Active Directory レプリケーション エラー 8614 のトラブルシューティング

  • [アーティクル]

この記事では、Active Directory レプリケーション エラー 8614 のトラブルシューティング手順について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 2020053

注:

ホーム ユーザー: この記事は、テクニカル サポート エージェントと IT プロフェッショナルのみを対象としています。 問題のヘルプをお探しの場合は、 Microsoft コミュニティにお問い合わせください

現象

  1. DCDIAG は、Active Directory レプリケーション テストがエラー状態コード 8614 で失敗したことを報告します。このサーバーでの最後のレプリケーションからの時間が廃棄ストーンの有効期間を超えたため、Active Directory はこのサーバーでレプリケートできません。

    Testing server: <site name><destination dc name>  
Starting test: Replications  
* Replications Check  
[Replications Check,<destination DC name] A recent replication attempt failed:  
From <source DC> to <destination DC>  
Naming Context: <directory partition DN path>  
 The replication generated an error (8614):
 Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
3 failures have occurred since the last success.

  2. REPADMIN.EXE は、最後のレプリケーション試行が状態 8614 で失敗したことを報告します。 一般的に 8614 状態を引用する REPADMIN コマンドには、次のものが含まれますが、これらに限定されません。

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    CONTOSO-DC2 から REPADMIN /SHOWREPS CONTOSO-DC1 への受信レプリケーションがレプリケーション アクセス拒否 エラーで失敗したことを示すサンプル出力を次に示します。

     efault-First-Site-Name\CONTOSO-DC1  
 DSA Options: IS_GC  
 Site Options: (none)  
 DSA object GUID:  
 DSA invocationID:  

==== INBOUND NEIGHBORS ======================================  

DC=contoso,DC=com  
Default-First-Site-Name\CONTOSO-DC2 via RPC  
DSA object GUID:  
Last attempt @ <date> <time> failed, result 8614(0x21a6):
The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
<#> consecutive failure(s).  
Last success @ <date> <time>.

  3. NTDS KCC、NTDS General、または 5 つの状態の Microsoft-Windows-ActiveDirectory_DomainService イベントは、ディレクトリ サービス イベント ログに記録されます。

    一般的に 8524 状態を引用する Active Directory イベントには、次のものが含まれますが、これらに限定されません。

    イベント ソース ID イベント文字列
    NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。

  4. NTDS レプリケーション イベント 2042 は、ディレクトリ サービス イベント ログに記録される場合があります。

    Event Type: Error
Event Source: NTDS Replication
Event Category: Replication
Event ID: 2042
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: <name of DC that logged event>

Description:  
It has been too long since this machine last replicated with the named source
machine. The time between replications with this source has exceeded the tombstone
lifetime. Replication has been stopped with this source.

The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted.

Time of last successful replication: YYYY-MM-DD HH:MM:SS
Invocation ID of source: <32 character GUID for source DC>
Name of source: <fully qualified cname record of source DC>
Tombstone lifetime (days): <current TSL value. Default = 60 or 180 days>

The replication operation has failed.

User Action:

Determine which of the two machines was disconnected from the forest and is now out of date. You have three options:

1. Demote or reinstall the machine(s) that were disconnected.
2. Use the repadmin /removelingeringobjects tool to remove inconsistent deleted objects and then resume replication.
3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it's recommended that you remove the key to reinstate the protection.

  5. Active Directory サイトとサービスで [レプリケート] コマンドを実行すると、次のメッセージが返されます。

    Active Directory は、このサーバーとの最後のレプリケーションが廃棄ストーンの有効期間を超えたため、このサーバーでレプリケートできません。

    ソース DC から接続オブジェクトを右クリックし、Active Directory サイトとサービス (DSSITE) で [レプリケート] を選択します。MSC) が失敗しました。 次のメッセージが表示されます。

    Active Directory は、このサーバーとの最後のレプリケーションが廃棄ストーンの有効期間を超えたため、このサーバーでレプリケートできません。

    画面上のエラー メッセージ テキストは次のとおりです。

    ダイアログ タイトル テキスト: [今すぐレプリケート]
    ダイアログ メッセージ テキスト: ドメイン コントローラー ソース DC からドメイン コントローラー宛先 DC に名前付けコンテキスト <%directory パーティション名%> を<同期しようとしたときに、次のエラーが発生しました。>><

