AD レプリケーション エラー 8477 のトラブルシューティング: レプリケーション要求が投稿されました。応答を待機しています

この記事では、Active Directory レプリケーションがエラー 8477 で失敗する問題について説明します。"レプリケーション要求が投稿されました。応答を待機しています。

適用対象: Windows Server 2012 R2
元の KB 番号: 2758780

現象

この記事では、Active Directory レプリケーション エラー 8477 のトラブルシューティングに関連する症状、原因、解決の手順について説明します。応答を待機しています。

この記事で説明する症状は、一般的にイベント 8477 の発生に関連しますが、レプリケーションの低速または遅延に関連する他のイベントでも観察される場合があります。 このような問題をトラブルシューティングする場合は、レプリケーションの遅延を引き起こす可能性があるすべての要因を考慮し、それに応じて修復する必要があります。

/showreps /verbose repadmin.exe からの出力では、レプリケーションの試行がエラー 8477 で失敗したことが報告される場合があります 。 "レプリケーション要求が投稿されました。応答を待機しています"

DC=Contoso、DC=com
RPC を使用した Default-First-Site-Name\DomainController
DSA オブジェクト GUID: <ソース DC ntds settings オブジェクト オブジェクト guid>
アドレス: <ソース DC ntds settings オブジェクト オブジェクト guid>._msdcs.Contoso.Com
DSA 呼び出し ID: <ソース DC NTDS DB 呼び出し ID>
プリエンプトされた書き込み可能なCOMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS DO_SCHEDULED_SYNCS
USN: 1158544/OU、111052/PU
最後の試行 @ <Date Time> は通常の理由で遅延しました。結果は 8477 (0x211d):
レプリケーション要求が投稿されました。応答を待機しています。
前回の成功 @ <日付時刻>

/queue repadmin.exe からの出力では、多数のキューに登録された受信レプリケーション要求と、前例のない長い実行時間が報告される場合があります

Repadmin /queue
repadmin running command /queue against server localhost

キューには 26 個の項目が含まれています。
現在のタスクは、日付時刻>に<実行を開始しました。
タスクは 86 分 12 秒間実行されています。

[6485] 優先度 590 のエンキューされた<日付時刻>
ソースからの同期
NC DC=Contoso,DC=com
DC Default-First-Site-Name\DomainController
DC オブジェクト GUID <ソース DC ntds settings オブジェクト オブジェクト guid>
DC トランスポート addr <source DC ntds settings オブジェクト オブジェクト guid>._msdcs.Contoso.com
書き込み可能な定期的なNEVER_NOTIFYをプリエンプトASYNCHRONOUS_OPERATION

dcdiag.exe を使用する場合、最近昇格したドメイン コントローラーの初期化が遅れ、初期同期の完了を待つ可能性があります

ディレクトリ サーバーの診断

初期セットアップの実行:
ホーム サーバーを検索しようとしています...
ホーム サーバー = DomainController
DomainController のディレクトリ サービスの初期化が完了していません。
ディレクトリ サービスがそれ自体を同期済みと見なすには、
このレプリカの少なくとも 1 つのレプリカとの初期同期を試行する
サーバーの書き込み可能なドメイン。 Rid 情報も Rid から取得する必要があります。
FSMO ホルダー。
ディレクトリ サービスは、他のサービスを許可するイベントを通知していません
要求を受け入れる準備ができていることを知っています。 キーなどのサービス
配布センター、サイト間メッセージング サービス、および NetLogon は、
このシステムを適格なドメイン コントローラーと見なします。
* 特定された AD フォレスト。
初期情報の収集を完了しました。
BOULDERDC01のディレクトリ サービスの初期化が完了していません。
ディレクトリ サービスがそれ自体を同期済みと見なすには、
このレプリカの少なくとも 1 つのレプリカとの初期同期を試行する
サーバーの書き込み可能なドメイン。 Rid 情報も Rid から取得する必要があります。
FSMO ホルダー。
ディレクトリ サービスは、他のサービスを許可するイベントを通知していません
要求を受け入れる準備ができていることを知っています。 キーなどのサービス
配布センター、サイト間メッセージング サービス、および NetLogon は、
このシステムを適格なドメイン コントローラーと見なします。
初期情報の収集を完了しました。

dcdiag.exe を使用する場合、"レプリケーション" テスト ケースで "レプリケーション待機時間の警告" が発生する可能性があります

テストの開始: レプリケーション
レプリケーション待機時間の警告
DomainController: 実行時間の長いレプリケーション操作が進行中です
ジョブは 84 分 22 秒間実行されています。
このパスに沿った新しい変更のレプリケーションは遅延されます。
これは、新しい接続の場合、または長時間ダウンしているシステムの場合は正常です。
優先度 90 のエンキューされた<日付時刻>
Op: ソースからの同期
NC DC=Contoso,DC=com
DSADN <ソース DC ntds settings オブジェクト オブジェクト guid>

