[NT]Active Directory の複製と知識整合性チェッカー

文書翻訳 文書翻訳
文書番号: 257844 - 対象製品
この記事は、以前は次の ID で公開されていました: JP257844
すべて展開する | すべて折りたたむ

現象

Windows 2000 のドメイン コントローラのイベント ログにおいて、以下のいずれかのエラー メッセージが表示されることがあります。

ソース "NTDS Replication" からのイベント ID 1645 :
"別のドメイン コントローラに対する、認証された RPC 呼び出しを実行中に、ディレクトリ サービスがエラーを受け取りました。相手のサーバーに望ましいサービス プリンシパル名 (SPN) が登録されていないというエラーです。
連絡しているサーバーは afb720fd-38c7-4505-aa9f-b658ca124773._msdcs.MyDomain.com です。
使用している SPN は E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mydomain.com@mydomain.com.です。
相手のサーバーとドメインの名前が正しいことを確認してください。また、要求のサービスを提供する KDC の相手のサーバーのコンピュータ アカウント オブジェクトで SPN が登録されていることも確認してください。相手のサーバーが最近昇格された場合は、このコンピュータを認証する前に、KDC にこのコンピュータの ID の知識を複製する必要があります。"
ソース "NTDS KCC" からのイベント ID 1265 :
"次のパラメータで複製リンクを確立しようとしました。パーティション:"CN=Configuration,DC=osram,DC=net ソース DSA DN: CN=NTDSSettings,CN=MyServer,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=MyDomain,DC=com
ソース DSA アドレス: 5e5abf03-e902-48e2-a326-41977dee176d._msdcs.MyDomain.com サイト間トランスポート (存在する場合): 次の状態で終了しました: ログオンエラー: 目的のアカウント名が正しくありません。レコード データは状態コードです。この操作は再試行されます。"
[Active Directory のサイトとサービス] ツール、Active Directory 複製モニタ (REPLMON)、または Repadmin.exe を介して複製パートナーを同期させようとした場合のエラー 。
"ログオン エラー : 目的のアカウント名が正しくありません。"

原因

このエラーが、親、子、またはツリーのルートの信頼関係を持つ異なるドメインの 2 つのドメイン コントローラ間における、Active Directory 複製について報告されている場合は、2 つのドメイン間の信頼関係を表すクリティカル オブジェクトがないことが原因である可能性があります。このオブジェクトは、"trustedDomain" オブジェクト (TDO) として知られており、[Active Directory ユーザーとコンピュータ] ツールのシステム コンテナにあります。この種類のオブジェクトは、[Active Directory ドメインと信頼関係] 管理ツールで表示される信頼関係に直接関連しています。このオブジェクトが Active Directory にない場合は、クロス ドメイン認証は成功せず、前述のエラーが発生します。

解決方法

この手順は、リモート ドメインの TDO がシステム コンテナにない場合にのみ実行してください。この問題を解決するには、以下の手順にしたがってください。
  1. 前述のエラーを報告しているドメインから、そのドメインの PDC FSMO (FlexibleSingle Master Operations) の役割を持つドメイン コントローラで [ActiveDirectory ドメインと信頼関係] 管理ツールを開きます。そのドメインを表すオジェクトを右クリックし、[プロパティ] を選択します。
  2. [信頼関係] タブを選択します。[追加] ボタンを使用して、リモート ドメインに対する双方向の信頼関係を作成します。これは通常 Kerberos 信頼となるので、双方向の信頼を作成することが必要です。信頼される側を作成すると、まず最初に "ActiveDirectory は信頼 ... を検証できません。次のエラーが返されました : アクセスが拒否されました。" と表示されます。[OK] を選択します。[Active Directory ドメインと信頼関係] 管理ツールはその信頼を [ショートカット] として表示することと、その信頼が一時的であることに注意してください。また、信頼する側を追加すると、"新しい信頼を検証するには、ドメイン XXX に対して信頼を管理する権限を持っている必要があります。新しい信頼を検証しますか? " と表示されます。[はい] を選択して、リモート ドメインに対して管理者のアカウント情報を提供します。アカウント情報についての問い合わせがあったら、ユーザー名だけでなくドメイン名も (たとえば NetBIOSDomainName\Administrator) 必ず指定します。返されるエラーは、"Active Directory は信頼 ... を検証できません。次のエラーが返されました :
    アクセスが拒否されました。" です。[OK] を選択します。繰り返しますが、[ActiveDirectory ドメインと信頼関係] 管理ツールは、その信頼を [ショートカット] として表示することと、その信頼が一時的であることに注意してください。
  3. 双方向の信頼関係が作成されたら、以下のコマンドを実行します。NETDOM ユーティリティは Windows 2000 サポート ツールに含まれていて、Windows 2000 Server または Windows 2000 Professional の CD の [\SUPPORT\TOOLS] ディレクトリからインストールできます。
         NETDOM TRUST local_domain /Domain:remote_domain /UserD:administrator /Passw
    ordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay
    
    ここで、"local_domain" は、信頼が作成されるドメインであり、"remote_domain"は、信頼される親、子、またはツリーのルートのドメインです。どちらのドメインの場合も、完全修飾ドメイン名 (FQDN) を使用してください。たとえば、"MyDomain.com" とします。この結果、以下のようになります。
         "ドメイン ユーザーに関連したパスワードを入力してください。: (UserD)
          オブジェクト ユーザーに関連したパスワードを入力してください。: (UserO)
          local_domain.com と remote_domain.com の間の信頼のパスワードをリセットして
          います。
          local_domain.com と remote_domain.com の間の信頼は正常にリセットされて、検
          証されました。
          コマンドは正常に完了しました。"
    
  4. これらの変更が行われた PDC を再起動します。
  5. 再起動したら、Active Directory がセキュリティで保護されたチャンネルを確立し、知識整合性チェッカーがリモート ドメインのドメイン コントローラに対する複製リンクの再確立を試みる時間を考慮します。この間、信頼関係を介したログオンが成功し、イベント ログ エラーが止まっているかをテストします。

状況

弊社では「ショートカット」として再作成された信頼の表示を Windows 2000 の問題として認識しております。

詳細

双方向の信頼関係は、[Active Directory ドメインと信頼関係] において [ショートカット] の信頼として表示され続けますが、この信頼関係は正しく機能し、推移的です。この問題に対してサポートされている修正版が弊社からリリースされるまでは、この信頼を信頼の階層構造に対する最適化であると誤解しないことと、今後も削除しないことが重要です。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 257844 (最終更新日 2000-05-16) をもとに作成したものです。

プロパティ

文書番号: 257844 - 最終更新日: 2004年3月30日 - リビジョン: 2.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
キーワード:?
kbprb KB257844
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com