Active Directory レプリケーション エラー 8524: DNS 参照エラーのため DSA 操作を続行できません

  • [アーティクル]

この記事では、Win32 エラー 8524 で失敗する AD 操作の症状、原因、解決の手順について説明します。

DNS 参照エラーのため、DSA 操作を続行できません。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 2021446

ホーム ユーザー: この記事は、テクニカル サポート エージェントと IT プロフェッショナルのみを対象としています。 問題のヘルプを探している場合は、 Microsoft コミュニティに問い合わせてください

現象

  1. DCDIAG は、Active Directory レプリケーション のテストが状態 8524 で失敗したことを報告します。

    テスト サーバー: <サイト名><の宛先 DC>
    テストの開始: レプリケーション
    [レプリケーションの確認、<宛先 DC>] 最近のレプリケーション試行に失敗しました: ソース DC から<宛先 DC> へ<>
    名前付けコンテキスト:
    失敗したディレクトリ パーティション>の CN=<DN パス、DC=Contoso、DC=Com
    レプリケーションでエラーが生成されました (8524)。
    DNS 参照エラーのため、DSA 操作を続行できません。

  2. REPADMIN は、レプリケーション試行が状態 8524 で失敗したことを報告します。

    一般的に 8524 状態を引用する REPADMIN コマンドには、次のものが含まれますが、これらに限定されません。

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPS
    • REPADMIN /SHOWREPL

    REPADMIN /SHOWREPL からの 8524 エラーのサンプルを次に示します。

    Default-First-Site-Name\CONTOSO-DC1
    DSA オプション: IS_GC
    サイト オプション: (なし)
    DSA オブジェクト GUID: DSA 呼び出し ID:
    DC=contoso,DC=com
    RPC 経由の Default-First-Site-Name\CONTOSO-DC2
    DSA オブジェクト GUID:
    最後の試行 @ YYYY-MM-DD HH:MM:SS が失敗し、結果 8524 (0x214c):
    DNS 参照エラーのため、DSA 操作を続行できません。
    1 つの連続したエラー。
    最後の成功 @ YYYY-MM-DD HH:MM:SS。

    /showrepl 出力の残りの部分が切り捨てられました

  3. 8524 状態の次のいずれかのイベントがディレクトリ サービス イベント ログに記録されます。

    • NTDS ナレッジ整合性チェッカー (KCC)
    • NTDS 全般
    • Microsoft-Windows-ActiveDirectory_DomainService

    一般的に 8524 状態を引用する Active Directory イベントには、次のものが含まれますが、これらに限定されません。

    イベント ソース イベント文字列
    Microsoft-Windows-ActiveDirectory_DomainService 2023 このディレクトリ サーバーは、次のディレクトリ パーティションの次のリモート ディレクトリ サーバーに変更をレプリケートできませんでした
    NTDS 全般 1655 Active Directory が次のグローバル カタログと通信しようとしましたが、試行は失敗しました。
    NTDS KCC 1308 KCC は、次のディレクトリ サービスを使用してレプリケートしようとする連続した試行が一貫して失敗したことを検出しました。
    NTDS KCC 1865 KCC は、完全なスパニング ツリー ネットワーク トポロジを形成できませんでした。 その結果、次のサイトの一覧にローカル サイトから到達できません
    NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。

    NTDS KCC 1926 次のパラメーターを使用して読み取り専用ディレクトリ パーティションへのレプリケーション リンクを確立しようとしましたが失敗しました

  4. ドメイン コントローラーは、NTDS レプリケーション イベント 2087 と NTDS レプリケーション イベント 2088 をディレクトリ サービス イベント ログに記録します。

    ログ名: ディレクトリ サービス
    ソース: Microsoft-Windows-ActiveDirectory_DomainService
    日付: <日付><時刻>
    イベント ID: 2087
    タスク カテゴリ: DS RPC クライアント
    レベル: エラー
    キーワード: クラシック
    ユーザー: 匿名ログオン
    コンピューター: <dc 名>。<ドメイン名>
    説明:

