DNS の参照エラー、イベント ID 2087 またはイベント ID 2088 が原因で発生する Active Directory レプリケーション障害のトラブルシューティング

文書翻訳 文書翻訳
文書番号: 824449 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Microsoft Windows 2000 または Microsoft Windows Server 2003 を実行しているドメイン コントローラで、DNS の参照エラーが原因で Active Directory のレプリケーションが失敗した場合に、管理者およびサポート担当者が行う対応について説明します。DNS の名前解決が行われないことが原因で発生するレプリケーション エラーやその他のコンポーネント エラーのトラブルシューティングを行う管理者は、以下の対応を行う必要があります。

また、この資料では、Windows Server 2003 Service Pack 1 (SP1) を実行しているレプリケーション先のドメイン コントローラで記録されるイベント ID 2087 およびイベント ID 2088 の 2 つの新しいイベントについても説明します。これらのイベントは、DNS の名前解決が行われないことが原因で Active Directory ディレクトリ サービス パーティションの入力方向のレプリケーションが失敗した場合に発生します。この問題でさらに重要なことは、Windows Server 2003 SP1 を実行しているレプリケーション先のドメイン コントローラで、ソース ドメイン コントローラの名前として、DNS にある完全修飾ドメイン名または Windows インターネット ネーム サービス (WINS) の NetBIOS コンピュータ名が使用されることです。Windows Server 2003 の機能強化の目的は、Active Directory レプリケーションで発生する DNS クライアントまたは DNS サーバーの構成エラーの影響を最小限に抑えることです。

現象

Microsoft Windows Server 2003 Service Pack 1 (SP1) を実行しているドメイン コントローラでは、以下のイベント メッセージがディレクトリ サービスのイベント ログに記録される可能性があります。

メッセージ 1

種類 : エラー
ソース : NTDS Replication
分類 : DS RPC Client
イベント ID : 2087
ユーザー : NT AUTHORITY\ANONYMOUS LOGON
コンピュータ : ComputerName
説明 :
Active Directory において、以下に一覧表示されている発信元のドメイン コントローラの IP アドレスは、DNS を使って解決できませんでした。このエラーにより Active Directory での追加、削除または変更のレプリケーションが、フォレストの 1 つ以上のドメイン コントローラの間で妨げられています。このエラーが解決されるまで、セキュリティ グループ、グループ ポリシー、ユーザーとコンピュータおよびそのパスワードの一貫性は保たれません。これにより、ログオン認証やネットワークリソースへのアクセスに影響がでる可能性があります。

発信元ドメイン コントローラ: DomainControllerName
エラーが発生した DNS ホスト名: GUID._msdcs.DNSDomainName

注意: 既定の設定では、12 時間内の DNS エラーが 10 個より多い場合であっても、最大 10 個までしか表示されません。個々のエラー イベントのログを記録するには、次の診断のレジストリ値を 1 に設定してください:

レジストリ パス :
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

ユーザー操作 :

1) 発信元ドメイン コントローラが機能していない、または、そのオペレーティングシステムが別のコンピュータ名または別の NTDSDSA オブジェクト GUID で再インストールされている場合、サポート技術情報 (KB) の記事 216498 に従って、ntdsutil.exe を使い、発信元ドメイン コントローラのメタデータを削除してください。

2) 発信元ドメイン コントローラで Active directory が実行されていることを確認し、net view \\<source DC name> または ping <source DC name> のコマンドを使ってネットワークでアクセスできることを確認してください。

3) 発信元ドメイン コントローラにおいて、DNS サービスの設定で有効な DNS サーバーが使用されているか確認して、その発信元ドメイン コントローラのホスト レコードと CNAME レコードが DNS エンハンス バージョンの DCDIAG.EXE を使って正しく登録されているか確認してください。DNS エンハンス バージョンの DCDIAG.EXE は http://www.microsoft.com/dns において利用可能です。

dcdiag /test:dns

4) 宛先ドメイン コントローラにおいて、DNS エンハンス バージョンの DCDIAG.EXE のコマンドを使って、DNS サービスの設定で有効な DNS サーバーが使用されているか確認してください。宛先ドメイン コントローラのコンソールで次のように実行してください:

dcdiag /test:dns

5) DNS エラーの失敗についての詳細な分析はサポート技術情報 (KB) の 824449 を参照してください: http://support.microsoft.com/?kbid=824449

