Windows Server 2012 R2 で TCPIP 経由の NetBIOS が無効になっていると、ドメイン コントローラーの昇格が応答を停止する

この記事では、TCPIP 経由の NetBIOS が無効になっている環境で短い資格情報が使用されている場合にドメイン コントローラーの昇格が応答しなくなる問題の解決策について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 2948052

現象

Active Directory Domain Services構成ウィザードを使用して、コンピューターを Windows Server 2012 R2 のドメイン コントローラーに昇格させると、ウィザードの応答が停止します。 問題が発生すると、Active Directory Domain Services構成ウィザードは、昇格が処理中であることを示し、次のテキストを表示します。

Windows Server 2012 R2 ドメイン コントローラーには、セキュリティ チャネル セッションを確立するときに、暗号化アルゴリズムの弱さが防止される "Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する" という名前のセキュリティ設定の既定値があります。

問題が発生すると、Dcpromo.log ファイルは昇格操作が停止したことを正しく示します。

[INFO]DnsDomainName chilld contoso.local
[INFO]FlatDomainName 子
[INFO]SiteName Default-First-Site-Name
[INFO]SystemVolumeRootPath C:\Windows\SYSVOL
INFO] DsDatabasePath C:\Windows\NTDS, DsLogPath C:\Windows\NTDS
[INFO]ParentDnsDomainName contoso.local
[INFO]ParentServer <ヘルパー DC.contoso.local>
[INFO]アカウント contoso\administrator
[INFO]オプション 5243072
[INFO]指定されたパスを検証する
....
[INFO]EVENTLOG (エラー): NTDS レプリケーション/ DS RPC クライアント : 1963
内部イベント: 次のローカル ディレクトリ サービスは、リモート プロシージャ コール (RPC) 接続から例外を受信しました。 広範な RPC 情報が要求されました。 これは中間情報であり、考えられる原因が含まれていない可能性があります

[INFO]EVENTLOG (エラー): NTDS レプリケーション/ DS RPC クライアント : 1962
内部イベント: ローカル ディレクトリ サービスがリモート プロシージャ コール (RPC) 接続から例外を受け取った。 拡張エラー情報は使用できません。
....エラー値:
セキュリティ パッケージ固有のエラーが発生しました。 1825directory サービス:
<hostname> 追加データ

エラー値:
このドメインのドメイン コントローラーが見つかりませんでした。 (1908)

[INFO]EVENTLOG (エラー): NTDS レプリケーション/セットアップ: 1125
Active Directory Domain Services インストール ウィザード (Dcpromo) は、次のドメイン コントローラーとの接続を確立できませんでした。
ドメイン コントローラー: <DC 名>。<DNS ドメイン名>。<最上位ドメイン名>
追加データ
エラー値:
1908 このドメインのドメイン コントローラーが見つかりませんでした。

この問題は、次の条件に該当する場合に発生します。

• TCP/IP 経由の NetBIOS が無効になっています。 これは、次の状況で発生します。
  [ネットワーク] パネルの [TCP/IP 経由で NetBIOS を無効にする] オプションが選択されていません。IPv4 プロパティの [TCP/IP の詳細設定] タブの [WINS] タブ。
  TCP/IP 経由の NetBIOS は DHCP サーバーで無効になっています。
  コンピューターは IPv6 構成のみを使用しています。

• "短い" 資格情報名は、資格情報 UI またはドメイン コントローラー昇格応答ファイルで使用されます。
  このセクションの前半では Dcpromo.log 、昇格プロセスが最初の名前付けコンテキストをレプリケートするように設定しているときに、DRS バインド呼び出しからERROR_DOMAIN_CONTROLLER_NOT_FOUND エラーが返されたことを示します。

  この場合、Kerberos は、指定された資格情報を使用して認証するドメイン コントローラーを見つけることができません。 たとえば、指定された資格情報は、wolf.com\administrator のような "長い" DNS 資格情報ではなく "wolf\administrator" です。 資格情報の "wolf" は、管理者アカウントをホストしているドメインの NetBIOS 名です。

原因

NetBIOS-less\WINS-less 環境で構成ウィザードActive Directory Domain Services実行すると、短いドメイン名を認識するために DC ロケーターに関するいくつかの制限が導入されます。 これは、ドメインに参加していないコンピューターでは特に当てはまります。 DC ロケーターは、ほとんどの場合 DNS を使用するトラステッド ドメイン リストを使用して、短いドメイン名を完全修飾ドメイン名 (FQDN) にマップしようとします。 DNS を使用できない場合は、ロケーターで WINS\NetBIOS を使用する必要があります。 ただし、TCP/IP 経由の NetBIOS が無効になっている場合、WINS\NetBIOS は使用できません。 この問題の一部は、WINDOWS SERVER 2012 R2 とWindows 8.1の DC ロケーターに追加される DNS サフィックス機能によって回避できますが、常に 100% 信頼性の高いソリューションであるとは限りません。

解決方法

この問題を解決するには、次の手順を実行します。

1. タスク マネージャーでサーバー マネージャー プロセスを終了します。

   注:

   この手順では、Active Directory Domain Services構成ウィザードを閉じます。 問題が発生した場合、UI のキャンセル ボタンは機能しません。 さらに、タスク マネージャーでActive Directory Domain Services構成ウィザードを終了しても機能しません。

2. コンピューターをドメイン コントローラーとして再度昇格する場合は、次のいずれかの回避策を使用します。

   • 昇格ウィザードや昇格応答ファイルの特定の "長い" 資格情報 (domain>\administrator など<)。

   • R2 コンピューター Windows 8.1およびWindows Server 2012で、DNS 検索サフィックスを構成して、DNS 検索サフィックスを指定された NetBIOS ドメイン名と連結すると、認証された操作を実行するために使用されているユーザー アカウントをホストする Active Directory ドメインの完全修飾 DNS 名に解決できるようにします。

     注:

     これは、資格情報 "UI" で指定された NetBIOS 名が、ターゲット アカウントの DNS ドメイン名の左端の部分と一致することを前提としています。

   • ターゲット ドメイン内のメンバー コンピューターとしてメッセージが表示されているコンピューターに参加し、プロモーションを再試行します。

   • 昇格を完了するために、TCP/IP 経由で NetBIOS を一時的に有効にします。