    このサーバーでの最後のレプリケーション以降の時間が廃棄ストーンの有効期間を超えたため、Active Directory はこのサーバーでレプリケートできません。
    操作は続行されません

    ダイアログのボタン: OK

原因

Active Directory ドメイン コントローラーは、マルチマスター レプリケーションをサポートします。 書き込み可能なパーティションを保持するドメイン コントローラーは、オブジェクトまたは属性 (値) の作成、変更、または削除を行うことができます。 オブジェクト/属性の削除に関する知識は、廃棄ストーンの有効期間日数に対して保持されます。 (「Windows Server Active Directory フォレスト内の残留オブジェクトに関する情報」を参照してください。

Active Directory では、ディレクトリ パーティションのすべての元の削除をすべてのパーティション 所有者に推移的にレプリケートするには、すべてのパーティション 所有者からのエンドツーエンドレプリケーションが必要です。 ローリング TSL 日数でディレクトリ パーティションを受信レプリケートできないと、オブジェクトが残留します。 残留オブジェクトは、少なくとも 1 つの DC によって意図的に削除されたオブジェクトですが、すべての一意の削除に関する一時的な知識を受信レプリケートできなかった宛先 DC に誤って存在します。

エラー 8614 は、Windows Server 2003 以降のバージョンを実行しているドメイン コントローラーに追加されたロジックの例です。 これにより、残留オブジェクトの分散が検疫され、ディレクトリ パーティションに一貫性のない原因となる長期的なレプリケーション エラーが特定されます。

エラー 8614 と NTDS レプリケーション イベント 2042 の根本原因は次のとおりです。

  1. 8614 エラーをログに記録する宛先 DC は、廃棄ストーンの有効期間日数で 1 つ以上のソース DC からディレクトリ パーティションを受信レプリケートできませんでした。

  2. 宛先 DC のシステム時間は、最後に正常にレプリケーションされてから 1 日以上後に廃棄ストーンの有効期間を移動またはジャンプしました。 レプリケーション エンジンに対して、宛先 DC が、廃棄ストーンの有効期間の経過日数に対してディレクトリ パーティションを受信レプリケートできなかった ことを示 します。

    時間ジャンプは、次の条件に該当する場合に発生する可能性があります。

    • 宛先 DC は受信レプリケートに成功し、不適切 システム時刻 TSL 以上の日数を採用します。
    • その後、宛先 DC は、TSL から最後にレプリケートされたソースからの受信レプリケートを試行します。過去の日数以上です。

    または

    時刻が現在の時刻から日付/時刻の廃棄ストーンの有効期間または過去 1 日以上にジャンプし、受信レプリケートに成功しました。 次に、時刻 TSL 以降の日数を採用した後、受信レプリケートを試みます。

基本的に、レプリケーション エラー 8614 の原因と解決策は、NTDS レプリケーション イベント 2042 の原因と解決策と同様に適用されます。

解決方法

注:

エラー状態 8614 または NTDS レプリケーション イベント 2042 をログに記録する Active Directory ドメイン コントローラーを回復するための 2 つのアクション プランがあります。 ドメイン コントローラーを強制的に降格するか、以下のアクション プランを使用して、必要な修正プログラムを確認し、時間ジャンプを探し、残留オブジェクトをチェックし、存在する場合は削除し、レプリケーション検疫を削除し、レプリケーション エラーを解決してから、DC をサービスに戻すことができます。このような DC の強制降格は、簡単かつ迅速になる可能性がありますが、強制降格されているドメイン コントローラーで、元の更新プログラム (つまりデータ損失) が失われる可能性があります。 Active Directory は、次の手順に従って、この条件から正常に復旧します。 シナリオに最適なソリューションを選択します。 特にレプリケーションエラーの解決が容易な場合、または Active Directory の外部にある場合は、強制降格が唯一の実行可能なソリューションであると想定しないでください。

