Windows 2000 ベースのフォレストまたは Windows Server 2003 ベースのフォレスト内の残留オブジェクトに関する情報

文書翻訳 文書翻訳
文書番号: 910205 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Microsoft Windows 2000 ベースのフォレストまたは Windows Server 2003 ベースのフォレスト内の残留オブジェクトに関する情報を紹介します。特に、残留オブジェクトの存在を示すイベント、残留オブジェクトが発生する原因、および残留オブジェクトの削除方法について説明します。

はじめに

廃棄 (Tombstone) の有効期間 (TSL) より長い期間にわたってドメイン コントローラでレプリケーションが実行されないと、残留オブジェクトが生じることがあります。そのドメイン コントローラがレプリケーション トポロジに再接続されたとき、そのドメイン コントローラがオフラインの間に Active Directory ディレクトリ サービスから削除されたオブジェクトが、残留オブジェクトとしてそのドメイン コントローラに残っている可能性があります。この資料では、残留オブジェクトの存在を示すイベント、残留オブジェクトが発生する原因、および残留オブジェクトの削除方法に関する詳細情報を紹介します。

詳細

廃棄の有効期間と削除のレプリケーション

Active Directory では、オブジェクトが削除された場合、その削除情報が tombstone オブジェクトとしてレプリケートされます。廃棄オブジェクトは、削除されたオブジェクトが持つ属性の小さなサブセットで構成されています。このオブジェクトを入力方向にレプリケートすることにより、ドメイン内およびフォレスト内の他のドメイン コントローラがこの削除情報を受信します。この tombstone オブジェクトは、一定の期間 Active Directory に残ります。この一定の期間を TSL と呼びます。TSL の期間が経過すると tombstone オブジェクトは完全に削除されます。

TSL のデフォルト値は、フォレストに最初にインストールされたドメイン コントローラで実行されているオペレーティング システムのバージョンによって異なります。次の表に、各 Windows オペレーティング システムのデフォルトの TSL 値を示します。
元に戻す全体を表示する
フォレスト ルートの最初のドメイン コントローラ デフォルトの廃棄の有効期間
Windows 2000 60 日間
Windows Server 2003 60 日間
Windows Server 2003 Service Pack 1 180 日間

: ドメイン コントローラを Windows Server 2003 Service Pack 1 (SP1) にアップグレードしても既存の TSL 値は変更されません。既存の TSL 値は、手動で変更するまで維持されます。

tombstone オブジェクトが完全に削除されると、オブジェクトの削除をレプリケートすることができなくなります。TSL では、フォレスト内のドメイン コントローラが、削除されたオブジェクトに関する情報を保持する期間が定義されています。また、この TSL で指定された期間内に、レプリケーション元のドメイン コントローラの直接および推移性のレプリケーション パートナーすべてが一意の削除を受信する必要があります。

残留オブジェクトが発生するしくみ

TSL よりも長い期間ドメイン コントローラが接続されていない状態が続くと、他のすべてのドメイン コントローラ上の Active Directory から削除されたオブジェクトが、接続されていないドメイン コントローラ上に残る場合があります。このようなオブジェクトを残留オブジェクトと呼びます。このドメイン コントローラは、tombstone オブジェクトが残っている間はオフラインだったため、tombstone オブジェクトのレプリカを受信していません。

このドメイン コントローラをレプリケーション トポロジに再接続すると、パートナーには存在しないオブジェクトを持っているため、ソース レプリケーション パートナーとなります。

このソース ドメイン コントローラ上のオブジェクトが更新されると、レプリケーションの問題が発生します。この場合、レプリケーション先のパートナーで、更新内容の入力方向のレプリケーションを行うときの処理には、以下の 2 つのパターンがあります。
  • レプリケーション先のドメイン コントローラで Strict Replication Consistency が有効になっている場合、そのドメイン コントローラは、オブジェクトを更新できないと認識します。レプリケーション先のドメイン コントローラでは、ソース ドメイン コントローラからの入力方向のディレクトリ パーティションのレプリケーションをローカルで停止します。
  • レプリケーション先のドメイン コントローラで Strict Replication Consistency が無効になっている場合、そのドメイン コントローラは更新されたオブジェクトの完全なレプリカを要求します。この場合、そのオブジェクがディレクトリ内に再作成されます。

