ドメイン コントローラが正常に動作しない

文書翻訳 文書翻訳
文書番号: 837513 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

現象

Microsoft Windows 2000 Server ベースのドメイン コントローラまたは Windows Server 2003 ベースのドメイン コントローラで Dcdiag ツールを実行すると、次のエラー メッセージが表示されることがあります。
DC Diagnosis
Performing initial setup:
[DC1] LDAP bind failed with error 31
REPADMIN /SHOWREPS ユーティリティをドメイン コントローラのローカルで実行すると、次のエラー メッセージのいずれかが表示されることがあります。
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP error 82 (Local Error).
Last attempt @ yyyy-mm-dd hh:mm.ss failed, result 1753: There are no more endpoints available from the endpoint mapper.
Last attempt @ yyyy-mm-dd hh:mm.ss failed, result 5: Access is denied.
Active Directory サイトとサービスでレプリケーションが実行されると、アクセスが拒否されたことを示すメッセージが表示される場合があります。

影響を受けているドメイン コントローラのコンソールで、UNC (Universal Naming Convention) リソースや割り当てられたネットワーク ドライブなどのネットワーク リソースを使用すると、次のエラー メッセージが表示されることがあります。
No logon servers available (c000005e = "STATUS_NO_LOGON_SERVERS")
影響を受けているドメイン コントローラのコンソールから Active Directory サイトとサービスや Active Directory ユーザーとコンピュータなどの Active Directory 管理ツールを起動すると、次のエラー メッセージが表示されることがあります。
名前付け情報を検索できません。理由 : 認証するときにどの機関にもアクセスできませんでした。システム管理者に問い合わせ、ドメインが正しく構成されていて、現在オンラインであるかどうかを確認してください。
名前付け情報を検索できません。理由 : 対象のアカウント名は間違っています。システム管理者に問い合わせ、ドメインが正しく構成されていて、現在オンラインであるかどうかを確認してください。
影響を受けているドメイン コントローラを認証に使用する Microsoft Exchange Server コンピュータに接続した Microsoft Outlook クライアントでは、他のドメイン コントローラからの正常なログオン時の資格情報がある場合でも、ログオン時の資格情報の入力を求められることがあります。

Netdiag ツールによって、次のエラー メッセージが表示されることがあります。
DC list test . . . . . . . . . . . : Failed
[WARNING] Cannot call DsBind to <servername>.<fqdn> (<ip address>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for krbtgt/<fqdn>.
[FATAL] Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
[WARNING] Failed to query SPN registration on DC <hostname>\<fqdn>
影響を受けているドメイン コントローラのシステム イベント ログに、次のイベントが出力されることがあります。

種類 : エラー
ソース : Service Control Manager
イベント ID : 7023
説明 : Kerberos Key Distribution Center は次のエラーで終了しました : セキュリティ アカウント マネージャ (SAM) またはローカル セキュリティ機関 (LSA) サーバーは、セキュリティ操作を実行するのに適切な状態ではありません。

解決方法

上記の現象には、いくつかの解決方法があります。実行する解決方法の一覧を次に示します。一覧の後には、それぞれの方法を実行する手順が記載されています。問題が解決されるまで、それぞれの方法を実行してください。解決方法に続いて、上記の現象の一般的ではない修正方法を説明する「サポート技術情報」 (Microsoft Knowledge Base) の資料が記載されています。
  1. 方法 1 : DNS (Domain Name System) のエラーを修正する
  2. 方法 2 : コンピュータ間で時刻を同期する
  3. 方法 3 : [ネットワーク経由でコンピュータへアクセス] ユーザー権利を確認する
  4. 方法 4 : ドメイン コントローラの userAccountControl 属性が 532480 であることを確認する
  5. 方法 5 : Kerberos 領域を修正する (PolAcDmN レジストリ キーと PolPrDmN レジストリ キーが一致していることを確認する)
  6. 方法 6 : コンピュータ アカウントのパスワードをリセットし、新しい Kerberos チケットを取得する