    Active Directory Domain Servicesソース ドメイン コントローラーの次の DNS ホスト名を IP アドレスに解決できませんでした。 このエラーにより、フォレスト内の 1 つ以上のドメイン コントローラー間でActive Directory Domain Servicesの追加、削除、変更がレプリケートされなくなります。 セキュリティ グループ、グループ ポリシー、ユーザー、コンピューターとそのパスワードは、このエラーが解決されるまでドメイン コントローラー間で一貫性がありません。 ログオン認証とネットワーク リソースへのアクセスに影響する可能性があります。

    ログ名: ディレクトリ サービス
    ソース: Microsoft-Windows-ActiveDirectory_DomainService
    日付: <日付><時刻>
    イベント ID: 2088
    タスク カテゴリ: DS RPC クライアント
    レベル: 警告
    キーワード: クラシック
    ユーザー: 匿名ログオン
    コンピューター: <dc 名>。<ドメイン名>
    説明:
    Active Directory Domain Services DNS を使用して、次に示すソース ドメイン コントローラーの IP アドレスを解決できませんでした。 セキュリティ グループ、グループ ポリシー、ユーザー、コンピューターとそのパスワードの一貫性を維持するために、ソース ドメイン コントローラーの NetBIOS または完全修飾コンピューター名を使用して正常にレプリケートActive Directory Domain Services。

    無効な DNS 構成は、ログオン認証やネットワーク リソースへのアクセスなど、このActive Directory Domain Services フォレスト内のメンバー コンピューター、ドメイン コントローラー、またはアプリケーション サーバー上の他の重要な操作に影響を与える可能性があります。

    このドメイン コントローラーが DNS を使用してソース ドメイン コントローラーの IP アドレスを解決できるように、この DNS 構成エラーを直ちに解決する必要があります。

原因

エラー状態 8524 は、次のエラー文字列にマップされます。

DNS 参照エラーのため、DSA 操作を続行できません。

これは、Windows Server 2003 SP1 ドメイン コントローラーの後で Active Directory に影響を与える可能性のあるすべての DNS エラーに対するキャッチオール エラーです。

Microsoft-Windows-ActiveDirectory_DomainService イベント 2087 は、Active Directory ドメイン コントローラーが完全修飾 CNAME レコード (<ソース DC NTDS 設定オブジェクト>のオブジェクト guid._msdcs) によってリモート DC を解決できない場合に 8524 状態を引用する他の Active Directory イベントのパートナー イベントです。<DNS を使用するフォレスト ルート ドメイン>)。

Microsoft-Windows-ActiveDirectory_DomainService イベント 2088 は、ソース ドメイン コントローラーが NetBIOS 名で正常に解決されたときにログに記録されますが、このような名前解決フォールバックは DNS 名解決に失敗した場合にのみ発生します。

8524 状態と Microsoft-Windows-ActiveDirectory_DomainService イベント 2088 または 2087 イベントがすべて存在すると、DNS の名前解決が Active Directory で失敗していることを示します。

要約すると、8524 レプリケーションの状態は、宛先 DC がその CNAME およびホスト "A" またはホスト "AAAA" レコードによって DNS を使用してソース DC を解決できない場合にログに記録されます。 具体的な根本原因は次のとおりです。

  1. ソース DC がオフラインであるか、存在しなくなったが、その NTDS Settings オブジェクトは、Active Directory のコピー先 DC に存在します。

  2. ソース DC は、次の理由により、1 つ以上の DNS サーバーに CNAME レコードまたはホスト レコードを登録できませんでした。

    • 登録試行が失敗しました。
    • ソースの DNS クライアント設定は、その_msdcsをホスト、転送、または委任する DNS サーバーを指していません。<フォレスト ルート ドメイン ゾーンと (または) プライマリ DNS サフィックス ドメイン ゾーン>。

  3. 宛先 DC の DNS クライアント設定は、ソース DC の CNAME またはホスト レコードを含む DNS ゾーンをホスト、転送、または委任する DNS サーバーを指していません

  4. ソース DC によって登録された CNAME レコードとホスト レコードは、次の理由により、宛先 DC によって照会された DNS サーバーに存在しません。

