Windows Server Active Directory フォレスト内の残留オブジェクトに関する情報

  • [アーティクル]

この記事では、Windows Server Active Directory フォレスト内の残留オブジェクトに関するいくつかの情報を提供します。

適用対象: Windows Server 2012 R2
元の KB 番号: 910205

概要

この記事には、Active Directory フォレスト内の残留オブジェクトに関する情報が含まれています。 具体的には、残留オブジェクトの存在を示すイベント、残留オブジェクトの原因、および残留オブジェクトを削除するために使用できるメソッドについて説明します。

導入

ドメイン コントローラーが廃棄石の有効期間 (TSL) より長い期間レプリケートしない場合、残留オブジェクトが発生する可能性があります。 その後、ドメイン コントローラーはレプリケーション トポロジに再接続します。 ドメイン コントローラーがオフラインのときに Active Directory ディレクトリ サービスから削除されたオブジェクトは、残留オブジェクトとしてドメイン コントローラーに残ることができます。 この記事では、残留オブジェクトの存在、残留オブジェクトの原因、および残留オブジェクトを削除するために使用できるメソッドを示すイベントの詳細について説明します。

詳細

廃棄の有効期間と削除のレプリケーション

オブジェクトが削除されると、Active Directory によって削除が廃棄オブジェクトとしてレプリケートされます。 廃棄オブジェクトは、削除されたオブジェクトの属性の小さなサブセットで構成されます。 このオブジェクトを受信レプリケートすると、ドメイン内およびフォレスト内の他のドメイン コントローラーが削除に関する情報を受け取ります。 廃棄ストーンは、指定した期間 Active Directory に保持されます。 この指定された期間は TSL と呼ばれます。 TSL の最後に、tombstone オブジェクトが完全に削除されます。

TSL の既定値は、フォレストにインストールされている最初のドメイン コントローラーで実行されているオペレーティング システムのバージョンによって異なります。 次の表は、さまざまな Windows オペレーティング システムの既定の TSL 値を示しています。

フォレスト ルート内の最初のドメイン コントローラー 既定の廃棄石の有効期間
Windows 2000 60 日
Windows Server 2003 60 日
Service Pack 1 を使用した Windows Server 2003 180 日間

注:

ドメイン コントローラーが Service Pack 1 (SP1) を使用して Windows Server 2003 にアップグレードされた場合、既存の TSL 値は変更されません。 既存の TSL 値は、手動で変更するまで維持されます。

廃棄ストーンが完全に削除されると、オブジェクトの削除をレプリケートできなくなります。 TSL は、フォレスト内のドメイン コントローラーが削除されたオブジェクトに関する情報を保持する期間を定義します。 TSL では、送信元ドメイン コントローラーのすべての直接レプリケーション パートナーと推移的レプリケーション パートナーが一意の削除を受け取る必要がある時間も定義します。

残留オブジェクトの発生方法

ドメイン コントローラーが TSL より長い期間切断された場合、他のすべてのドメイン コントローラー上の Active Directory から削除された 1 つ以上のオブジェクトは、切断されたドメイン コントローラーに残ることがあります。 このようなオブジェクトは、残留オブジェクトと呼ばれます。 ドメイン コントローラーは、廃棄石が生きている間はオフラインであるため、ドメイン コントローラーは廃棄石のレプリケーションを受け取ることはありません。

このドメイン コントローラーがレプリケーション トポロジに再接続されると、そのドメイン コントローラーは、その宛先パートナーに存在しないオブジェクトを持つソース レプリケーション パートナーとして機能します。

レプリケーションの問題は、ソース ドメイン コントローラー上のオブジェクトが更新されたときに発生します。 この場合、移行先パートナーが更新プログラムを受信レプリケートしようとすると、宛先ドメイン コントローラーは次の 2 つの方法のいずれかで応答します。

  • 宛先ドメイン コントローラーで厳密なレプリケーション整合性が有効になっている場合、コントローラーはオブジェクトを更新できないことを認識します。 コントローラーは、ソース ドメイン コントローラーからのディレクトリ パーティションの受信レプリケーションをローカルで停止します。

  • 宛先ドメイン コントローラーで厳密なレプリケーション整合性が無効になっている場合、コントローラーは更新されたオブジェクトの完全なレプリカを要求します。 この場合、オブジェクトはディレクトリに再導入されます。