方法 1 : DNS のエラーを修正する

  1. コマンド プロンプトで、netdiag -v コマンドを実行します。このコマンドを実行すると、コマンドを実行したフォルダに Netdiag.log ファイルが作成されます。
  2. 続行する前に、Netdiag.log ファイルの DNS エラーを解決します。Netdiag ツールは、Windows 2000 Server CD-ROM の Windows 2000 Server サポート ツールに含まれているか、ダウンロードとして提供されています。Windows 2000 Server サポート ツールをダウンロードするには、次のマイクロソフト Web サイトにアクセスしてください。
    http://www.microsoft.com/japan/windows2000/downloads/servicepacks/SP4/supporttools.asp
  3. DNS が正しく構成されていることを確認します。DNS に関するよくある誤りの 1 つとして、DNS 自身、または自動更新と SRV レコードをサポートしている他の DNS サーバーを参照するように DNS で指定するのではなく、DNS としてインターネット サービス プロバイダ (ISP) を参照するようにドメイン コントローラで指定していることがあります。ドメイン コントローラで、そのドメイン コントローラ自身、または動的更新や SRV レコードをサポートする他の DNS サーバーを参照するように指定することをお勧めします。また、インターネット上での名前解決のために ISP へのフォワーダを設定することもお勧めします。
Active Directory ディレクトリ サービス用に DNS を構成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
291382 Windows 2000 および Windows Server 2003 の DNS に関してよく寄せられる質問
237675 Active Directory 用に DNS をセットアップする
254680 DNS 名前空間の計画
255248 [HOW TO] Active Directory に子ドメインを作成し、DNS 名前空間を子ドメインに委任する方法

方法 2 : コンピュータ間で 時刻を同期する

ドメイン コントローラ間で時刻が正しく同期されていることを確認します。さらに、クライアント コンピュータとドメイン コントローラとの間で時刻が正しく同期されていることも確認します。

Windows タイム サービスを構成する方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
258059 Windows NT 4.0 ドメイン内の Windows 2000 ベースのコンピュータの時刻を同期させる方法
216734 Windows 2000 で権限のあるタイム サーバーを構成する方法

方法 3 : [ネットワーク経由でコンピュータへアクセス] ユーザー権利を確認する

Gpttmpl.inf ファイルを変更して、ドメイン コントローラ上で適切なユーザーに [ネットワーク経由でコンピュータへアクセス] ユーザー権利が与えられていることを確認します。この操作を行うには、以下の手順を実行します。
  1. 既定のドメイン コントローラのポリシーの Gpttmpl.inf ファイルを変更します。デフォルトでは、既定のドメイン コントローラのポリシーに、ドメイン コントローラのユーザー権利が定義されています。デフォルトでは、既定のドメイン コントローラのポリシーの Gpttmpl.inf ファイルは、次のフォルダにあります。

    : Sysvol の場所が異なる場合がありますが、Gpttmpl.inf ファイルのパスは同じです。

    Windows Server 2003 ドメイン コントローラの場合 :

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Windows 2000 Server ドメイン コントローラの場合 :

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. SeNetworkLogonRight エントリの右側に、Administrators、Authenticated Users、Everyone のセキュリティ識別子を追加します。次に例を示します。

    Windows Server 2003 ドメイン コントローラの場合 :

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Windows 2000 Server ドメイン コントローラの場合 :

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    : Administrators (S-1-5-32-544)、Authenticated Users (S-1-5-11)、Everyone (S-1-1-0)、および Enterprise Controllers (S-1-5-9) は、すべてのドメインで同じ既知のセキュリティ識別子を使用します。
  3. 次の例のように、SeDenyNetworkLogonRight エントリ (ネットワーク経由でコンピュータへアクセスを拒否する) の右側にあるエントリを削除します。

    SeDenyNetworkLogonRight =

    : 上記の例は、Windows 2000 Server と Windows Server 2003 で共通です。

    Windows 2000 Server の場合、デフォルトでは SeDenyNetworkLogonRight にエントリがありません。Windows Server 2003 の場合、SeDenyNetworkLogonRight エントリにデフォルトで含まれているのは Support_random string アカウントのみです (Support_random string アカウントはリモート アシスタンスで使用されます)。Support_random string アカウントはすべてのドメインで異なるセキュリティ識別子 (SID) を使用するため、SID を調べるのみで通常のユーザー アカウントを識別することは困難です。別のテキスト ファイルに SID をコピーしてから、SeDenyNetworkLogonRight エントリから SID を削除できます。この方法を使用することにより、問題のトラブルシューティングが終了したときに元に戻すことができます。

    SeNetworkLogonRight および SeDenyNetworkLogonRight は、すべてのポリシーで定義できます。上記の手順で問題が解決しない場合は、Sysvol の他のポリシーにある Gpttmpl.inf ファイルを調べ、そこでも定義されていないユーザー権利がないかどうかを確認します。Gpttmpl.inf ファイルに SeNetworkLogonRight または SeDenyNetworkLogonRight への参照が含まれていない場合は、それらの設定はポリシーで定義されておらず、そのポリシーは問題の原因ではありません。これらのエントリが存在する場合は、それ以前に既定のドメイン コントローラのポリシーに表示された設定と一致することを確認します。