    • 単純なレプリケーション待機時間
    • レプリケーションエラー
    • ゾーン転送エラー

  5. フォワーダーまたは委任が無効です。 これにより、移行先 DC がフォレスト内の他のドメイン内の DC の CNAME またはホスト レコードを解決できなくなります。

  6. 宛先 DC、ソース DC、または中間 DNS サーバーで使用される DNS サーバーが正しく機能していません。

解決方法

8524 がオフライン DC または古い DC メタデータによって引き起こされているかどうかを確認する

8524 エラー/イベントが、現在オフラインだがフォレスト内で有効な DC を参照している場合は、動作可能にします。

8524 エラー/イベントが非アクティブ DC を参照している場合は、コピー先 DC の Active Directory のコピーから、その DC の古いメタデータを削除します。 非アクティブ DC は、ネットワーク上に存在しなくなった DC インストールですが、その NTDS Settings オブジェクトは Active Directory のコピー先 DC にまだ存在します。

Microsoft サポートは、存在しない DC の古いメタデータ、または Active Directory から削除されていないコンピューター名が同じ DC の以前のプロモーションの古いメタデータを定期的に検出します。

古い DC メタデータが存在する場合は削除する

Active Directory サイトとサービスを使用した GUI メタデータ クリーンアップ (DSSITE。MSC)

  1. Windows Server 2008 または Windows Server 2008 R2 Active Directory サイトおよびサービス スナップイン (DSSITE) を起動します。MSC)。

    また、リモート サーバー管理ツール (RSAT) パッケージの一部としてインストールされている Windows Vista または Windows 7 コンピューターで Active Directory サイトとサービスを起動することでも実行できます。

  2. DSSITE にフォーカスを合わせる。移行先 DC の Active Directory のコピー上の MSC スナップイン。

    DSSITE を開始した後。MSC で、"Active Directory サイトとサービス [<DC 名>] を右クリックします。

    "ドメイン コントローラーの変更"に表示される DC の一覧から、8524 エラー/イベントをログに記録する宛先 DC を選択します。リスト

  3. 8524 エラーとイベントで参照されているソース DC NTDS Settings オブジェクトを削除します。 Active Directory ユーザーとコンピューター (DSA。MSC) スナップインを使用して、ソース DC NTDS Settings オブジェクトを削除します。

    DC NTDS Settings オブジェクトが表示される

    • [サイト]、[サイト名]、[サーバー] コンテナー、および %server name% コンテナーの下
    • Active Directory サイトとサービスの右側のウィンドウに表示される受信接続オブジェクトの上。

    下のスクリーンショットの赤い強調表示は、既定の最初のサイト名サイトの下にある CONTOSO-DC2 の NTDS Settings オブジェクトを示しています。

    [NTDS 設定] が選択されている [Active Directory サイトとサービス] ウィンドウのスクリーンショット。

    削除する古い NTDS Settings オブジェクトを右クリックし、[削除] を選択します。

    メタデータのクリーンアップは、TECHNET に記載されている W2K8/W2K8 R2 Active Directory ユーザーとコンピューター スナップインからも実行できます。

NTDSUTIL を使用したコマンド ライン メタデータ クリーンアップ

NTDSUTIL メタデータ クリーンアップ コマンドを使用して古い NTDS Settings オブジェクトを削除する従来の方法またはコマンド ライン メソッドについては、MSKB 216498に記載されています。

ソース DC + 宛先 DC で実行 DCDIAG /TEST:DNS する

DCDIAG /TEST:DNS では、ドメイン コントローラーの DNS 正常性を迅速に検証するための 7 つの異なるテストが行われます。 このテストは、DCDIAG の既定の実行の一部として実行されません。

  1. Enterprise 管理 資格情報を使用して、8524 イベントをログに記録する宛先ドメイン コントローラーのコンソールにサインインします。

  2. 管理特権 CMD プロンプトを開き、8424 状態と宛先 DC がレプリケート元のソース DC をログに記録する DC で実行 DCDIAG /TEST:DNS /F します。