接続が長期間切断される原因

以下の条件に該当している場合、接続されていない状態が長期間続くことがあります。
  • ドメイン コントローラをネットワークから切り離して、保管している。
  • 事前に準備したドメイン コントローラを地理的に離れた場所に届けるのに、TSL よりも長い時間がかかる。
  • ワイド エリア ネットワーク (WAN) 接続を長期間使用できない。たとえば、ドメイン コントローラを船で輸送する場合は、TSL より長い期間海上にあるため、レプリケーションができないことがあります。
  • 削除されたオブジェクトのガーベジ コレクションが実行されるように、管理者が意図的に TSL を短くしている。この場合、報告されたイベントは誤検知にすぎません。
  • ソース ドメイン コントローラまたはレプリケーション先のドメイン コントローラ上のシステム クロックが進んでいるか遅れていて正しくない。この場合、報告されたイベントは誤検知です。クロックの誤差は、システムの再起動後に発生することが多い現象です。クロックの誤差は、以下の原因で発生することがあります。
    • システム クロックのバッテリまたはマザーボードに問題がある。
    • コンピュータのタイム ソースが適切に構成されていない。これには、Windows タイム サービス (W32Time)、サードパーティのタイム サーバー、またはネットワーク ルーターを使用してタイム ソース サーバーが構成されている場合も含まれます。
    • システム状態のバックアップの有効期間を引き伸ばすため、あるいは削除されたオブジェクトのガーベジ コレクションが実行されるまでの期間を短縮するために、管理者が意図的にシステム クロックを進めるか遅らせている。システム クロックに正しい時刻が設定されていることを確認してください。また、イベント ログに未来の時刻や異常に古い時刻の不適切なイベントが含まれていないことを確認してください。

ドメイン コントローラに残留オブジェクトが存在することを示す現象

以下の条件に該当する場合は、最新の状態に更新されていないドメイン コントローラに残留オブジェクトが保存されていても、大きな影響はありません。
  • 管理者、アプリケーション、またはサービスによって残留オブジェクトが更新されない。
  • 管理者、アプリケーション、またはサービスによって、ドメイン内に同じ名前を持つオブジェクトが作成されない。
  • 管理者、アプリケーション、またはサービスによって、フォレスト内に同じユーザー プリンシパル名 (UPN) を持つオブジェクトが作成されない。
大きな影響はありませんが、残留オブジェクトが存在することによって問題が発生する可能性があります。問題が発生する可能性が高いのは、残留オブジェクトがセキュリティ プリンシパルである場合です。

残留オブジェクトがフォレスト内に存在することを示している可能性のあるイベント

元に戻す全体を表示する
イベント ID 一般的な説明
1862 最近、ローカル ドメイン コントローラは、いくつかのドメイン コントローラからレプリケーション情報を受信していません (サイト間)。
1863 最近、ローカル ドメイン コントローラは、いくつかのドメイン コントローラからレプリケーション情報を受信していません (サイト間)。
1864 最近、ローカル ドメイン コントローラは、いくつかのドメイン コントローラからレプリケーション情報を受信していません (概要)。
1311 知識整合性チェッカー (KCC) がスパン ツリー トポロジを作成できませんでした。
2042 このサーバーと名前を付けられたソース サーバーが最後にレプリケートされてから時間が経ちすぎました。

イベント ID 2042 の関連情報、および Active Directory におけるレプリケーションの問題のトラブルシューティング方法については、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/WindowsServer/en/Library/4f504103-1a16-41e1-853a-c68b77bf3f7e1033.mspx

残留オブジェクトがフォレスト内に存在することを示すイベント

元に戻す全体を表示する
イベント ID 一般的な説明
1084 サーバーにそのようなオブジェクトはありません。
1388 レプリケーション先のシステムが、ローカルに存在しているはずのオブジェクト (実際は存在しないオブジェクト) に対する更新を受信しました。
1311 別のドメイン コントローラが、このドメイン コントローラ上に存在しないオブジェクトをレプリケートしました。

: 残留オブジェクトは、イベント ID 1988 が出力されたドメイン コントローラ上には存在しません。ソース ドメイン コントローラに残留オブジェクトが存在します。

残留オブジェクトがフォレスト内に存在することを示す repadmin エラー

元に戻す全体を表示する
イベント ID 一般的な説明
8240 サーバーにそのようなオブジェクトはありません。
8606 オブジェクトの作成に必要な属性が足りません。