  1. 廃棄ストーンの有効期間の既定以外の値を確認します。

    既定では、廃棄石の有効期間は、フォレストに展開されている Windows のバージョンに応じて、60 日または 180 日を使用します。 Microsoft サポートでは、これらの期間に受信レプリケーションに失敗した DC が定期的に表示されます。 また、廃棄石の有効期間が 2 日間などの短い期間に構成されている可能性もあります。 その場合、たとえば、受信レプリケートを行わなかった DC は、次のテストで 5 日間失敗します。

    すべての DC は、ローリング TSL 日数でレプリケートする必要があります

    TombstoneLifetime 属性の既定以外の値が構成されているかどうかを確認するには、 を使用repadmin /showattrします。

    repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest root domain>,DC=<top level domain>"

    属性が出力に showattr 存在しない場合は、内部の既定値が使用されます。

  2. TSL の受信レプリケーションに失敗した DC の日数を確認します。

    ドメイン コントローラーへのレプリケーションが成功したことを確認する」セクションで指定されている Excel を使用して解析を実行repadmin /showrepl * /csvします。 最後のレプリケーション成功列の Excel の出力を、最小の現在の日時から最新の日付と時刻の順に並べ替えます。

  3. Windows Server 2003 RTM ドメイン コントローラーを確認します。

    Windows Server 2003 RTM ドメイン コントローラーで 8614 エラーが発生した場合は、最新の Windows Server 2003 Service Pack をインストールします。

  4. 時間ジャンプを確認します。

    時間ジャンプが発生したかどうかを判断するには、次のタイムスタンプに対して 8614 エラーを記録している宛先 DC にイベント ログと診断ログ (repadmin /showrepsdcdiag ログ) をチェックします。

    • オペレーティング システムのリリースより前の日付スタンプ。 たとえば、Windows Server 2008 でリリースされた OS の Windows Server 2003 からの日付スタンプなどです。
    • フォレストにオペレーティング システムをインストールする前の日付スタンプ。
    • 将来の日付スタンプ。
    • 特定の日付範囲でログに記録されるイベントはありません。

    Microsoft サポートチームでは、運用ドメイン コントローラーのシステム時間が、過去と将来の数時間、日、週、年、さらには数十年にわたって誤ってジャンプしています。

    システム時刻が不正確であることが判明した場合は、修正してください。 次に、時間がジャンプした理由と、今後の不正確な時間を防ぐために何ができるか、悪い時間を修正するだけなのかを判断してみてください。 調査できる領域は次のとおりです。

    • フォレスト ルート PDC は、外部タイム ソースを使用して構成されましたか?
    • 参照時間ソースはオンラインで、ネットワーク上で使用でき、DNS で解決できますか?
    • Microsoft またはサード パーティのタイム サービスが実行されていて、エラーのない状態でしたか?
    • ソース時刻に NT5DS 階層を使用するように DC ロール コンピューターが構成されていますか?
    • 時間ロールバック保護については、「 大きなタイム オフセットに対して Windows タイム サービスを構成する方法 」で説明されていましたか?
    • システム クロックには、BIOS に優れたバッテリーと正確な時間がありますか?
    • 仮想ホストとゲスト コンピューターは、ホスティングメーカーの推奨事項に従ってソース時間に構成されていますか?

    この記事では、ドメイン コントローラーが無効なタイム サンプルをリッスンするのを防ぐのに役立つ、 大きな時間オフセット に対して Windows タイム サービスを構成する方法 に関する記事の手順を説明します。 MaxPosPhaseCorrectionMaxNegPhaseCorrection の詳細については、Windows タイム サービスを参照してください。

  5. 残留オブジェクトが存在する場合は、そのオブジェクトを確認して削除します。

    8614 エラー レプリケーション検疫のポイントは、フォレスト内のすべての宛先 DC が厳密なレプリケーション整合性で実行していると思われる場合でも、残留オブジェクトをチェックし、存在する場合は、移行先 DC のレジストリで分岐パートナーと破損したパートナーとのレプリケーションを許可するを 1 に設定する前に、ローカルに保持されている各パーティションで削除することです。

    残留オブジェクトの削除は、この記事の範囲外です。 詳細については、次の記事を参照してください。

    Repadmin 構文は次のとおりです。

    構文 オンライン ヘルプ (Windows Server 2008 以降)
    c:\>repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/advisory_mode] c:\>repadmin /help:removelingeringobject