追加データ
エラー値 :
11004 要求した名前は有効ですが、要求された種類のデータは見つかりませんでした。

メッセージ 2

種類 : 警告
ソース : NTDS Replication
分類 : DS RPC Client
イベント ID : 2088
ユーザー : NT AUTHORITY\ANONYMOUS LOGON
コンピュータ : ComputerName
説明 :
Active Directory において、以下に一覧表示されている発信元のドメイン コントローラの IP アドレスは、DNS を使って解決できませんでした。セキュリティ グループ、グループ ポリシー、ユーザーとコンピュータおよびそのパスワードの一貫性を保持するため、発信元のドメイン コントローラの NetBIOS 名または完全修飾されたコンピュータ名を使って正しくレプリケートされました。

DNS 構成が無効であると、この Active Directory フォレスト内のメンバのコンピュータ、ドメイン コントローラまたはアプリケーション サーバーにおいて、ログオン認証やネットワーク リソースへのアクセスなど重要な操作に支障をきたす可能性があります。

今すぐこの DNS 構成のエラーを解決する必要があります。それにより、このドメイン コントローラにおいて、DNS を使って発信元ドメイン コントローラの IP アドレスを解決できるようになります。

代替サーバー名 : AlternateServerName
エラーが発生した DNS ホスト名: GUID._msdcs.DNSDomainName

注意: 既定の設定では、12 時間内の DNS エラーが 10 個より多い場合であっても、最大 10 個までしか表示されません。個々のエラー イベントのログを記録するには、次の診断のレジストリ値を 1 に設定してください:

レジストリ パス :
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

ユーザー操作 :

1) 発信元ドメイン コントローラが機能していない、または、そのオペレーティングシステムが別のコンピュータ名または別の NTDSDSA オブジェクト GUID で再インストールされている場合、サポート技術情報 (KB) の記事 216498 に従って、ntdsutil.exe を使い、発信元ドメイン コントローラのメタデータを削除してください。

2) 発信元ドメイン コントローラで Active directory が実行されていることを確認し、net view \\<source DC name> または ping <source DC name> のコマンドを使ってネットワークでアクセスできることを確認してください。

3) 発信元ドメイン コントローラにおいて、DNS サービスの設定で有効な DNS サーバーが使用されているか確認して、その発信元ドメイン コントローラのホスト レコードと CNAME レコードが DNS エンハンス バージョンの DCDIAG.EXE を使って正しく登録されているか確認してください。DNS エンハンス バージョンの DCDIAG.EXE は http://www.microsoft.com/dns において利用可能です。

dcdiag /test:dns

4) 宛先ドメイン コントローラにおいて、DNS エンハンス バージョンの DCDIAG.EXE のコマンドを使って、DNS サービスの設定で有効な DNS サーバーが使用されているか確認してください。宛先ドメイン コントローラのコンソールで次のように実行してください:

dcdiag /test:dns

5) DNS エラーの失敗についての詳細な分析はサポート技術情報 (KB) の 824449 を参照してください: http://support.microsoft.com/?kbid=824449

追加データ
エラー値 :
11004 要求した名前は有効ですが、要求された種類のデータは見つかりませんでした。

イベント ID 2087 は、DNS または NetBIOS の参照エラーが原因で Active Directory のレプリケーションが失敗した場合に発生します。特に、イベント ID 2087 が出力されたドメイン コントローラでは、以下のいずれかを使用してレプリケーション パートナーの IP アドレスを解決することができませんでした。
  • CNAME リソース レコード
  • DNS にある完全修飾コンピュータ名
  • NetBIOS コンピュータ名
このイベントが出力されるドメイン コントローラでは入力方向のレプリケーションを実行することができないため、ドメイン コントローラ間で Active Directory のデータに不整合が生じる可能性があります。たとえば、ユーザーやコンピュータ グループの情報に不整合が生じている可能性があります。

