孤立した子ドメイン コントローラー情報が他のドメイン コントローラーにレプリケートされない
この記事では、孤立した子ドメイン コントローラーを他のドメイン コントローラーにレプリケートできない問題の解決策について説明します。
適用対象:Windows Server 2019、Windows Server 2016
元の KB 番号: 887430
現象
Microsoft Windows Server ベースの子ドメインは、フォレストの残りの部分から孤立しています。 この子ドメインは、親 (ルート) ドメイン内のドメイン コントローラーによってレプリケートされる変更を受け取ることができますが、ルート ドメイン内のドメイン コントローラーや、影響を受ける子ドメイン内のドメイン コントローラーに関する知識を持つ他の子ドメインはありません。
管理者が別のドメインから孤立した子ドメイン内のドメイン コントローラーを表示しようとすると、ドメイン コントローラーは表示されません。 たとえば、次の構成の名前付けコンテキストにはドメイン コントローラーは表示されません。
CN=Servers,CN= Site_Name,CN=Sites,CN=Configuration,DC= Domain_Name,DC=com
この場合、 Site_Name と Domain_Name は孤立したドメインの属性です。
原因
この問題は、子ドメインが親ドメインから孤立している場合に発生する可能性があります。
解決方法
重要
このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 変更する前に、問題の発生に備えて復元用にレジストリのバックアップを作成してください。
この問題を解決するには、レプリケーション リンクを作成し、双方向認証ではなく一方向認証を有効にする必要があります。 これを行うには、次の手順を実行します。
ルート ドメインのドメイン コントローラーで、 レプリケーターの [SPN フォールバックの許可] レジストリ値を追加します。 これを行うには、ドメイン コントローラーで次の手順を実行します。
- [Start Run]\(実行の開始\)> を選択し、「regedt32」と入力します。
- 次のレジストリ サブキーを選択します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
- [Edit NewDWORD Value]\(新しい> DWORD 値の編集\)> を選択します。
- 「 レプリケーターで SPN フォールバックを許可する」と入力します。
- 右側のウィンドウで、[レプリケーターの SPN フォールバックを許可する] をダブルクリックし、[値データ] ボックスに「1」と入力し、[OK] を選択します。
- ドメイン コントローラーを再起動します。
コマンド プロンプト ウィンドウを開き、次のコマンドを実行します。
repadmin /options fully_qualified_domain_name_(FQDN)_of_the_root_domain_controller +DISABLE_NTDSCONN_XLATE repadmin /add CN=Configuration,DC=Domain_Name,DC=Domain_Name FQDN_of_the_root_domain_controller FQDN_of_the_child_domain_controller repadmin /showreps
子ドメイン コントローラーからの構成の名前付けコンテキストに対して、正常な受信接続が表示されます。
注:
Repadmin.exe ツールの詳細については、「 Repadmin を使用した Active Directory レプリケーションの監視とトラブルシューティング」を参照してください。
コマンド プロンプトで、 コマンドを実行します。
repadmin /options FQDN_of_the_root_domain_controller -DISABLE_NTDSCONN_XLATE
レプリケーターの SPN フォールバックを許可するレジストリ エントリを削除します。 これを行うには、次の手順を実行します。
レジストリ エディターを起動し、次のレジストリ サブキーを選択します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
[レプリケーターによる SPN フォールバックの許可] を右クリックし、[削除] を選択し、[OK] を選択します。
ルート ドメイン内のすべてのドメイン コントローラー間のレプリケーションを強制します。 これを行うには、次の手順を実行します。
ルート ドメインのドメイン コントローラーで、[プログラム>の開始>] [管理ツール>] [Active Directory サイトとサービス] の順に選択します。
[ サイト>サーバー] を展開し、 Server_Name フォルダーを展開し、[ NTDS 設定] を選択します。
環境内にレプリケートする他のドメイン コントローラーがある場合は、右側のウィンドウに表示されます。 一覧の最初のドメイン コントローラーを右クリックし、[ すべてのタスク] を選択し、[ レプリケーション トポロジの確認 ] を選択して、ナレッジ整合性チェッカー (KCC) を開始します。
1 つ以上の子ドメイン コントローラーからの受信接続オブジェクトが表示されます。 F5 キーを押してディスプレイを更新する必要がある場合があります。
ルート ドメイン内のドメイン コントローラーごとに手順 3 を繰り返します。
フォレスト全体でのレプリケーションの実行を許可します。 次に
repadmin /showreps
、ルート ドメイン コントローラーと子ドメイン コントローラーでコマンドを実行します。 この手順により、Active Directory Directory Service (AD DS) レプリケーションが正常に実行されます。
レプリケーション許可 SPN フォールバック レジストリ エントリを使用すると、サービス プリンシパル名 (SPN) をコンピューター アカウントに解決できなかったために双方向認証を実行できない場合、ドメイン コントローラーは一方向認証を使用できます。
データ収集
Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示