Ntdsutil を使用して重複するセキュリティ識別子を検索してクリーンする

  • [アーティクル]

この記事では、Ntdsutil を使用して重複するセキュリティ識別子を検索してクリーンする方法について説明します。

適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 816099

概要

この記事では、SAM データベース内の重複するセキュリティ識別子 (SID) をチェックしてクリーンまたは削除する方法について説明します。 ユーザー、グループ、コンピューターなどのすべてのセキュリティ アカウントには、一意の SID があります。 ファイル、フォルダー、プリンター、Microsoft Exchange メールボックス、Microsoft SQL Server データベース、Active Directory に格納されているオブジェクト、Windows Server セキュリティ モデルによって保護されているデータなど、リソースの SID に対するアクセス許可が付与または拒否されます。

SID には、ヘッダー情報と、ドメインとセキュリティ アカウントを識別する相対識別子のセットが含まれています。 ドメインでは、各ドメイン コントローラーがアカウントを作成し、すべてのアカウントに一意の SID を発行できます。 すべてのドメイン コントローラーは、SID の作成に使用される相対 ID のプールを保持します。 相対 ID プールの 80% が使用されると、ドメイン コントローラーは相対 ID 操作マスターから相対識別子の新しいプールを要求します。 相対 ID の同じプールが異なるドメイン コントローラーに割り当てられないようにし、重複する SID の割り当てを防ぎます。 ただし、重複する相対 ID プールを割り当てることは (まれですが) 可能性があるため、不正なセキュリティが適用されないように、重複する SID が発行されたアカウントを特定する必要があります。

重複する相対 ID プールは、管理者が相対 ID マスター ロール (RID マスター) を押収した場合に発生する可能性があります。元の RID マスターは操作可能ですが、ネットワークから一時的に切断されます。 一般的な方法では、RID マスター ロールは、1 つのレプリケーション サイクルの後に 1 つのドメイン コントローラーによってのみ想定されます。 ただし、ロールの所有権が解決される前に、2 つの異なるドメイン コントローラーがそれぞれ新しい相対 ID プールを要求し、同じ相対 ID プールを割り当てる場合があります。

Ntdsutil を起動する

Ntdsutil を開始するには、次の手順に従います。

  1. [スタート] > [ファイル名を指定して実行] の順に選択します。
  2. [ 開く ] ボックス に「ntdsutil」と入力し、Enter キーを押します。 いつでもヘルプにアクセスするには、コマンド プロンプトで「」と入力 ? し、Enter キーを押します。

重複する SID を探す

重複する SID を検索するには、次の手順に従います。

  1. Ntdsutil コマンド プロンプトで、「 セキュリティ アカウント管理」と入力し、Enter キーを押します。

  2. セキュリティ アカウント メンテナンス (SAM) データベースを格納するサーバーに接続するには、SAM コマンド プロンプトで「」と入力 connect to serverDNSNameOfServer し、Enter キーを押します。

  3. SAM コマンド プロンプトで、重複する sid チェック入力し、Enter キーを押します。

    注:

    重複の表示が表示されます。

重複する SID をクリーンアップする

  1. Ntdsutil コマンド プロンプトで、「 セキュリティ アカウント管理」と入力し、Enter キーを押します。

  2. セキュリティ アカウント メンテナンス (SAM) データベースを格納しているサーバーに接続します。 SAM コマンド プロンプトで、「connect to serverDNSNameOfServer」と入力し、Enter キーを押します。

  3. SAM コマンド プロンプトで、「 cleanup duplicate sid」と入力し、Enter キーを押します。

    注:

    Ntdsutil は、重複の削除を確認します。

  4. SAM コマンド プロンプトで、「 q」と入力し、Enter キーを押します。

  5. Ntdsutil の使用が完了したら、「 q」と入力し、Enter キーを押します。

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。