Active Directory レプリケーション エラー 8456 または 8457: ソース |宛先サーバーは現在、レプリケーション要求を拒否しています

  • [アーティクル]

この記事では、エラー 8456 または 8457 で Active Directory 操作が失敗する状況の症状、原因、解決の手順について説明します。

適用対象: Windows Server (サポートされているすべてのバージョン)
元の KB 番号: 2023007

注:

ホーム ユーザー: この記事は、テクニカル サポート エージェントと IT プロフェッショナルのみを対象としています。 問題のヘルプを探している場合は、 Microsoft コミュニティに問い合わせてください

現象

Active Directory 操作がエラー 8456 または 8457 で失敗する: ソース |宛先サーバーは現在、レプリケーション要求を拒否しています。

  1. 既存のフォレスト内の新しいドメイン コントローラーの DCPROMO 昇格が失敗し、エラーが発生します。ソース サーバーは現在レプリケーション要求を拒否しています。

    ダイアログ タイトル テキスト: Active Directory インストール ウィザード ダイアログ メッセージ テキスト:

    操作が失敗しました。Active Directory は、ディレクトリ パーティション <ディレクトリ パーティション DN パス> 内の残りのデータをドメイン コントローラー <の宛先 DC> に転送できませんでした。 "ソース サーバーは現在、レプリケーション要求を拒否しています。

  2. DCDIAG はエラーを報告します。 ソース サーバーは現在レプリケーション要求を拒否 しているか 、宛先サーバーは現在レプリケーション要求を拒否しています

    テスト サーバー: Default-First-Site-Name<DC NAME>
    テストの開始: レプリケーション
    * レプリケーションの確認
    [レプリケーションチェック,<[DC NAME>] 最近のレプリケーション試行が失敗しました。
    IADOMINO から DC NAME へ<>
    名前付けコンテキスト: パーティションの DC=<DN パス>
    レプリケーションでエラーが生成されました (8456)。
    ソース サーバーは現在、レプリケーション要求を拒否しています。
    エラーは日付><時刻>に<発生しました。
    最後の成功は日付><時刻>に<発生しました。
    前回の成功以降、957 件のエラーが発生しました。
    サーバー オプションを使用してレプリケーションが明示的に無効になっている

    テスト サーバー: Default-First-Site-Name<DC NAME>
    テストの開始: レプリケーション
    * レプリケーションの確認
    [レプリケーションチェック,<[DC NAME>] 最近のレプリケーション試行が失敗しました。
    IADOMINO から DC NAME へ<>
    名前付けコンテキスト: パーティションの DC=<DN パス>
    レプリケーションでエラーが生成されました (8457)。
    移行先サーバーは現在、レプリケーション要求を拒否しています。
    エラーは日付><時刻>に<発生しました。
    最後の成功は日付><時刻>に<発生しました。
    前回の成功以降、957 件のエラーが発生しました。
    サーバー オプションを使用してレプリケーションが明示的に無効になっている

  3. REPADMIN は、受信と送信の Active Directory レプリケーションがエラーで失敗する可能性があることを示します: ソース |宛先サーバーは現在、レプリケーションを拒否しています。

    DC=Contoso、DC=COM
    <RPC を使用したサイト名><DC 名>
    DC オブジェクト GUID: <ソース DC NTDS 設定オブジェクトのオブジェクトガイド>
    最後の試行 @ <日付><時刻> が失敗し、結果 8457 (0x2109):
    移行先サーバーは現在、レプリケーション要求を拒否しています。

    DC=Contoso、DC=COM
    <RPC を使用したサイト名><DC 名>
    DC オブジェクト GUID: <ソース DC NTDS 設定オブジェクトのオブジェクトガイド>
    最後の試行 @ <date><time> failed, result 8456 (0x2108):
    ソース サーバーは現在、レプリケーション要求を拒否しています。

    注:

    REPADMIN コマンドは、現在拒否されているレプリケーション エラーに対応する 16 進数と 10 進数の両方を表示できます。

  4. USN ロールバックが発生したことを示すイベント ソースとイベント ID には、次のものが含まれますが、これらに限定されません。

    イベント ソース イベント ID イベント文字列
    NTDS KCC 1308 ナレッジ整合性チェッカー (KCC) では、次のドメイン コントローラーを使用したレプリケートの試行が一貫して失敗したことが検出されました。
    NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。
    NTDS KCC 1926 次のパラメーターを使用して読み取り専用ディレクトリ パーティションへのレプリケーション リンクを確立しようとしましたが失敗しました
    NTDS レプリケーション 1586 PDC エミュレーター マスターを使用したWindows NT 4.0 以前のレプリケーション チェックポイントが失敗しました。 次のチェックポイントが成功する前に PDC エミュレーター マスター ロールがローカル ドメイン コントローラーに転送された場合、セキュリティ アカウント マネージャー (SAM) データベースとドメイン コントローラー Windows NT 4.0 以前のドメイン コントローラーとの完全な同期が発生する可能性があります。 チェックポイント プロセスは 4 時間後に再度試行されます。
    NTDS レプリケーション 2023 ローカル ドメイン コントローラーは、次のディレクトリ パーティションの次のリモート ドメイン コントローラーに変更をレプリケートできませんでした。
    Microsoft-Windows-ActiveDirectory_DomainService 2095 Active Directory Domain Servicesレプリケーション要求中に、ローカル ドメイン コントローラー (DC) は、既に確認済みの USN 追跡番号を使用して、ローカル DC からレプリケーション データを受信したリモート DC を識別しました。
    Microsoft-Windows-ActiveDirectory_DomainService 2103 Active Directory Domain Services データベースは、サポートされていない復元手順を使用して復元されました。 Active Directory Domain Servicesは、この状態が続いている間、ユーザーにログオンできません。 そのため、Net Logon サービスは一時停止しています。

    埋め込み状態コード 8456 と 8457 が次にマップされます。

    10 進エラー 16 進数エラー エラー文字列
    8456 2108 ソース サーバーは現在レプリケーションを拒否しています
    8457 2109 移行先サーバーが現在レプリケーションを拒否しています

  5. NTDS General Event 2013 は、Directory Services イベント ログに記録される場合があります。 これは、Active Directory データベースのロールバックまたは復元がサポートされていないために USN ロールバックが発生したことを示します。

    イベントの種類: エラー
    イベント ソース: NTDS General
    イベント カテゴリ: サービス コントロール
    イベント ID: 2103
    日付: <日付>
    時間: <時間>
    ユーザー: <ユーザー名>
    コンピューター: <コンピューター名>
    説明: Active Directory データベースは、サポートされていない復元手順を使用して復元されました。 この状態が続いている間、Active Directory はユーザーにログオンできません。 その結果、Net Logon サービスは一時停止しました。 ユーザー アクション 詳細については、前のイベント ログを参照してください。 詳細については、 のヘルプおよびサポート センターを https://support.microsoft.com参照してください。

  6. NTDS General イベント 1393 は、Directory Services イベント ログに記録される場合があります。 これは、Active Directory データベースまたはログ ファイルをホストしている物理ドライブまたは仮想ドライブに十分な空きディスク領域がないことを示します。

    イベントの種類: エラー
    イベント ソース: NTDS General
    イベント カテゴリ: サービス コントロール
    イベント ID: 1393
    日付: <日付>
    時間: <時間>
    ユーザー: <ユーザー名>
    コンピューター: <コンピューター名> 説明:
    ディレクトリ サービス データベースの更新がエラー 112 で失敗しています。 この状態が続いている間、Windows はユーザーにログオンできないため、NetLogon サービスは一時停止中です。 ディレクトリ データベースとログ ファイルが存在するドライブで十分な空きディスク領域が使用可能であることを確認します。

原因

複数の根本原因が原因で、受信レプリケーションまたは送信レプリケーションがオペレーティング システムによって自動的に無効になりました。

受信レプリケーションまたは送信レプリケーションを無効にする 3 つのイベントは次のとおりです。

  • USN ロールバックが発生しました (NTDS General Event 2103)。
  • ハード ディスクがいっぱいです (NTDS General Event 1393)。
  • 破損した UTD ベクターが存在します (イベント 2881)。

オペレーティング システムは、3 つの条件のいずれかが発生すると、自動的に 4 つの構成変更を行います。 4 つの構成変更は次のとおりです。

  1. 受信 Active Directory レプリケーションが無効になっています。
  2. 送信 Active Directory レプリケーションが無効になっています。
  3. DSA が書き込み可能でない 場合は、レジストリの 0 以外の値に設定されます。
  4. NETLOGON サービスの状態が 実行中 から 一時停止に変更されます。

このエラー状態の主な根本原因は、Windows Server ドメイン コントローラーで説明されている USN ロールバックで、 USN ロールバックが発生したときに Directory Services イベント 2095 がログに記録されます。