  6. 宛先 DC での厳密なレプリケーションの設定を評価します。

    厳密モードレプリケーションを使用すると、ガベージ コレクションを使用して意図的に削除されたオブジェクトを作成、削除、および再利用した宛先 DC で残留オブジェクトが再アニメーション化されないようにします。

    厳密なレプリケーションのレジストリ キー:

    • パス: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
    • 設定: 厳密なレプリケーション整合性 <- 大文字と小文字は区別されません>
    • 型: reg_dword
    • 値: 0 |1

    Repadmin 単一または複数の DC で厳密なレプリケーションを有効または無効にする構文は次のとおりです。

    構文 オンライン ヘルプ (Windows Server 2008 以降) 1 つの DC で有効にする フォレスト内のすべての DC で有効にする フォレスト内のすべての GC で有効にする
    repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]] Repadmin /help:regkey repadmin /regkey <fully qualified computer name> +strict repadmin /regkey * +strict repadmin /regkey gc: +strict

  7. 8614 DC で、分岐パートナーと破損したパートナーとのレプリケーションを許可 するを 1 に設定します。

    残留オブジェクトが削除されたら、時間ベースのレプリケーション検疫を無効にします。

    Registry メソッド:

    • レジストリ パス: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
    • レジストリ設定: 異なるパートナーと破損したパートナー <とのレプリケーションを許可する - 大文字と小文字は区別されません》
    • レジストリ値: 0 = 許可しない、1 = 許可

    Repadmin メソッド:

    構文 オンライン ヘルプ (Windows Server 2008 以降) 1 つの DC で有効にする フォレスト内のすべての DC で有効にする フォレスト内のすべての GC で有効にする
    repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]] Repadmin /help:regkey repadmin /regkey dc01.contoso.com +allowDivergent repadmin /regkey * +allowDivergent repadmin /regkey GC: +allowDivergent

  8. AD レプリケーションエラーが存在する場合は解決します。

    8614 エラーの状態が宛先 DC に記録されると、以前の TSL 日数でログに記録された以前のレプリケーション エラーがマスクされます。

    8614 エラーが宛先 DC によって報告されたという事実は、レプリケーションエラーが宛先 DC に存在することを意味するものではありません。 代わりに、レプリケーションエラーの原因がネットワークまたは DNS の名前解決にある可能性があります。 または、次のいずれかの問題が発生する可能性があります。

    • 認証
    • jet データベース
    • トポロジ
    • ソース DC または宛先 DC のレプリケーション エンジン

    ソース DC、宛先 DC、および過去の代替レプリケーション パートナーによって生成された過去の Directory Service イベントと診断出力 (dcdiag、 repadmin ログ) を確認して、宛先 DC とソース DC の間のレプリケーションを妨げているスコープと障害の状態を特定します。

  9. [ 異なるパートナーと破損したパートナーとのレプリケーションを許可 する] を削除するか、レジストリで [分岐したパートナーと破損したパートナーとのレプリケーションを許可する] を 0 に設定します。

  10. 今後、Active Directory レプリケーションを毎日監視します。

    Active Directory 監視アプリケーションを使用して、Active Directory フォレスト内のエンド ツー エンド レプリケーションを毎日監視します。 安価で効果的なオプションの 1 つは、Excel で結果を実行 repadmin /showrepl * /csv して解析することです。 詳細については、「 方法 2: コマンド ラインを使用してレプリケーションを監視する」を参照してください。

    レプリケーションエラーに近づいている DC を 50%、廃棄ストーンの有効期間の 90% で特定します。 それらをwatchリストに配置します。 TSL の 50% で、レプリケーション エラーを解決するために強力なプッシュを行います。 90% では、必要に応じてレプリケーション エラーを引き起こす DC を強制的に降格することを検討してください。 これを行うには、 コマンドを dcpromo /forceremoval 使用します。

    ここでも、宛先 DC でログに記録されるレプリケーション エラーは、次の問題が原因である可能性があります。

    • ソース DC
    • 宛先 DC
    • 基になるネットワーク

    そのため、予防措置を実行する前に、原因と障害の場所を特定してみてください。

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。

関連情報

レプリケーションの残留オブジェクトの問題の修正 (イベント ID 1388、1988、2042)