    フォレスト内のすべての DC に対して DCDIAG を実行するには、「」と入力します DCDIAG /TEST:DNS /V /E /F:<File name.txt>

    特定の DC に対して DCDIAG TEST:DNS を実行するには、「 」と入力します DCDIAG /TEST:DNS /V /S:<DC NAME> /F:<File name.txt>

  3. 出力の最後にあるサマリー テーブルを DCDIAG /TEST:DNS 見つけます。 レポートの関連 DC に対する警告またはエラーの状態を特定して調整します。

  4. DCDIAG で根本原因が特定されない場合は、次の手順に従って "長い道のり" を行ってください。

PING を使用して Active Directory の名前解決を確認する

宛先 DC は、リモート DC NTDS Settings オブジェクト (Active Directory サイトおよびサービス スナップインに表示される接続オブジェクトの親オブジェクト) のオブジェクト GUID から派生した完全修飾 CNAME レコードによって、DNS のソース DC を解決します。 PING コマンドを使用して、ソース DC 完全修飾 CNAME レコードを解決する特定の DC の機能をテストできます。

  1. Active Directory のソース DC のコピーで、ソース DC NTDS Settings オブジェクトの objectGUID を見つけます。

    8524 エラー/イベントをログに記録するソース DC のコンソールから、次のように入力します。

    repadmin /showrepl <fully qualified hostname of source DC cited in the 8524 error (event)>

    たとえば、8524 エラー/イベントで参照される DC がドメイン内の contoso.com contoso-DC2 である場合は、次のように入力します。

    repadmin /showrepl contoso-dc2.contoso.com

    コマンドのヘッダー repadmin /SHOWREPl の "DSA オブジェクト GUID" フィールドには、ソース DC の現在 の NTDS 設定オブジェクトの objectGUID が含まれています。 レプリケーションが遅くなったり失敗したりする場合は、ソース DC の NTDS 設定オブジェクトのビューを使用します。 出力の repadmin ヘッダーは次のようになります。

    Default-First-Site-Name\CONTOSO-DC1
    DSA オプション: IS_GC
    サイト オプション: (なし)
    DSA オブジェクト GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016 <- 右クリックしてこの文字列を Windows にコピーします
    <- クリップボード & に PING コマンドを貼り付けます
    <- 手順 4

  2. コピー先 DC の Active Directory のコピーで、ソース DC の ObjectGUID を見つけます。

    8524 エラー/イベントをログに記録する宛先 DC のコンソールから、次のように入力します。

    repadmin /showrepl <fully qualified hostname of destination DC>

    たとえば、DC ログ 8524 エラー/イベントがドメイン内の contoso.com contoso-DC1 である場合は、次のように入力します。

    repadmin /showrepl contoso-dc1.contoso.com

    REPADMIN /SHOWREPL 出力を次に示します。 "DSA オブジェクト GUID" フィールドは、宛先 DC 受信がレプリケート元のソース DC ごとに一覧表示されます。

     c:\>repadmin /showreps `contoso-dc1.contoso.com`  
 Default-First-Site-Name\CONTOSO-DC1  
 DSA Options: IS_GC  
 Site Options: (none)  
 DSA object GUID:  
 DSA invocationID:  
  DC=contoso,DC=com  
     Default-First-Site-Name\CONTOSO-DC2 via RPC  
         DSA object GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016      <- Object GUID for source DC derived from  
         Last attempt @ 2010-03-24 15:45:15 failed, result 8524 (0x214c):        \ destination DCs copy of Active Directory  
             The DSA operation is unable to proceed because of a DNS lookup failure.
         23 consecutive failure(s).  
         Last success @ YYYY-MM-DD HH:MM:SS.