残留オブジェクトがフォレスト内に存在することを示すその他の徴候

  • 削除されたユーザー アカウントまたはグループ アカウントが、Microsoft Exchange Server を実行しているサーバー上のグローバル アドレス一覧 (GAL) に残っています。そのため、アカウント名は GAL に表示されますが、そのアカウントに電子メール メッセージを送信しようとするとエラーが発生します。
  • オブジェクト ピッカーまたは GAL に、フォレスト内で一意である必要があるオブジェクトの複数のコピーが表示されます。変更された名前を持つ重複したオブジェクトが表示される場合があります。このような重複したオブジェクトは、ディレクトリ検索時に混乱を招きます。たとえば、2 つのオブジェクトの相対識別名を解決できず、*CNF:GUID を名前に付与して競合が解決されます。この例では、* は予約文字を表し、CNF は競合解決を表す定数、GUID は objectGUID 属性値を表します。
  • Active Directory アカウントが有効であると表示されるユーザーに対して電子メール メッセージが配信されません。最新の状態に更新されていないドメイン コントローラまたはグローバル カタログ サーバーが再接続されると、ユーザー オブジェクトの両方のインスタンスがグローバル カタログに表示されます。どちらのオブジェクトも電子メール アドレスが同じであるため、電子メール メッセージを配信できません。
  • 削除されたユニバーサル グループが、ユーザーのアクセス トークンに引き続き表示されます。グループが削除されていても、ユーザー アカウントのセキュリティ トークンにそのグループが設定されていると、使用を禁止しているリソースにそのユーザーがアクセスできる場合があります。
  • 新しいオブジェクトまたは新しい Exchange メールボックスを作成できません。Active Directory にはそのオブジェクトは表示されませんが、そのオブジェクトが既に存在することを示すエラー メッセージが表示されます。
  • 既存のオブジェクトの属性を使用して検索すると、同じ名前のオブジェクトが複数見つかることがあります。この動作は適切ではありません。オブジェクトの 1 つは、ドメインから削除されたオブジェクトです。しかし、ネットワークから切り離されていたグローバル カタログ サーバーにそのオブジェクトが残っています。
書き込み可能なディレクトリ パーティションに存在する残留オブジェクトを更新しようとすると、レプリケーション先のドメイン コントローラにイベントが記録されます。一方、残留オブジェクトの唯一のバージョンがグローバル カタログ サーバーの読み取り専用ディレクトリ パーティションに存在する場合、そのオブジェクトを更新することはできないため、このようなイベントは発生しません。

フォレストからの残留オブジェクトの削除

Windows 2000 ベースのフォレスト

Windows 2000 ベースのフォレスト内の残留オブジェクトを削除する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
314282 古いグローバル カタログ サーバーをオンラインに戻した後で残存オブジェクトが発生する

Windows Server 2003 ベースのフォレスト

Windows Server 2003 ベースのフォレストから残留オブジェクトを削除する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/WindowsServer/en/Library/77dbd146-f265-4d64-bdac-605ecbf1035f1033.mspx
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
892777 Windows Server 2003 Service Pack 1 のサポート ツール

残留オブジェクトの発生を防ぐ方法

残留オブジェクトの発生を防ぐ方法を以下に示します。

方法 1 : Strict Replication Consistency レジストリ エントリを有効にする

Strict Replication Consistency レジストリ エントリを有効にして、残留オブジェクトの可能性があるオブジェクトを隔離できます。その後、管理者は、それらのオブジェクトがフォレスト全体にレプリケートされる前に削除できます。

環境内に、書き込み可能な残留オブジェクトが存在する場合にそのオブジェクトを更新しようとすると、Strict Replication Consistency レジストリ エントリの値に応じて、レプリケーションを続行するか停止するかが決定されます。Strict Replication Consistency レジストリ エントリは、次のレジストリ サブキーにあります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
このエントリのデータの種類は REG_DWORD です。値を 1 に設定すると、このエントリが有効になります。ソース ドメイン コントローラからの指定されたディレクトリ パーティションの入力方向のレプリケーションは、レプリケーション先ドメイン コントローラで停止されます。この値を 0 に設定すると、このエントリは無効になります。レプリケーション先ドメイン コントローラがソース ドメイン コントローラの完全なオブジェクトを要求します。残留オブジェクトは新しいオブジェクトとして Active Directory 内に再作成されます。

Strict Replication Consistency レジストリ エントリのデフォルト値は、ドメイン コントローラがフォレストにインストールされたときの条件によって異なります。

: ドメインまたはフォレストの機能レベルを引き上げても、ドメイン コントローラの Strict Replication Consistency レジストリ エントリの値は変更されません。