DSA トランスポート アドイン <ソース DC ntds settings オブジェクト オブジェクト guid>._msdcs.Contoso.com
.........................DomainController に合格したテスト レプリケーション

'NTDS レプリケーション' イベント 1580 は、ディレクトリ サービス イベント ログに記録される可能性があります

原因

8477 (レプリケーション要求が投稿されました。応答を待っている) 状態は情報であり、通常の Active Directory レプリケーション操作を表します。レプリケーションはソースから現在進行中であり、移行先のドメイン コントローラー データベース レプリカにまだ適用されていないことを示します。

ただし、このイベントが長期間存在することは、移行先ドメイン コントローラーでの Active Directory レプリケーションに関する問題を示している可能性があります。 以下のような原因が考えられます。

1. 使用可能な物理メモリが少ない、待機時間が長い、またはネットワーク リンク Low-Bandwidth、ドメイン コントローラーがレプリケートするデータの量に対する CPU 使用率の過剰またはディスク I/O
2. Active Directory Domain Services内のオブジェクトに対する高い変更率 (AD DS)
3. 通常のレプリケーション機能を妨げたり遅延させたりする可能性があるサード パーティ製ユーティリティ
4. リンク値レプリケーションが有効になっていない大規模なグループ (5000 を超えるメンバー)
5. サイズの大きな数のスキーマ属性が変更またはインデックス付けされた Active Directory スキーマに対する最近の変更

解決方法

レプリケーション エラー 8477 の調査は、少なくとも最初はレプリケーション パートナーシップ内の宛先ドメイン コントローラーで行う必要があります。 この記事の解決セクションでは、Active Directory 管理者がエラー 8477 の考えられる原因を解決するために使用する必要がある手法について説明します。"原因" セクションに従います。

使用可能な物理メモリが少ない、待機時間が長い、またはネットワーク リンク Low-Bandwidth、ドメイン コントローラーがレプリケートするデータの量に対する CPU 使用率の過剰またはディスク I/O

Active Directory ドメイン コントローラーは、可能な限りいくつかの追加のロールとアプリケーションで構成する必要があります。理想的には、ドメイン コントローラーは、クエリと認証要求に対してのみ使用される単一の目的サーバーである必要があります。 Active Directory のパフォーマンスの問題のトラブルシューティングを行うときは、まず、不要または冗長な追加のアプリケーション、サービス、またはタスクについてシステムを分析することをお勧めします。

最初の手順として、IT プロフェッショナルはタスク マネージャー (および必要に応じてリソース モニター) をチェックして、CPU とメモリの使用量全体が異常に高いか、定義済みのベースラインから逸脱しているかどうかを判断する必要があります。 ベースラインが存在しない場合、Microsoft のベスト プラクティスでは、80% を超える持続的かつ繰り返される CPU 使用率が高いと見なされ、さらに調査する必要があることを示唆しています。

ドメイン コントローラーでの CPU 使用率の高いトラブルシューティング - ドメイン コントローラー での CPU 使用率の高いトラブルシューティング

ディスク使用量に関しては、Active Directory ドメイン コントローラーでは、Ntds.dit ファイルとedb.log ファイルがシステム上で最もアクティブなファイルである必要があります。 これが当てはまるかどうかを判断するには、パフォーマンス ログと分析 (以下に従って) を実行する必要があります。

低帯域幅、高待機時間、またはビジー 状態のネットワーク接続によって、Active Directory ドメイン コントローラーでエラー 8477 が発生する可能性もあります。 ネットワーク パフォーマンス データ メトリックは、パフォーマンス モニター、ネットワーク モニター、またはその他のツールを使用してドメイン コントローラーから収集する必要があります。 レプリケーション トラフィックの監視と測定に関するガイダンスについては、「 Active Directory レプリケーション トラフィック」を参照してください。