イベント ID 2088 は、以下の条件に該当する場合に発生します。
  • Active Directory のレプリケーション実行時に、DNS を使用してレプリケーション パートナーの CNAME リソース レコードを IP アドレスに解決できない。
  • Active Directory はレプリケーション パートナーの IP アドレスを、DNS にあるパートナーの完全修飾コンピュータ名、あるいは WINS または NetBIOS ブロードキャストにあるパートナーの NetBIOS コンピュータ名を使用して解決できる。
: NetBIOS 名前解決が成功しても、すべての DNS 名前解決エラーを調査して解決する必要があります。これは、DNS 構成エラーが原因で Active Directory の機能に障害が発生する可能性があるためです。

原因

DNS 参照の問題が原因で、以下のいずれかの場合に Active Directory のレプリケーション処理が失敗する可能性があります。
  • ケース 1 : ドメイン コントローラと、オフラインになっている別のコントローラとの間でレプリケーション処理が試行された場合。オフラインのドメイン コントローラの Active Directory および DNS のデータは更新または削除されません。これは、ドメイン コントローラがアクセス不可能な状態であることを示しています。
  • ケース 2 : ドメイン コントローラと、オンライン状態の別のドメイン コントローラとの間のレプリケーション処理が試行されたものの、DNS またはネットワークの問題が原因で、2 つのドメイン コントローラがそれぞれ対象のドメイン コントローラを検出できなかった場合。
すべてのドメイン コントローラは、SRV レコード、A レコードおよび CNAME レコードを DNS に登録します。CNAME レコードの形式は、Dsa_Guid._msdcs.Dns_Domain_Name です。Dsa_Guid は、そのドメイン コントローラのディレクトリ システム エージェント (DSA) オブジェクトの GUID です。Dns_Domain_Name は、そのドメイン コントローラが存在するフォレストの名前です。ドメイン コントローラは、レプリケーション パートナーの検索および識別を行うために、CNAME レコードを必要とします。

ドメイン コントローラの Net Logon サービスは、すべての SRV レコードを登録します。ドメイン コントローラの DNS クライアント サービスは、DNS ホスト (A) レコードと GUID CNAME レコードを登録します。

ドメイン コントローラでは以下の手順でレプリケーション パートナーの検索が行われます。
  1. ドメイン コントローラは DNS を使用して、レプリケーション パートナーの CNAME レコードを探します。
  2. 参照が失敗すると、ドメイン コントローラは次に、レプリケーション パートナーの DNS A レコードを探します。たとえば、ドメイン コントローラは、dc-03.corp.contoso.com を探します。
  3. DNS A レコードの参照が失敗すると、ドメイン コントローラはレプリケーション パートナーのホスト名を使用して、NetBIOS ブロードキャストを実行します。たとえば、ドメイン コントローラは、dc-03 を使用します。

解決方法

ケース 1

既に使用されていないドメイン コントローラが残した Active Directory や DNS のデータを削除する場合は、以下のマイクロソフト サポート情報に記載されている手順を実行します。
216498 ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法
ドメイン コントローラをオンラインにしておく必要がある場合は、ブロックの問題を解決し、その後ドメイン コントローラをオンラインに戻します。ドメイン コントローラが再起動すると、レプリケーション先のドメイン コントローラとの Active Directory のレプリケーション処理に必要な Active Directory や DNS のデータが自動的に登録されます。

ドメイン コントローラを再起動せずに DNS レコードが登録されるようにするには、手順 7. の「DNS リソース レコードを DNS に登録します」に進みます。

ケース 2

レプリケーション先のドメイン コントローラがレプリケーション パートナーの DNS 名を解決できないことが原因でレプリケーション処理が実行されない場合は、DNS およびネットワーク接続の問題を診断してエラーの原因を究明する必要があります。