長い切断の原因

次の条件により、長い切断が発生する可能性があります。

  • ドメイン コントローラーはネットワークから切断され、ストレージに配置されます。

  • 事前にステージングされたドメイン コントローラーをリモートの場所に出荷するには、TSL よりも長い時間がかかります。

  • ワイド エリア ネットワーク (WAN) 接続は長期間使用できません。 たとえば、クルーズ船に乗っていたドメイン コントローラーは、TSL よりも長く海にいるため、レプリケートできない場合があります。

  • 管理者が削除されたオブジェクトのガベージ コレクションを強制するように TSL を短縮したため、報告されたイベントは誤検知です。

  • 報告されたイベントは、ソースまたは宛先ドメイン コントローラーのシステム クロックが誤って進んでいるかロールバックされているため、誤検知です。 クロック スキューは、システムの再起動後に最も一般的です。 クロック スキューは、次の理由で発生する可能性があります。

    • システムクロックバッテリーまたはマザーボードに問題があります。

    • コンピューターのタイム ソースが正しく構成されていません。 これには、Windows タイム サービス (W32Time) を使用して、サード パーティのタイム サーバーを使用するか、ネットワーク ルーターを使用して構成されたタイム ソース サーバーが含まれます。

    • 管理者は、システム状態のバックアップの耐用年数を延長したり、削除されたオブジェクトのガベージ コレクションを高速化したりするために、システム クロックを進めたりロールバックしたりします。 システム クロックに実際の時刻が反映されていることを確認します。 また、イベント ログに、将来または過去の無効なイベントが含まれていないことを確認します。

ドメイン コントローラーに残留オブジェクトがあることを示す

古いドメイン コントローラーは、次の条件に該当する場合に目立った効果を得ることなく、残留オブジェクトを格納できます。

  • 管理者、アプリケーション、またはサービスは、残留オブジェクトを更新しません。
  • 管理者、アプリケーション、またはサービスは、ドメイン内で同じ名前のオブジェクトを作成しようとしません。
  • 管理者、アプリケーション、またはサービスは、フォレスト内で同じユーザー プリンシパル名 (UPN) を使用してオブジェクトを作成しようとしません。

目立った効果がない場合でも、残留オブジェクトが存在すると問題が発生する可能性があります。 これらの問題は、残留オブジェクトがセキュリティ プリンシパルである場合に発生する可能性が最も高くなります。

残留オブジェクトがフォレスト内に存在する可能性があることを示すイベント

イベント ID 一般的な説明
1862 ローカル ドメイン コントローラーは、最近、複数のドメイン コントローラー (サイト間) からレプリケーション情報を受信していません。
1863 ローカル ドメイン コントローラーは、最近、複数のドメイン コントローラー (サイト間) からレプリケーション情報を受信していません。
1864 ローカル ドメイン コントローラーが最近、複数のドメイン コントローラーからレプリケーション情報を受信していません (概要)。
1311 ナレッジ整合性チェッカー (KCC) では、スパニング ツリー トポロジを構築できませんでした。
2042 このサーバーが最後に名前付きソース サーバーと共にレプリケートされてから長すぎます。

残留オブジェクトがフォレスト内に存在することを示すイベント

イベント ID 一般的な説明
1084 サーバーにこのようなオブジェクトはありません。
1388 この移行先システムは、ローカルに存在する必要があるが、存在しなかったオブジェクトの更新を受け取った。
1311 別のドメイン コントローラーが、このドメイン コントローラーに存在しないオブジェクトをレプリケートしました。

注:

残留オブジェクトは、イベント ID 1988 を記録するドメイン コントローラーには存在しません。 ソース ドメイン コントローラーには、残留オブジェクトが含まれています。

フォレスト内に残留オブジェクトが存在することを示す Repadmin エラー

イベント ID 一般的な説明
8240 サーバーにこのようなオブジェクトはありません。
8606 オブジェクトを作成するための属性が不足していました。

残留オブジェクトがフォレスト内に存在することを示すその他の兆候

  • 削除されたユーザーまたはグループ アカウントは、Microsoft Exchange Serverを実行しているサーバー上のグローバル アドレス一覧 (GAL) に残ります。 そのため、アカウント名は GAL に表示されますが、ユーザーが電子メール メッセージを送信しようとするとエラーが発生します。