Windows Server 2003 ベースのドメイン コントローラーの場合:
IT プロフェッショナルは、プロセッサ、物理ディスク、ネットワーク インターフェイス、および Directory Services カウンターを追加したパフォーマンス モニターを使用して、システムのパフォーマンスの問題を特定して調査することを選択できます。 代わりに、サーバー パフォーマンス アドバイザーは、パフォーマンス モニターから取得されたパフォーマンス メトリックを分析する際の複雑さを軽減できます。 このツールは無料ダウンロードであり、CPU、ネットワーク、メモリ、ディスク I/O を確認して、全体的な使用率と、パフォーマンス データがアイドル状態、正常、または潜在的に問題と見なされるかどうかの判断について詳しく説明します。

Windows Server 2008 以降のベースのドメイン コントローラーの場合:
Windows Server 2008 以降のパフォーマンス モニターには、Server Performance Advisor の主要な機能がすぐに用意されています。 システム データ コレクター セット内では、Active Directory 診断セットは、サーバー パフォーマンス アドバイザーと同様に、Active Directory パフォーマンス調査の主要なメトリックを含むレポートを生成し、Active Directory ドメイン コントローラーでの異常な動作に関する警告を提供します。 レポートの上部には、次の例のような警告が含まれています。

Active Directory Domain Services内のオブジェクトに対する高い変更率 (AD DS)

ビジー状態の Active Directory 環境では、スケジュールされた各レプリケーション間のオブジェクトに多数の変更が発生する可能性があります。 環境内でこれが予想される場合は、効果的なレプリケーションを容易にするために、組織インフラストラクチャのすべての側面を適切にサイズ設定する必要があります。

IT 管理者が多数の変更を認識していないか、予期せず、エラー 8477 を受け取っている場合は、環境内で発生している変更と、それらが予想されているか、またはアプリケーションまたはサービスに関する問題の結果を判断するために調査を行う必要があります。 このタスクを実行するための効果的な方法は、uSNChanged 属性を使用して変更されているオブジェクトを特定することです。特定のドメイン コントローラーの最大 uSNChanged 値は、USN High-Watermark を表します。

イベント 8477 が表示されているドメイン コントローラーに対して repadmin /showreps /verbose を実行すると、現在の High-Watermark が表示され、その後に /OU が表示されます。

DC=Contoso、DC=com
RPC を使用した Default-First-Site-Name\DomainController
DSA オブジェクト GUID: <ソース DC ntds settings オブジェクト オブジェクト guid>
アドレス: <ソース DC ntds settings オブジェクト オブジェクト guid>._msdcs.Contoso.Com
DSA 呼び出し ID: <ソース DC NTDS DB 呼び出し ID>
プリエンプトされた書き込み可能なCOMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS DO_SCHEDULED_SYNCS
USN: 1158544/OU、111052/PU
最後の試行 @ <Date Time> は通常の理由で遅延しました。結果は 8477 (0x211d):
レプリケーション要求が投稿されました。応答を待機しています。
前回の成功 @ <日付時刻>

発生する変更の数に応じて、ドメイン コントローラーに存在する最大 USN が迅速に増加する可能性があります。更新されるオブジェクトを特定するには、ソース レプリケーション パートナーで、関連する名前付けコンテキストに対して次のコマンドを実行することをお勧めします。

Repadmin /showattrDomainControllerNameDC=Contoso,DC=com /subtree /filter:"(uSNChanged>=highestcommitedusn)" /atts:objectclass

Exchange 受信者更新サービス などの特定のアプリケーションまたはサービスは、Active Directory 属性に定期的に変更を加える場合があり、その結果のレプリケーション トラフィックが管理できない場合は、調整が必要になる場合があります。

通常のレプリケーション機能を妨げたり遅延させたりする可能性があるサード パーティ製ユーティリティ

サード パーティ製アプリケーションは、パフォーマンスとサポート可能性のベスト プラクティスを構成して調整する必要があります。 Active Directory パフォーマンスのベスト プラクティスに関して構成されていないアプリケーションによっては、通常の Active Directory ドメイン Controller 関数に影響を与える可能性があります。

注意のアプリケーションには、次のものが含まれます (ただし、これらに限定されません)。

a. ウイルススキャンソフトウェア
b. エージェントの監視
c. ID 同期と管理アプリケーション
d. バックアップ ソフトウェアとエージェント
現在サポートされているバージョンの Windows を実行しているエンタープライズ コンピューターのウイルス スキャンに関する推奨事項