Active Directory レプリケーションでの DNS サポートの問題を診断し、修正するには、以下の手順を実行します。
  1. 情報を収集します。

    Active Directory レプリケーションや、DNS に依存するその他の処理における DNS サポートの問題を診断し、修正するには、以下の情報が必要です。
    • ソース ドメイン コントローラの完全修飾ドメイン名 (FQDN) と IP アドレス
    • Active Directory ドメイン名用の DNS ゾーンをホストする DNS サーバーの FQDN と IP アドレス
    : ドメイン コントローラで Active Directory ドメイン名用の DNS ゾーンをホストする DNS サーバー サービスも実行している場合は、ドメイン コントローラと DNS サーバーの情報は同じです。
  2. ネットワーク接続の設定を確認します。
    1. エラーが報告されるドメイン コントローラで、コントロール パネルの [ネットワーク接続] をダブルクリックします。
    2. 構成するネットワーク接続を右クリックし、[プロパティ] をクリックします。
    3. [全般] タブ (ローカル エリア接続の場合) または [ネットワーク] タブ (その他の接続の場合) で、[インターネット プロトコル (TCP/IP)] をクリックし、[プロパティ] をクリックします。
    4. [次の DNS サーバーのアドレスを使う] で、[優先 DNS サーバー] ボックスあるいは [代替 DNS サーバー] ボックスに、Active Directory ドメイン名用の DNS ゾーンをホストする DNS サーバーの正しい IP アドレスが設定されていることを確認します。

      : ドメイン コントローラの優先 DNS サーバーは、ローカルまたは通信状態の良いハブ サイトに置くことをお勧めします。そのようなハブ サイトを使用すると、レプリケーション待機時間を短くすることができます。
    5. IP アドレスが正しい場合は、手順 3. に進みます。正しくない場合は、正しいアドレスを入力して手順 7. に進みます。
  3. 接続を確認します。

    接続を確認するには、ping コマンドをレプリケーション先のドメイン コントローラで使用して、ソース ドメイン コントローラおよび DNS サーバーの IP アドレスを確認します。
    レプリケーション先のドメイン コントローラのコマンド プロンプトで、以下のコマンドを入力し、各コマンドの終わりで Enter キーを押します。

    ping IP_Address_of_source_domain_controller
    ping IP_Address_DNS_server

    いずれかのコマンドが失敗した場合は、ネットワークの接続エラーが発生している可能性があります。ネットワーク管理者に連絡して、このエラーの診断と修正を依頼します。両方のコマンドが成功した場合、DNS に問題があります。
  4. DNS サーバー サービスが実行されていることを確認します。

    レプリケーション先のドメイン コントローラがローカル DNS サーバーを使用するように構成されている場合は、DNS サーバー サービスが実行されていることを確認します。これを行うには、コマンド プロンプトで、net start "DNS Server" と入力し、Enter キーを押します。

    DNS サーバー サービスが実行されている場合、実行されていることを示すメッセージが表示されます。DNS サーバーがインストールされていて、実行されていない場合は、このコマンドによって DNS サーバー サービスが開始されます。

    DNS サーバー サービスがインストールされていない場合、サーバー名が無効であることを示すメッセージが表示されます。レプリケーション先のドメイン コントローラがリモート DNS サーバーを使用するように構成されている場合は、DNS 管理コンソールを使用して DNS サーバー サービスを開始します。これを行うには、以下の手順を実行します。
    1. DNS 管理コンソールを開きます。
    2. [操作] メニューの [DNS サーバーに接続] をクリックします。
    3. [DNS サーバーに接続] ダイアログ ボックスで、[次のコンピュータ] をクリックします。
    4. リモート サーバーに接続するために、リモート サーバーの DNS コンピュータ名または IP アドレスを指定します。
    5. [今すぐ指定されたコンピュータに接続する] チェック ボックスをオンにして [OK] をクリックします。
    6. [操作] メニューの [すべてのタスク] をポイントし、[開始] をクリックします。
  5. リソース レコードが登録されていることを確認します。

    レプリケーション先のドメイン コントローラは、DNS CNAME リソース レコード Dsa_Guid._msdcs.Dns_Domain_Name を使用して、ソース ドメイン コントローラ レプリケーション パートナーを見つけます。このリソース レコードが Active Directory ドメイン名用の DNS ゾーンにあることを確認するには、以下の手順を実行します。
    1. コンソール ツリーで DNS 管理コンソールを開きます。DNS サーバー サービスが実行されていて、そのサービスで Active Directory ドメイン名と同じ名前を持つ DNS ゾーンがホストされているドメイン コントローラを見つけます。
    2. コンソール ツリーで、_msdcs.Dns_Domain_Name という名前を持つゾーンをクリックします。