方法 4 : ドメイン コントローラの userAccountControl 属性が 532480 であることを確認する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックして、adsiedit.msc と入力します。
  2. [Domain NC] (Windows Server 2003 の場合は [Domain])、[DC=domain]、[OU=Domain Controllers] を順に展開します。
  3. 影響を受けているドメイン コントローラを右クリックし、[プロパティ] をクリックします。
  4. Windows Server 2003 の場合は、[Attribute Editor] タブの [Show mandatory attributes] チェック ボックスおよび [Show optional attributes] チェック ボックスをオンにします。Windows 2000 Server の場合は、[Attribute Editor] タブの [Select which properties to view] ボックスの [Both] をクリックします。
  5. Windows Server 2003 の場合は、[Attributes] ボックスの [userAccountControl] をクリックします。Windows 2000 Server の場合は、[Select a property to view] ボックスの [userAccountControl] をクリックします。
  6. 表示された値が 532480 ではない場合は、[Edit Attribute] ボックス (または [Value] ボックス) に 532480 と入力し、[Set] (または [OK]) をクリックします。その次に、[適用]、[OK] を順にクリックします。
  7. ADSI Edit を終了します。

方法 5 : Kerberos 領域を修正する (PolAcDmN レジストリ キーと PolPrDmN レジストリ キーが一致していることを確認する)

: この方法は、Windows 2000 Server でのみ有効です。
警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。
  1. レジストリ エディタを起動します。
  2. 左側のウィンドウで、[Security] をクリックします。
  3. [セキュリティ] メニューの [アクセス許可] をクリックし、Administrators ローカル グループに SECURITY ハイブ、子コンテナ、およびオブジェクトへのフル コントロールを許可します。
  4. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN キーに移動します。
  5. レジストリ エディタの右側のウィンドウで、[<名前なし>: REG_NONE] エントリをクリックします。
  6. [表示] メニューの [バイナリ データの表示] をクリックします。ダイアログ ボックスの [形式] で、[バイト] をクリックします。
  7. ドメイン名は、[バイナリ データ] ダイアログ ボックスの右側の文字列として表示されます。ドメイン名は Kerberos 領域と同じになります。
  8. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN レジストリ キーに移動します。
  9. レジストリ エディタの右側のウィンドウで、[<名前なし>: REG_NONE] エントリをダブルクリックします。
  10. [バイナリ エディタ] ダイアログ ボックスで、PolPrDmN の値を貼り付けます (PolPrDmN の値は NetBIOS ドメイン名となります)。
  11. ドメイン コントローラを再起動します。

方法 6 : コンピュータ アカウントのパスワードをリセットし、新しい Kerberos チケットを取得する

  1. Kerberos Key Distribution Center サービスを停止し、スタートアップの種類を [手動] に設定します。
  2. Windows 2000 Server または Windows Server 2003 のサポート ツールに含まれている Netdom を使用して、ドメイン コントローラのコンピュータ アカウントのパスワードをリセットします。

    netdom resetpwd /server:another domain controller /userd:domain\administrator /passwordd:administrator password

    netdom コマンドが正常に完了して、制御が返されたことを確認します。正常終了で返されなかった場合、コマンドは機能していません。影響を受けているドメイン コントローラが DC1、動作しているドメイン コントローラが DC2 の Contoso ドメインでは、DC1 のコンソールから次の netdom コマンドを実行します。

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:administrator password
  3. 影響を受けているドメイン コントローラを再起動します。
  4. Kerberos Key Distribution Center サービスを開始した後、スタートアップの種類を [自動] に設定します。

この種の問題の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
325322 Exchange システム マネージャを開くときにエラー メッセージ "サーバーは使用可能ではありません" が表示される
284929 Active Directory スナップインを起動できない (認証するときにどの機関にもアクセスできないというエラー メッセージが表示される)
257623 ドメイン コントローラの DNS サフィックスがドメイン名と一致しない
257346 ユーザー権利 "ネットワーク経由でコンピュータへアクセス" の設定により各種ツールが動作しなくなる
316710 Kerberos キー配布を無効にすると Exchange サービスが開始されない
329642 Active Directory スナップインおよび Exchange システム マネージャを開いたときのエラー メッセージ
272686 Active Directory ユーザーとコンピュータ スナップインを開くとエラー メッセージが表示される
323542 サーバーが使用できないため Active Directory ユーザーとコンピュータ ツールを起動できない
329887 Active Directory MMC スナップインで対話的な操作ができない
325465 Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要
322267 Microsoft ネットワーク用クライアントを削除すると、他のサービスが削除される
297234 クライアントとサーバー間で時間の差がある
247151 MMC スナップインを起動するときにダウンレベルのドメイン ユーザーにエラー メッセージが表示されることがある
280833 [proxysvr] Winsock Proxy クライアントから直接接続するローカルドメインを指定する方法
322307 Windows 2000 Service Pack 2 (SP2) のインストール後に Exchange サービスまたは Active Directory スナップインを起動できない

プロパティ

文書番号: 837513 - 最終更新日: 2007年6月14日 - リビジョン: 2.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
キーワード:?
kberrmsg kbtshoot kbactivedirectory kbactivedirectoryrepl kbevent KB837513
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com