解決策を提供するトピックへのリンクを示しています。

Repadmin エラー 根本原因 解決策
このサーバーでの最後のレプリケーションが廃棄の有効期間を超えた時間。 ドメイン コントローラーは、削除が廃棄され、レプリケートされ、AD DS からガベージ コレクションされるのに十分な時間、名前付きソース ドメイン コントローラーを使用した受信レプリケーションに失敗しました。 イベント ID 2042: このコンピューターがレプリケートされてからの経過時間が長すぎます
受信近隣のなし。 repadmin /showrepl によって生成された出力の "Inbound Neighbors" セクションに項目が表示されない場合、ドメイン コントローラーは別のドメイン コントローラーとのレプリケーション リンクを確立する必要はありません。 レプリケーション接続の問題を解決する (イベント ID 1925)
アクセスが拒否されました。 2 つのドメイン コントローラー間にレプリケーション リンクが存在しますが、認証エラーの結果としてレプリケーションを正しく実行することはできません。 レプリケーションのセキュリティの問題を解決する
[ターゲット アカウント名<正しくありません] で>の最終試行が失敗しました。 この問題は、接続、DNS、または認証の問題に関連している可能性があります。 これが DNS エラーの場合、ローカル ドメイン コントローラーは、レプリケーション パートナーのグローバル一意識別子 (GUID) ベースの DNS 名を解決する必要があります。 レプリケーション DNS 参照の問題の修正 (イベント ID 1925、2087、2088) レプリケーションのセキュリティに関する問題の修正レプリケーション接続の問題の修正 (イベント ID 1925)
LDAP エラー 49。 ドメイン コントローラー のコンピューター アカウントが、ドメイン コントローラー コンピューター アカウント (KDC) キー配布センターされていない可能性があります。 レプリケーションのセキュリティの問題を解決する
ローカル ホストへの LDAP 接続を開くことができません 管理ツールから管理ツールにAD DS。 レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088)
Active Directory レプリケーションが開始されました。 repadmin /sync コマンドを使用して手動で生成された要求など、優先順位の高いレプリケーション要求によって受信レプリケーションの進行状況が中断されました。 レプリケーションが完了するまで待ちます。 この情報メッセージは、通常の操作を示します。
レプリケーションがポスト、待機中。 ドメイン コントローラーがレプリケーション要求を送信し、応答を待機しています。 レプリケーションは、このソースから進行中です。 レプリケーションが完了するまで待ちます。 この情報メッセージは、通常の操作を示します。

次の表に、Active Directory レプリケーションの問題を示す可能性がある一般的なイベントと、問題の根本原因と、問題の解決策を提供するトピックへのリンクを示します。

イベント ID とソース 根本原因 解決策
1311 NTDS KCC のレプリケーション構成情報AD DSネットワークの物理トポロジが正確に反映されない。 レプリケーション トポロジの問題を解決する (イベント ID 1311)
1388 NTDS レプリケーション 厳密なレプリケーションの整合性は有効ではなく、残っているオブジェクトがドメイン コントローラーにレプリケートされています。 レプリケーション残留オブジェクトの問題を解決する (イベント ID 1388、1988、2042)
1925 NTDS KCC 書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立しようとして失敗しました。 このイベントには、エラーに応じて異なる原因が考えられる場合があります。 レプリケーション接続の問題の修正 (イベント ID 1925) レプリケーション DNS 参照の問題の修正 (イベント ID 1925、2087、2088)
1988 NTDS レプリケーション ローカル ドメイン コントローラーは、削除され、既にガベージ コレクションされている可能性があるという理由で、ローカル ドメイン コントローラーがローカル ドメイン コントローラーに存在しないソース ドメイン コントローラーからオブジェクトのレプリケートを試みていました。 この状況が解決されるまで、このパートナーとのディレクトリ パーティションのレプリケーションは続行されません。 レプリケーション残留オブジェクトの問題を解決する (イベント ID 1388、1988、2042)
2042 NTDS レプリケーション レプリケーションは廃棄の有効期間中、このパートナーと一緒に実行されていないので、レプリケーションを続行できません。 レプリケーション残留オブジェクトの問題を解決する (イベント ID 1388、1988、2042)
2087 NTDS レプリケーション AD DSドメイン コントローラーの DNS ホスト名を IP アドレスに解決できなかった場合、レプリケーションに失敗しました。 レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088)
2088 NTDS レプリケーション AD DSドメイン コントローラーの DNS ホスト名を IP アドレスに解決できないが、レプリケーションは成功した。 レプリケーション DNS 参照の問題を解決する (イベント ID 1925、2087、2088)
5805 Net Logon コンピューター アカウントが認証に失敗しました。通常は、同じコンピューター名の複数のインスタンスまたはコンピューター名がすべてのドメイン コントローラーにレプリケートされていない場合に発生します。 レプリケーションのセキュリティの問題を解決する

レプリケーションの概念の詳細については、「Active Directory レプリケーション テクノロジ」を参照してください

次の手順

エラー コードに固有のサポート記事を含む詳細については、サポート記事「Active Directory レプリケーションの一般的なエラーをトラブルシューティングする方法 」を参照してください。