  3. #2 と #3 のオブジェクト GUID を比較します。

    オブジェクト GUID が同じ場合、ソース DC と宛先 DC は、ソース DC の同じインスタンス化 (同じ昇格) について認識します。 異なる場合は、後で作成されたものを見つけます。 以前の作成日の NTDS 設定オブジェクトは古くなっている可能性が高く、削除する必要があります。

  4. 完全修飾 CNAME でソース DC に PING を実行します。

    宛先 DC のコンソールから、ソース DC の完全修飾 CNAME レコードの PING を使用して Active Directory の名前解決をテストします。

    c:\>ping <ObjectGUID> from source DCs NTDS Settings object._msdcs.<DNS name for Active Directory forest root domain>

    ドメインの contoso-dc1 DC からの上記の出力の repadmin /showreps8a7baee5...objectGUID の例をcontoso.com使用すると、PING 構文は次のようになります。

    c:\>ping 8a7baee5-cd81-4c8c-9c0f-b10030574016. _msdcs.contoso.com

    ping が機能する場合は、Active Directory で失敗した操作を再試行してください。 PING が失敗した場合は、"8524 DNS 参照エラーを解決する" に進みますが、解決されるまで各手順の後に PING テストを再試行してください。

8524 DNS 参照エラーを解決する: 長い道のり

8524 エラー/イベントが古い DC メタデータによって引き起こされず、CNAME PING テストが失敗した場合は、次の DNS 正常性を検証します。

  • ソース DC
  • 宛先 DC
  • ソースと宛先の DC によって使用される DNS サーバー

まとめると、次のことを確認します。

  • ソース DC によって CNAME レコードとホスト レコードが有効な DNS に登録されています。
  • 宛先 DC は有効な DNS サーバーを指します。
  • ソース DC によって登録された対象レコードは、宛先 DC によって解決できます。

DS RPC Client イベント 2087 のエラー メッセージ テキストには、8524 エラーを解決するためのユーザー アクションが示されています。 より詳細なアクション プランは次のとおりです。

  1. ソース DC が有効な DNS サーバーを指していることを確認します

    ソース DC で、DNS クライアント設定が、the_msdcsをホスト、転送、または委任する運用 DNS サーバーのみを指していることを確認します。<フォレスト ルート ドメイン> ゾーン (つまり、contoso.com フォレスト内のすべての DC は、the_msdcs.contoso.com ゾーン内の CNAME レコードを登録します)

    および

    Active Directory ドメインの DNS ゾーン (つまり、contoso.com ドメイン内のコンピューターは、contoso.com ゾーンにホスト レコードを登録します)。

    および

    Active Directory ドメイン名と異なる場合は、コンピューターのプライマリ DNS サフィックス ドメイン (Technet の記事「 名前空間の不整合」を参照してください)。

    DNS サーバーでホスト、転送、またはデリゲート (つまり、"解決可能") が含まれるかどうかを検証するためのオプション。

    • DNS の DNS 管理ツールを起動し、ソース DC が名前解決のためにポイントする DNS サーバーが問題のゾーンをホストすることを確認します。

    • NSLOOKUP を使用して、ソース DC が指すすべての DNS サーバーが、問題の DNS ゾーンのクエリを解決できることを確認します。

      ソース DC のコンソールで IPCONFIG /ALL を実行する

      c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                           10.45.42.101<- Secondary DNS Server IP>

      次の NSLOOKUP クエリを実行します。

      c:\>nslookup -type=soa  <Source DC DNS domain name> <source DCs primary DNS Server IP >
c:\>nslookup -type=soa  < Source DC DNS domain name > <source DCs secondary DNS Server IP >
c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs primary DNS Server IP >
c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs secondary DNS Server IP >

      たとえば、フォレストのドメイン内 CHILD.CONTOSO.COM の DC がプライマリとセカンダリの contoso.com DNS サーバー IP "10.45.42.99" と "10.45.42.101" で構成されている場合、NSLOOKUP 構文は次のようになります。

      c:\>nslookup -type=soa  child.contoso.com 10.45.42.99
c:\>nslookup -type=soa  child.contoso.com 10.45.42.101
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.99
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.101

    注:

    • ターゲット DNS にフォワーダーまたは委任が適切な場合、またはthe_msdcsの場合、_mscs.contoso.com ゾーンの SOA クエリが正しく解決されます。<フォレスト ルート ゾーン>。 _msdcsの場合、正しく解決されません。<クエリ対象の DNS サーバー上のフォレスト ルート ゾーン>は、Windows 2000 ドメインによって作成されたゾーン関係であるフォレスト ルート ゾーン>の<非委任サブドメインです。
    • CNAME レコードは常に_msdcsに登録されます。<フォレスト ルート ゾーン> (非ルート ドメインの DC の場合でも)。
    • 名前解決のために ISP DNS サーバーを指す DC またはメンバー コンピューターの DNS クライアントを構成することは無効です。 唯一の例外は、ISP が契約されており (つまり、有料)、現在 Active Directory フォレストの DNS クエリをホスト、転送、または委任していることです。
    • 通常、ISP DNS サーバーは動的 DNS 更新を受け入れないので、CNAME、Host、SRV の各レコードを手動で登録する必要があります。

  2. ソース DC が CNAME レコードを登録していることを確認する

    "PING を使用して Active Directory の名前解決を確認する" の手順 1 を使用して、ソース DC の現在の CNAME を見つけます。

    ソース DC のコンソールでを実行 ipconfig /all して、ソース DC が名前解決のためにポイントする DNS サーバーを決定します。

    c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99                        <primary DNS Server IP
                                           10.45.41.101                      <secondary DNS Server IP

    NSLOOKUP を使用して、ソース DC の CNAME レコードについて現在の DNS サーバーにクエリを実行します (「PING を使用して Active Directory の名前解決を確認する」の手順を参照してください)。

    c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs primary DNS Server IP >
c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs secondary DNS Server IP>

    この例では、contoso.com ドメインの contoso-dc2 の NTDS Settings オブジェクトGUID は 8a7baee5-cd81-4c8c-9c0f-b10030574016 です。 DNS 名解決のプライマリとして "10.45.42.99" を指します。 NSLOOKUP 構文は次のようになります。

    c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.99
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.101

    ソース DC が名前解決を指す DNS サーバーに CNAME レコードを登録していない場合は、ソース DC から次のコマンドを実行します。 次に、CNAME レコードの登録を再確認します。

    c:\>net stop netlogon & net start netlogon

    注:

    • CNAME レコードは常に_msdcsに登録されます。<フォレスト ルート ゾーン> (非ルート ドメインの DC の場合でも)。
    • CNAME レコードは、OS の起動時、NETLOGON サービスの起動中、および後で定期的な間隔で NETLOGON サービスによって登録されます。
    • 同じ名前の DC を昇格するたびに、異なる objectGUID を持つ新しい NTDS Settings オブジェクトが作成され、異なる CNAME レコードが登録される場合があります。 ソースが 1 倍を超える昇格を行っている場合は、ソース DC の最後の昇格に基づく CNAME レコードと、移行先 DC の NTDS Settings オブジェクトの objectGUID の登録を確認します。
    • OS の起動時のタイミングの問題により、動的 DNS 登録の成功が遅れる可能性があります。
    • DC の CNAME レコードが正常に登録されたが、後で消えた場合は、KB953317チェック。 異なるレプリケーション スコープ内の重複 DNS ゾーン、または DNS サーバーによる過度に積極的な DNS 清掃。
    • ソース DC が名前解決をポイントする DNS サーバーで CNAME レコードの登録が失敗している場合は、SYSTEM イベント ログの NETLOGN イベントで DNS 登録エラーを確認します。

  3. ソース DC がホスト レコードを登録したことを確認する

    ソース DC のコンソールから を実行 ipconfig /all して、ソース DC が名前解決のためにポイントする DNS サーバーを決定します。

    c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                           10.45.42.101<- Secondary DNS Server IP>

    NSLOOKUP を使用して、ホスト レコードの現在の DNS サーバーに対してクエリを実行します。

    c:\>nslookup -type=A+AAAA  <fully qualified hostname of source DC> <source DCs primary DNS Server IP >
c:\>nslookup -type=A+AAAA <fully qualified hostname of source DC> <source DCs secondary DNS Server IP>