リンク値レプリケーションが有効になっていない大規模なグループ (5000 を超えるメンバー)

リンク値レプリケーションは、Windows 2000 Server フォレストでは使用できません。 元の更新プログラムは 1 つのデータベース トランザクションで記述する必要があり、1 つのトランザクションの実用的な制限は 5,000 値であるため、Windows 2000 Server Active Directory では 5,000 を超える値のメンバーシップはサポートされていません。 このサイズのグループは、そのサイズの属性への変更を記録するために必要なデータベース書き込み操作と、ネットワーク経由でのその多くのデータの転送の両方に関する制限を表します。 これは、グループ メンバーシップのリンク値レプリケーション (LVR) が有効になっている Windows 2003 以降の機能レベルのフォレストでは異なります。

ドメインが 2000 機能レベルからアップグレードされた場合、実行されるすべてのグループのメンバーシップはレガシと見なされ、レプリケーションの問題が引き続き発生する可能性があります。

1. 2003 機能レベルより前のフォレストでは、グループを 5,000 人を超えない小さなグループに分割する必要があります。 グループの入れ子を使用することもできます。グループを使用してアプリケーションとサービスを提供することで、それをサポートできます。

2. 2003 機能レベルのフォレストは、グループ メンバーを削除して復元して LVR 対応にすることができます。 時間の経過と共に、セキュリティ プリンシパルがグループに追加され、グループから削除されると、メンバーは LVR に対して徐々に有効になります。イベント 1479 と 1519 は、大きなグループがレプリケーションの問題と遅延を引き起こしている場合に、ディレクトリ サービス イベント ログにも一般的に記録されます。

グループ内の repadmin /showobjmeta レガシ メンバーを決定し、問題を解決するために必要に応じて LVR 対応メンバーに変換すると、これらのユーザーは値 LEGACY の 'Type' で示されます。

repadmin /showobjmeta DomainControllerName "CN=Administrators,CN=Builtin,DC=Contoso,DC=Com"

3 エントリ。
Type 属性 Last Mod Time Originating DSA Loc.USN Org.USN Ver
======= ============ ============= ================= ======= ======= ===
識別名
=============================
PRESENT メンバー <日付時刻> 既定-First-Site-Name\DomainController 8203 8203 1
CN=Administrator,CN=Users,DC=Contoso,DC=Com
PRESENT メンバー <日時> 既定-First-Site-Name\DomainController 12398 12398 1
CN=Enterprise Admins,CN=Users,DC=Contoso,DC=Com
PRESENT メンバー <日時> 既定-First-Site-Name\DomainController 12378 12378 1
CN=Domain Admins,CN=Users,DC=Contoso,DC=Com
LEGACY メンバー <の Date Time> Default-First-Site-Name\DomainController 198458 198458 1 CN=mjordan,CN=Users,DC=Contoso,DC=Com

サイズの大きな数のスキーマ属性が変更またはインデックス付けされた Active Directory スキーマに対する最近の変更

属性定義は、スキーマ ディレクトリ パーティションの attributeSchema オブジェクトに格納されます。 attributeSchema オブジェクトに対する変更は、スキーマの変更が完了するまで他のレプリケーションをブロックします。 スキーマ ディレクトリ パーティション以外のディレクトリ パーティションのレプリケーション中に、レプリケーション システムは最初に、ソースと宛先ドメイン コントローラーのスキーマ バージョンが一致しているかどうかを確認します。 バージョンが同じでない場合、スキーマ ディレクトリ パーティションが同期されるまで、他のディレクトリ パーティションのレプリケーションが再スケジュールされます。

アプリケーションに含まれる LDIFDE またはカスタマイズされたバイナリ (Microsoft Exchange、Operations Manager など) を使用してスキーマを変更すると、スキーマ ディレクトリ パーティションにインデックス付き属性が追加される場合があります。 更新プログラムのサイズによっては、大規模なデータベースでレプリケーションの遅延が発生する可能性があります。

このような場合、8477 状態は一時的な問題として表示される可能性があり、優先順位の高いスキーマの更新が正常にレプリケートされ、他のすべてのレプリケーションがディレクトリ内のバックログの変更に追いついたら、自己解決する必要があります。

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。

詳細

Active Directory レプリケーション モデルのしくみ