      Windows 2000 Server DNS では、_msdcs.Dns_Domain_Name は、Active Directory ドメイン名用の DNS ゾーンのサブドメインです。Windows Server 2003 では、_msdcs.Dns_Domain_Name は別のゾーンです。
    _msdcs.Dns_Domain_Name という名前のゾーンには、以下のものが含まれている必要があります。
    • Dsa_Guid._msdcs.Dns_Domain_Name という名前の CNAME リソース レコード
    • CNAME レコードでターゲット ホストとして識別される DNS サーバーの名前に対応する A リソース レコード


    これらのリソース レコードがない場合は手順 6. に進み、Net Logon サービスによってリソース レコードが自動的に登録されなかった理由を調べます。
  6. Active Directory ドメイン名用のゾーンをホストする DNS サーバー サービスが、動的更新を許可するように構成されていることを確認します。
    1. DNS 管理コンソールで該当するゾーンを右クリックして、[プロパティ] をクリックします。
    2. [全般] タブで、ゾーンの種類が [Active Directory 統合] になっていることを確認します。
    3. [動的更新] ボックスで [セキュリティ保護のみ] をクリックします (Windows 2000 Server の場合は、[セキュリティで保護された更新のみ] をクリックします)。
  7. DNS リソース レコードを DNS に登録します。

    ドメイン コントローラの Net Logon サービスにより、ネットワークでドメイン コントローラを見つけるために必要な DNS リソース レコードが登録されます。ソース ドメイン コントローラでこの登録処理を手動で開始するには、コマンド プロンプトで以下のコマンドを入力し、各コマンドの終わりで Enter キーを押します。

    net stop "net logon"

    net start "net logon"

    DNS クライアント サービスは、CNAME レコードで指定されているホスト (A) リソース レコードを登録します。ソース ドメイン コントローラでこの登録処理を開始するには、コマンド プロンプトで ipconfig /registerdns と入力し、終わりで Enter キーを押します。
  8. リソース レコードの登録を確認します。

    レコードの登録が成功したことを確認するには、手順 5. 「リソース レコードが登録されていることを確認します」に進みます。
  9. レプリケーション元とレプリケーション先のドメイン コントローラでレプリケーションを強制的に実行します。
    1. レプリケーション先のドメイン コントローラで、[Active Directory サイトとサービス] を開きます。
    2. コンソール ツリーで、レプリケーションを実行するドメイン コントローラの [NTDS Settings] をクリックします。
    3. 詳細ウィンドウで、ディレクトリ情報をレプリケートするときに使用する接続を右クリックし、[今すぐレプリケート] をクリックします。
    レプリケーションを強制的に実行するには、repadmin コマンド ライン ツールおよび replmon コマンド ライン ツールを使用することもできます。これらのツールは、Windows Server 2003 のインストール CD に収録されています (repadmin を実行するには、repadmin /syncall /d /e /P source_domain_controller と入力します)。
  10. その他の問題を調査します。

    これまでの手順で問題が解決しない場合は、ドメイン コントローラが名前解決のために使用する DNS サーバーで、これらのリソース レコードのプライマリ認証ゾーンを見つけられないことが原因で、ドメイン コントローラが DNS リソース レコードを動的に登録できない可能性があります。この場合、以下の 2 つの原因が考えられます。

詳細

DNS および Active Directory のインフラストラクチャの問題のトラブルシューティングを行うために、Netdiag.exe と Dcdiag.exe の 2 つのコマンド ライン ツールを使用することができます。それぞれのツールは、オンラインまたは Windows Server 2003 インストール CD から入手できます。これらのツールをダウンロードするには、Windows Server 2003 Resource Kit Tools Web ページを参照してください。
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

プロパティ

文書番号: 824449 - 最終更新日: 2006年5月19日 - リビジョン: 4.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
キーワード:?
kbprb kbdirservices KB824449
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com