  • オブジェクトの複数のコピーが、フォレスト内で一意である必要があるオブジェクトのオブジェクト ピッカーまたは GAL に表示されます。 名前が変更された重複オブジェクトが表示されることがあります。 これらの重複するオブジェクトは、ディレクトリ検索で混乱を引き起こします。 たとえば、2 つのオブジェクトの相対識別名を解決できない場合、競合解決によって CNF:GUID が名前に追加されます。 この例では、 * 予約文字を表し、 CNF は競合解決を示す定数、 GUID は objectGUID 属性値を表します。

  • 電子メール メッセージは、Active Directory アカウントが最新のように見えるユーザーには配信されません。 古いドメイン コントローラーまたはグローバル カタログ サーバーが再接続されると、ユーザー オブジェクトの両方のインスタンスがグローバル カタログに表示されます。 どちらのオブジェクトも同じ電子メール アドレスを持っているため、電子メール メッセージを配信できません。

  • 存在しなくなったユニバーサル グループは、引き続きユーザーのアクセス トークンに表示されます。 グループは存在しなくなりましたが、ユーザー アカウントのセキュリティ トークンにグループがまだ存在する場合、ユーザーは、そのユーザーが使用できないリソースにアクセスできる可能性があります。

  • 新しいオブジェクトまたは Exchange メールボックスを作成できません。 ただし、Active Directory にオブジェクトが表示されません。 エラー メッセージは、オブジェクトが既に存在することを報告します。

  • 既存のオブジェクトの属性を使用する検索では、同じ名前のオブジェクトの複数のコピーが誤って見つかる可能性があります。 ドメインから 1 つのオブジェクトが削除されました。 ただし、そのオブジェクトは分離されたグローバル カタログ サーバーに残ります。

書き込み可能なディレクトリ パーティションに存在する残留オブジェクトを更新しようとすると、イベントは宛先ドメイン コントローラーに記録されます。 ただし、残留オブジェクトの唯一のバージョンがグローバル カタログ サーバー上の読み取り専用ディレクトリ パーティション内にある場合、オブジェクトを更新することはできません。 そのため、この種のイベントはトリガーされません。

フォレストからの残留オブジェクトの削除

Windows 2000 ベースのフォレスト

Windows 2000 ベースのドメインで残留オブジェクトを削除する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

314282 最新のグローバル カタログ サーバーをオンラインに戻した後も、残留オブジェクトが残ることがあります

Windows Server 2003 ベースのフォレスト

詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。

892777 Windows Server 2003 Service Pack 1 サポート ツール

残留オブジェクトの防止

残留オブジェクトを防ぐために使用できるメソッドを次に示します。

方法 1: 厳密なレプリケーション整合性レジストリ エントリを有効にする

厳密なレプリケーション整合性レジストリ エントリを有効にすると、疑わしいオブジェクトが検疫されます。 その後、管理は、フォレスト全体に広がる前に、これらのオブジェクトを削除できます。

書き込み可能な残留オブジェクトが環境内にあり、オブジェクトの更新が試行された場合、厳密なレプリケーション整合性レジストリ エントリの値によって、レプリケーションが続行されるか停止されるかが決まります。 厳密なレプリケーション整合性レジストリ エントリは、次のレジストリ サブキーにあります。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
このエントリのデータ型はREG_DWORD。 値を 1 に設定すると、エントリが有効になります。 ソースからの指定されたディレクトリ パーティションの受信レプリケーションは、宛先で停止します。 値を 0 に設定すると、エントリは無効になります。 宛先は、ソース ドメイン コントローラーから完全なオブジェクトを要求します。 残留オブジェクトは、ディレクトリ内で新しいオブジェクトとして復活します。

厳密なレプリケーション整合性レジストリ エントリの既定値は、ドメイン コントローラーがフォレストにインストールされた条件によって決まります。

注:

ドメインまたはフォレストの機能レベルを上げても、ドメイン コントローラーのレプリケーション整合性設定は変更されません。

既定では、次の条件に該当する場合、フォレストにインストールされているドメイン コントローラーの厳密なレプリケーション整合性レジストリ エントリの値は 1 (有効) です。

  • Windows Server 2003 バージョンの Winnt32.exe は、Windows NT 4.0 プライマリ ドメイン コントローラー (PDC) を Windows Server 2003 にアップグレードするために使用されます。 このコンピューターは、新しいフォレストのフォレスト ルート ドメインを作成します。
  • Active Directory は、Windows Server 2003 を実行しているサーバーにインストールされます。 このコンピューターは、新しいフォレストのフォレスト ルート ドメインを作成します。