    引き続き、contoso.com ドメインの contoso-dc2 のホスト名の例は 8a7baee5-cd81-4c8c-9c0f-b10030574016 であり、DNS 名解決のプライマリとして self (127.0.0.1) を指します。NSLOOKUP 構文は次のようになります。

    c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.99
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.101

    ソース DC セカンダリ DNS サーバー IP アドレスに対して NSLOOKUP コマンドを繰り返します。

    ホスト "A" レコードを動的に登録するには、コンピューターのコンソールから次のコマンドを入力します。

    c:\>ipconfig /registerdns

    注:

    • Windows 2000 から Windows Server 2008 R2 コンピューターはすべて、IPv4 ホスト "A" レコードを登録します。
    • Windows Server 2008 および Windows Server 2008 R2 コンピューターはすべて、IPv6 ホスト "AAAA" レコードを登録します。
    • ホスト "A" レコードと "AAAA" レコードは、コンピューターのプライマリ DNS サフィックス ゾーンに登録されます。
    • ネットワーク ケーブルが接続されていない NIC を無効にします。
    • ネットワーク上の DC およびメンバー コンピューターにアクセスできない NIC でホスト レコードの登録を無効にします。
    • ネットワーク カード プロパティの [IPv6] チェック ボックスをオフにして、IPv6 プロトコルを無効にすることはサポートされていません。

  4. 宛先 DC が有効な DNS サーバーを指していることを確認します

    宛先 DC で、DNS クライアント設定が、_msdcsをホスト、転送、委任する現在オンラインの DNS サーバーのみを指していることを確認します。<フォレスト ルート ドメイン> ゾーン (つまり、contoso.com フォレスト内のすべての DC は、the_msdcs.contoso.com ゾーン内の CNAME レコードを登録します)。

    および

    Active Directory ドメインの DNS ゾーン (つまり、contoso.com ドメイン内のコンピューターは、contoso.com ゾーンにホスト レコードを登録します)。

    および

    Active Directory ドメイン名と異なる場合は、コンピューターのプライマリ DNS サフィックス ドメイン (Technet の記事「 名前空間の不整合」を参照してください)。

    DNS サーバーがホスト、転送、またはデリゲート (つまり、"解決可能") をホストしていることを検証するためのオプションは、次のとおりです。

    • DNS の DNS 管理ツールを起動し、ソース DC が名前解決のためにポイントする DNS サーバーが問題のゾーンをホストすることを確認します。

      または

    • NSLOOKUP を使用して、ソース DC が指すすべての DNS サーバーが、問題の DNS ゾーンのクエリを解決できることを確認します。

      宛先 DC のコンソールで IPCONFIG /ALL を実行します。

      c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                                      10.45.42.103<- Secondary DNS Server IP>

      宛先 DC のコンソールから次の NSLOOKUP クエリを実行します。

      c:\>nslookup -type=soa  <Source DC DNS domain name> <destinatin DCs primary DNS Server IP >
c:\>nslookup -type=soa  < Source DC DNS domain name > <destination DCs secondary DNS Server IP >
c:\>nslookup -type=soa  _msdcs.<forest root DNS domain> <destination DCs primary DNS Server IP >
c:\>nslookup -type=soa  _msdcs.<forest root DNS name> <destination DCs secondary DNS Server IP>

    たとえば、contoso.com フォレストの CHILD.CONTOSO.COM ドメイン内の DC がプライマリとセカンダリの DNS サーバー IP "10.45.42.102" と "10.45.42.103" で構成されている場合、NSLOOKUP 構文は

    c:\>nslookup -type=soa  child.contoso.com 10.45.42.102
c:\>nslookup -type=soa  child.contoso.com 10.45.42.103
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.102
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.103

    注:

    • ターゲット DNS にフォワーダーまたは委任が適切な場合、またはthe_msdcsの場合、_mscs.contoso.com ゾーンの SOA クエリが正しく解決されます。<フォレスト ルート ゾーン>。 the_msdcs場合、正しく解決されません。<クエリ対象の DNS サーバー上のフォレスト ルート ゾーン>は、Windows 2000 ドメインによって作成されたゾーン関係であるフォレスト ルート ゾーン>の<非委任サブドメインです。
    • CNAME レコードは常に_msdcsに登録されます。<フォレスト ルート ゾーン> (非ルート ドメインの DC の場合でも)。
    • 名前解決のために ISP DNS サーバーを指す DC またはメンバー コンピューターの DNS クライアントを構成することは無効です。 唯一の例外は、ISP が契約済み (つまり有料) であり、現在、Active Directory フォレストの DNS クエリをホスト、転送、または委任していることです。
    • 通常、ISP DNS サーバーは動的 DNS 更新を受け入れないので、CNAME、Host、SRV の各レコードを手動で登録する必要があります。
    • Windows コンピューター上の DNS リゾルバーは、仕様に応じて "スティッキー" です。 このような DNS サーバーが必要なゾーンをホスト、転送、または委任するかどうかに関係なく、クエリに応答する DNS サーバーを使用します。 再び設定すると、DNS サーバーからの応答が "探しているレコードをホストしないか、そのレコードのゾーンのコピーをホストする" であっても、アクティブな DNS が応答している限り、DNS リゾルバーはフェールオーバーして別の DNS サーバーにクエリを実行しません。

  5. 宛先 DC によって使用される DNS サーバーが、ソース DC CNAME レコードと HOST レコードを解決できることを確認します

    宛先 DC のコンソールから を実行 ipconfig /all して、名前解決のために宛先 DC が指す DNS サーバーを決定します。

    DNS Servers that destination DC points to for name resolution:

c:\>ipconfig /all
…
  DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                             10.45.42.103<- Secondary DNS Server IP>

    宛先 DC のコンソールから、 を使用 NSLOOKUP して、ソース DC CNAME レコードとホスト レコードに対して宛先 DC に構成されている DNS サーバーに対してクエリを実行します。

    c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs secondary DNS Server IP>
c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs secondary DNS Server IP>

    この例では、フォレスト ルート ドメイン内の GUID 8a7baee5-cd81-4c8c-9c0f-b10030574016 の contoso.com ドメイン内 Contoso.com の contoso-dc2 は、DNS サーバー "10.45.42.102" と "10.45.42.103" を指しています。 NSLOOKUP 構文は次のようになります。

    c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.102
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.103
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102

  6. ソース DC と宛先 DC によって使用される DNS サーバー間の関係を確認する

    ソースと宛先ホストによって使用される DNS サーバーが、_msdcsの AD 統合コピーをホストする場合。<フォレスト ルート>と<プライマリ DNS サフィックス> ゾーン、次のチェック。

    • レコードが登録された DNS と、レコードが照会されている DNS の間のレプリケーション待機時間。
    • レコードが登録されている DNS とクエリ対象の DNS の間のレプリケーション エラー。
    • 関心のあるレコードをホストする DNS ゾーンは、異なるレプリケーション スコープに留まり、したがって、異なる内容に留まるか、または 1 つ以上の DC で CNF/競合が発生します。

    ソースと宛先の DC によって使用される DNS ゾーンが DNS ゾーンのプライマリ コピーとセカンダリ コピーに格納されている場合は、次のチェック。

    • ゾーンのプライマリ コピーをホストする DNS では、[ゾーン転送を許可する] チェック ボックスが有効になっていません。
    • [次のサーバーのみ] チェック ボックスがオンになっていますが、セカンダリ DNS の IP アドレスがプライマリ DNS の許可リストに追加されていません。
    • ゾーンのセカンダリ コピーをホストしている Windows Server 2008 DNS 上の DNS ゾーンは、 KB953317のため空です。

    ソースと宛先 DC で使用される DNS サーバーに親/子関係がある場合は、次のチェック。

    • 下位ゾーンに委任されている親ゾーンを所有する DNS の委任が無効です。
    • 上位の DNS ゾーンを解決しようとしている DNS サーバー上のフォワーダー IP アドレスが無効です (たとえば、child.contoso.com の DC は、ルート ドメイン内の DNS サーバーに conto.com ゾーン内のホスト レコードを解決しようとしています)。

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。