DSA の 0 以外の値が 書き込み可能ではないこと 、または DCPROMO/AD レプリケーション中にソースサーバーまたは移行先サーバーが現在レプリケーション要求を拒否していることを前提としないでください。これは、USN ロールバックが発生したこと、およびそのようなドメイン コントローラーが暗黙的に強制降格または強制再プロモートされる必要があることを意味します。 正しいオプションを降格します。 ただし、空きディスク領域が不足しているためにエラーが発生した場合は、過剰になる可能性があります。

解決方法

  1. 書き込み不可の DSA の値を確認します。

    8456 または 8457 エラーをログに記録している各ドメイン コントローラーについて、ローカル レジストリから "DSA not writable" の値を読み取ることによって、3 つのトリガーイベントの 1 つが自動的に受信または送信 Active Directory レプリケーションを無効にするかどうかを判断します。

    レプリケーションが自動的に無効になると、オペレーティング システムは、書き込み不可の 4 つの値のうちの 1 つを DSA に書き込みます

    • パス: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    • 設定: DSA は書き込み不可
    • 型: Reg_dword
    • 値:
      • #define DSA_WRITABLE_GEN 1
      • #define DSA_WRITABLE_NO_SPACE 2
      • #define DSA_WRITABLE_USNROLLBCK 4
      • #define DSA_WRITABLE_CORRUPT_UTDV 8

    値 1 は、フォレストのバージョンが OS と互換性がない場合にのみ書き込むことができます (たとえば、W2K DC は Windows Server 2003 フォレスト機能レベルのフォレストなどに昇格されます)。

    値 2 は、Active Directory データベースまたはログ ファイルをホストしている物理ドライブまたは仮想ドライブに十分な空きディスク領域がないことを意味します。

    値 4 は、Active Directory データベースが時間内に誤ってロールバックされたため、USN ロールバックが発生したことを意味します。 USN ロールバックを引き起こすことがわかっている操作には、次のようなものがあります。

    • Hyper-V または VMWARE ホスト上のドメイン コントローラー役割コンピューターの以前に保存された仮想マシン スナップショットからの起動。
    • 複数のドメイン コントローラーを含むフォレストでの物理から仮想 (P2V) への変換が正しくありません。
    • Ghost などのイメージング製品を使用して DC ロール コンピューターを復元する。
    • 高度なディスク サブシステムを使用して、Active Directory データベースをホストしているパーティションの内容を時間内にロールバックします。

    値 8 は、ローカル DC で最新のベクターが破損していることを示します。

    技術的には、 DSA は書き込み不可 で、複数の値で構成される可能性があります。 たとえば、レジストリ値が 10 の場合、ディスク領域が不足し、UTD が破損していることを示します。 通常、1 つの値は 書き込み不可の DSA に書き込まれます

    注:

    サポートプロフェッショナルや管理者は、送信レプリケーションを有効にし、受信レプリケーションを有効にし、NETLOGON サービスのスタートアップ値を無効から自動に変更し、NETLOGON サービスを開始することで、レプリケーション検疫を部分的に無効にするのが一般的です。 そのため、検査時に完全な検疫構成が設定されていない可能性があります。

  2. 検疫イベントのディレクトリ サービス イベント ログを確認します。

    Directory Service イベント ログがラップされていないと仮定すると、8456 または 8457 エラーをログに記録しているドメイン コントローラーのディレクトリ サービス イベント ログに 1 つ以上の関連イベントが記録されている場合があります。

    イベント 詳細
    NTDS General 2103 Active Directory データベースは、サポートされていない復元手順を使用して復元されました。 この状態が続いている間、Active Directory はユーザーにログオンできません。 そのため、Net Logon サービスは一時停止しています。 ユーザー アクション 詳細については、前のイベント ログを参照してください。
    NTDS 全般イベント 1393 ディスクに十分な領域がありません。
    イベント 2881 該当なし

  3. 書き込み不可の DSA の値、またはシステムにログオンしているイベントに基づいて回復を実行します。

    • DSA の書き込み不可が 4 の場合、または NTDS General Event 2103 がログに記録されている場合は、USN ロールバックの回復手順を実行します。 詳細については、「 Windows Server ドメイン コントローラーは、USN ロールバックが発生したときに Directory Services イベント 2095 をログに記録する」を参照してください。

    • DSA の書き込み不可が 2 または NTDS General イベント 1393 がログに記録されている場合は、Active Directory データベースとログ ファイルをホストしている物理パーティションと仮想パーティションで十分な空きディスク領域をチェックします。 必要に応じて空き領域を増やします。

    • DSA の書き込み不可が 8 に等しい場合は、フォレスト内の他のドメイン コントローラーに無効な値をレプリケートする前に、ドメイン コントローラーを降格して再プロモートします。

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。