Active Directory の競合による NTDS レプリケーション警告 ID 1083 と 1061、SAM エラー ID 12294 の説明

この記事では、PDC 操作マスター ロールを保持するドメイン コントローラーでもローカル ドメイン コントローラーで行われた変更が行われた場合に発生する問題を解決するためのヘルプを提供します。

適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 306091

概要

異なるドメイン コントローラー上の Active Directory オブジェクト属性に対して同時に変更を行うと、更新プログラムの Active Directory 競合が発生する可能性があります。 この場合、NTDS レプリケーションの警告 1083 または 1061、または SAM エラー ID 12294 がログに記録される可能性があります。

詳細

次のイベントは、即時レプリケーションがトリガーされ (たとえば、ユーザー ロックアウト条件の緊急レプリケーションによって) トリガーされ、ローカルの Active Directory 更新プログラムと競合した場合にログに記録される可能性があります。

イベントの種類: 警告
イベント ソース: NTDS レプリケーション
イベント カテゴリ: レプリケーション
イベント ID: 1083
説明:
レプリケーションの警告: ディレクトリがビジーです。 オブジェクト CN=..を更新できませんでした。ディレクトリ GUID._msdcs.domain によって行われた変更。 後でもう一度やり直します。

これは、後で再試行されるリモートでトリガーされた更新プログラムの試行が失敗したことを示します。

イベントの種類: 警告
イベント ソース: NTDS レプリケーション
イベント カテゴリ: レプリケーション
イベント ID: 1061
説明:
内部エラー: ディレクトリ レプリケーション エージェント (DRA) 呼び出しでエラー 8438 が返されました。
(10 進数 8438/16 進0x20f6: ERROR_DS_DRA_BUSY, winerror.h)

高度な NTDS ログ記録が有効になっている場合は、次のエラー ID もログに記録される可能性があります。

イベントの種類: 警告
イベント ソース: NTDS General
イベント カテゴリ: 内部処理
イベント ID: 1173
説明:
内部イベント: 例外 e0010004 がパラメーター -1102 と 0 (内部 ID 2030537) で発生しました。
(JetDataBase ID -1102: JET_errWriteConflict -1102,書き込みロックが未解決のため書き込みロックに失敗しました)

サブキーのレプリケーション イベント エントリで NTDS ログが 4 (詳細) 以上に設定されている場合は、次の HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Diagnostics\ エラー ID も記録される可能性があります。

イベントの種類: 警告
イベント ソース: NTDS レプリケーション イベント
カテゴリ: レプリケーション
イベント ID: 1413
説明:
オブジェクトのローカル メタデータは変更が冗長であることを示しているため、次のオブジェクトの変更はローカル Active Directory データベースに適用されませんでした。

リモートでトリガーされた更新プログラムがローカル更新プログラムに対して優先される場合は、ユーザー アカウントのロックアウトに対して次のシステム イベントがログに記録される可能性があります。

イベントの種類: エラー
イベント ソース: SAM
イベント カテゴリ: なし
イベント ID: 12294
ユーザー: user-SID
説明:
SAM データベースは、ハード ディスクの書き込みエラー (特定のエラー コードがエラー データ内にある) などのリソース エラーが原因で、ユーザーのアカウントをロックアウトできませんでした。 アカウントは、特定の数の無効なパスワードが提供された後にロックされるため、上記のアカウントのパスワードをリセットすることを検討してください。
データ: 0000: c00002a5

正しいエラー条件を受け取るために、エラー データを分析する必要があります。 DWord データ 16 進0xc00002a5 = 10 進数 -1073741147: STATUS_DS_BUSY、ntstatus.h)。

警告の後、キューに登録された更新が既に行われ (同じバージョン ID で) 行われ、冗長として無視されることを報告する NTDS 情報イベントがログに記録されます。

イベントの種類: 情報
イベント ソース: NTDS レプリケーション
イベント カテゴリ: レプリケーション
イベント ID: 1413
説明:
オブジェクト CN=username,OU=..のプロパティ 90296 (lockoutTime)。はローカル データベースに適用されていません。ローカル メタデータは変更が冗長であることを意味するためです。 ローカル バージョンは (バージョン ID) です。

この条件が存在する場合、レプリケーション エラーは発生しません。 Active Directory は一貫性があり、結果のイベント ログは無視しても問題ありません。

Microsoft Windows Server を実行しているコンピューターでは、オブジェクトのレプリケーション メタデータをエクスポートすることで、レプリケーション エラーが発生したかどうかを判断することもできます。 これを行うには、コマンド プロンプトで次のコマンドを実行します。

repadmin /showobjmeta <domainController> <objectDN>  

注:

このコマンドでは、プレースホルダーに次の置換を行います。

  • domainController プレースホルダーをドメイン コントローラーのホスト名に置き換えます。
  • objectDN プレースホルダーを、影響を受けるオブジェクトの識別名に置き換えます。

このコマンドが生成する出力で、属性の最後の更新時刻を、イベントがログに記録された時刻と一致させます。 この情報から、レプリケーション エラーの原因となった属性を特定できます。

一般に、この問題は、lockoutTime 属性またはいずれかのパスワード属性で発生します。 このような場合は、イベントを無視しても問題ありません。 イベントは、プライマリ ドメイン コントローラー (PDC) で発生する変更もローカル ドメイン コントローラーに書き込まれるためです。 同時に、変更はドメイン コントローラー間でレプリケートされます。 lockoutTime の場合、変更は PDC のサイトで緊急にレプリケートされます。

Microsoft Windows Server で使用できるレプリケーション通知間隔が短いため、PDC の同じサイトでレプリケーションの競合が発生する可能性があります。 パスワードの変更は、レプリケーションの競合が発生する可能性があるシナリオの 1 つの例です。 この動作は、ドメイン コントローラーが新しいパスワードを PDC に転送するためです。 その後、PDC とローカル ドメイン コントローラーの両方が、変更されたパスワード情報をレプリケートします。 そのため、同じサイト内の別のドメイン コントローラーでレプリケーションの競合が発生する可能性があります。 レプリケーション通知の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。
214678 サイト内ドメイン コントローラーの既定のレプリケーション間隔を変更する方法

レプリケーション競合イベントの生成を減らすために、他のドメイン コントローラーやクライアント コンピューターがないサイトで PDC を構成します。 このシナリオでは、PDC は受信した更新プログラムを緊急にレプリケートしません。 そのため、レプリケーションの競合のリスクを軽減できます。 大規模なドメインでは、この方法を使用して、PDC の負荷を軽減できます。

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。