以下の条件に該当する場合、インストールされているドメイン コントローラ上の Strict Replication Consistency レジストリ エントリのデフォルト値は 1 (有効) です。
  • Windows Server 2003 バージョンの Winnt32.exe を使用して、Windows NT 4.0 プライマリ ドメイン コントローラ (PDC) を Windows Server 2003 にアップグレードした。このコンピュータで、新しいフォレストのフォレスト ルート ドメインが作成された。
  • Windows Server 2003 を実行しているサーバーに Active Directory がインストールされている。このコンピュータ上で新しいフォレストのフォレスト ルート ドメインが作成された。
以下の条件に該当する場合、ドメイン コントローラ上の Strict Replication Consistency レジストリ エントリのデフォルト値は 0 (無効) です。
  • Windows 2000 ベースのドメイン コントローラを Windows Server 2003 にアップグレードした。
  • Active Directory を、Windows 2000 ベースのフォレスト内の Windows Server 2003 ベースのメンバ サーバーにインストールした。
Windows Server 2003 SP1 を実行しているドメイン コントローラを使用している場合は、レジストリを変更して Strict Replication Consistency レジストリ エントリの値を設定する必要はありません。Repadmin.exe ツールを使用して、フォレスト内の 1 台またはすべてのドメイン コントローラに対してこの値を設定できます。

Repadmin.exe を使用して Strict Replication Consistency レジストリ エントリを設定する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/WindowsServer/f/?en/Library/ea3330c4-1d58-457e-9ad6-97f1573999ff1033.mspx

方法 2 : コマンド ラインのコマンドを使用してレプリケーションを監視する

repadmin /showrepl コマンドを使用してレプリケーションを監視するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
  2. repadmin /showrepl * /csv >showrepl.csv と入力し、Enter キーを押します。
  3. Microsoft Excel で Showrepl.csv ファイルを開きます。
  4. [A + RPC] 列と [SMTP] 列を選択します。
  5. [編集] メニューの [削除] をクリックします。
  6. 列見出しの直下の行を選択します。
  7. [ウィンドウ] メニューの [ウィンドウ枠の固定] をクリックします。
  8. スプレッドシート全体を選択します。
  9. [データ] メニューの [フィルタ] をポイントし、[オートフィルタ] をクリックします。
  10. [Last Success] 列の列見出しの下向きの矢印をクリックし、[昇順で並べ替え] をクリックします。
  11. [src DC] 列の列見出しの下向きの矢印をクリックし、[オプション] をクリックします。
  12. [オートフィルタ オプション] ダイアログ ボックスで、[を含まない] をクリックします。
  13. [を含まない] の左側のテキスト ボックスに、del と入力します。

    : この手順を実行すると、ドメイン コントローラが実行結果に表示されなくなります。
  14. [Last Failure] 列の列見出しの下向きの矢印をクリックし、[オプション] をクリックします。
  15. [オートフィルタ オプション] ダイアログ ボックスで、[と等しくない] をクリックします。
  16. [と等しくない] の左側のテキスト ボックスに、0 と入力します。
  17. 表示されるレプリケーションに関する問題を解決します。

方法 3 : ドメイン コントローラを削除する

TSL の有効期限が切れる前に、エラーが発生しているドメイン コントローラをフォレストから削除できます。

方法 4 : TSL に大きな値を設定する

Windows 2000 Server

Adsiedit ツールを使用して、TSL を 180 日に設定します。これを行うには、以下の手順を実行します。
  1. Adsiedit ツールで、[Configuration [DomainControllerName]]、[CN=Configuration, DC=ForestRootDomain]、[CN=Services]、[CN=Windows NT] の順に展開し、[CN=Directory Service] を右クリックして [プロパティ] をクリックします。
  2. [Attribute] タブをクリックします。
  3. [Select which properties to view] ボックスの一覧の [Optional] をクリックします。
  4. [Select a property to view] ボックスの一覧の [tombstoneLifetime] をクリックします。
  5. [Edit Attribute] ボックスに 180 と入力し、[Set] をクリックして、[OK] をクリックします。
Windows Server 2003

Adsiedit ツールを使用して、TSL を 180 日に設定します。これを行うには、以下の手順を実行します。
  1. Adsiedit ツールで、[Configuration [DomainControllerName]]、[CN=Configuration, DC=ForestRootDomain]、[CN=Services]、[CN=Windows NT] の順に展開し、[CN=Directory Service] を右クリックして [プロパティ] をクリックします。
  2. [Attribute Editor] タブをクリックします。
  3. [Attributes] ボックスの一覧の [tombstoneLifetime] をクリックし、[Edit] をクリックします。
  4. [Value] ボックスに 180 と入力し、[OK] をクリックします。

プロパティ

文書番号: 910205 - 最終更新日: 2007年5月18日 - リビジョン: 1.5
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
キーワード:?
kbhowto kbinfo kbactivedirectory kbwinservds kbexpertiseadvanced KB910205
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com