既定では、次の条件に該当する場合、ドメイン コントローラーの厳密なレプリケーション整合性レジストリ エントリの値は 0 (無効) です。

  • Windows 2000 ベースのドメイン コントローラーが Windows Server 2003 にアップグレードされます。
  • Active Directory は、Windows 2000 ベースのフォレスト内の Windows Server 2003 ベースのメンバー サーバーにインストールされます。

SP1 で Windows Server 2003 を実行しているドメイン コントローラーがある場合は、厳密なレプリケーション整合性レジストリ エントリの値を設定するためにレジストリを変更する必要はありません。 代わりに、Repadmin.exe ツールを使用して、フォレスト内の 1 つのドメイン コントローラーまたはフォレスト内のすべてのドメイン コントローラーに対してこの値を設定できます。

Repadmin.exe を使用して厳密なレプリケーション整合性を設定する方法の詳細については、次の Microsoft Web サイトを参照してください。
https://technet.microsoft.com/library/cc780362(WS.10).aspx

方法 2: コマンド ライン コマンドを使用してレプリケーションを監視する

コマンドを使用してレプリケーションを監視するには、次の repadmin /showrepl 手順に従います。

  1. [スタート] ボタンをクリックし、[実行] をクリックします。次に「cmd」と入力し、[OK] をクリックします。

  2. [repadmin /showrepl * /csv >showrepl.csv]と入力して、Enter キーを押します。

  3. Microsoft Excel で、Showrepl.csv ファイルを開きます。

  4. [A + RPC] 列と [SMTP] 列を選択します。

  5. [編集] メニューの [削除] をクリックします。

  6. 列ヘッダーのすぐ下にある行を選択します。

  7. [Windows] メニューの [ウィンドウの固定] をクリックします。

  8. 完全なスプレッドシートを選択します。

  9. [ データ ] メニューの [ フィルター] をポイントし、[ 自動フィルター] をクリックします。

  10. [ 最後の成功 ] 列の見出しで下矢印をクリックし、[ 昇順で並べ替え] をクリックします。

  11. src DC 列の見出しで下矢印をクリックし、[カスタム] をクリックします。

  12. [ カスタム オートフィルター ] ダイアログ ボックスで、 をクリック しても含まれません

  13. 含まれていないの右側のボックスに「del」と入力します。

    注:

    この手順により、削除されたドメイン コントローラーが結果に表示されなくなります。

  14. [ 最後の失敗 ] 列の見出しで、下矢印をクリックし、[ カスタム] をクリックします。

  15. [ カスタム オートフィルター ] ダイアログ ボックスで、[ が等しくない] をクリックします。

  16. の右側のボックスに「0 」と入力します。

  17. 表示されるレプリケーション エラーを解決します。

方法 3: ドメイン コントローラーを削除する

TSL の有効期限が切れる前に、障害が発生しているドメイン コントローラーをフォレストから削除できます。

方法 4: TSL を増やす

Windows 2000 Server

Adsiedit ツールを使用して、TSL を 180 日に増やします。 これを行うには、次の手順に従います。

  1. Adsiedit ツールで、ConfigurationDomainControllerName を展開し、[CN=Configuration]、[DC=ForestRootDomain]、[CN=Services]、[CN=Windows NT] の順に展開し、[CN=Directory Service] を右クリックし、[プロパティ] をクリックします。
  2. [ 属性 ] タブをクリックします。
  3. [ 表示するプロパティの選択] ボックスの 一覧で、[ 省略可能] をクリックします。
  4. [ 表示するプロパティの選択 ] の一覧で、[ TombstoneLifetime] をクリックします。
  5. [ 属性の編集 ] ボックスに「180」と入力し、[ 設定] をクリックし、[OK] をクリック します。 Windows Server 2003

Adsiedit ツールを使用して、TSL を 180 日に増やします。 これを行うには、次の手順に従います。

  1. Adsiedit ツールで、ConfigurationDomainControllerName を展開し、[CN=Configuration]、[DC=ForestRootDomain]、[CN=Services]、[CN=Windows NT] の順に展開し、[CN=Directory Service] を右クリックし、[プロパティ] をクリックします。
  2. [属性エディター] タブをクリックします。
  3. [属性] の一覧で [TombstoneLifetime] をクリックし、[編集] をクリックします。
  4. [ ] ボックスに「180」と入力し、[ OK] をクリックします。

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。