Windows のドメイン コント ローラーにグローバル カタログをインストールすることはできません。

適用対象: Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Standard Edition (32-bit x86)

この資料では、ドメイン コント ローラーにグローバル カタログを正常にインストールできないという問題について説明します。この問題は、Windows Server 2003 または Windows 2000 環境で発生します。この問題のトラブルシューティングを行うには、ドメイン コント ローラー診断ツール (dcdiag.exe) レポート、イベント ログ、ネットワーク ポート、および DNS レコードを確認できます。

現象 1

操作マスターとも呼ばれる柔軟な単一マスターの操作、(FSMO) が失われた後に Exchange Server のエラーが発生するロールの所有者およびグローバル カタログです。このような場合は、ドメイン名前付けマスターを除くすべての操作マスター ロールを強制して、次の応答が表示されます。
fsmo メンテナンス: ドメイン名前付けマスターの強制
ドメイン名前付け FSMO を強制する前の安全な転送を試みています。
ldap_modify_sW エラー 0x35 (53 (Unwilling を実行する)。
0000214B は、Ldap 拡張エラー メッセージ: プロセス: と、DSID-032107C 5
LL_NOT_PERFORM)、0 のデータ

0x214b Win32 エラーが返されると、接続、LDAP、または特定のエラー コードによって、役割の転送エラー可能性があります。このような状況では、役割の強制移動は許可されていません。

注: グローバル カタログ サーバーとして構成されている Dsa だけでは、ドメイン名前付けマスターの操作マスター ロールを保持できる必要があります。

その後、削除する子が存在しないドメインを表示します。ただし、これには、次のエラーがトリガーされます。
操作の対象を選択: q
メタデータのクリーンアップ: 選択操作のターゲット
操作の対象を選択しますドメインを一覧表示。
3 個のドメインを検出します。
0 - DC =domainComponentDC = com
1-DC =domainComponentDC =domainComponentDC = com
2-DC =domainComponentDC =domainComponentDC = com
操作の対象を選択: [ドメイン 2
サイト - CN =既定最初のサイト名CN = サイト、CN = 構成、DC =domainComponentDC = com
ドメインの DC =domainComponentDC =domainComponentDC = com
現在サーバーがありません。
現在の名前付けコンテキストがありません。
操作の対象を選択: q
メタデータのクリーンアップ: 選択したドメインを削除します。
DsRemoveDsDomainW エラー 0x20ab (相互参照の指定した名前付けの続き
ext 見つかりませんでした。)
メタデータのクリーンアップします。


Sev と MA の子ドメインの詳細については、 Ntdsutil.exe を存在しないドメインを削除するには、"DsRemoveDsDomainW"エラー メッセージが生成されますあたりのエントリを削除しようとするとします。ただし、「サーバーから参照が返されました」のエラーが発生したため、ADSIEdit のエントリを削除できません。

グローバル カタログの占有要件と提供情報の時刻を変更することはできませんが、グローバル カタログは、メンバー サーバーにインストールされません。

現象 2

チェック ボックスを選択することによって、グローバル カタログ サーバーとして Windows 2000 ベースのサーバーまたは Windows Server 2003 ドメイン コント ローラーを構成する、 CN = NTDS 設定オブジェクトです。ただし、ドメイン コント ローラーは、グローバル カタログとして自身をアドバタイズできませんし、30 分ごと、次のイベントがログに記録します。

注: グローバル カタログ サーバーに、サーバーは、エンタープライズ内のすべてのパーティションの読み取り専用コピーをホストする必要があります。このサーバーはドメイン コント ローラーのコピーを保持する必要があります = 子、DC = ルート、DC = com パーティションです。ただし、しません。したがって、この条件が満たされるまで、そのドメイン コント ローラーはグローバル カタログ サーバーにはインストールされません。

知識整合性チェッカー (KCC) が実行されていない場合、またはすべてのソースがダウンしているため、パーティションのレプリカを追加、できない場合、この問題が発生する可能性があります。このような状況は、次の KCC エラー イベントが記録されます。

注: KCC は複製物の追加を再試行します。

ディレクトリがパーティションの占有要件を強制する方法を厳密に制御するパラメーターを使用します。パラメーターは、次のレジストリ サブキーの下にあります。
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Global カタログ パーティションの占有率

レベルは次のとおりです。
  • レベル 0: 占有の要件なし
  • KCC によってレベル 1: サイト内の少なくとも 1 つの読み取り専用パーティションの追加
  • レベル 2: サイト内の少なくとも 1 つのパーティションが完全に同期化
  • レベル 3: 読み取り専用のすべてのパーティション (1 つ以上の同期) の KCC によって追加されたサイト
  • レベル 4: サイト内のすべてのパーティションが完全に同期化
高度なレベルには、下位レベルの要件が含まれます。現在の占有要件は 4 です。このサーバーは、レベル 0 で、現在です。

この前提条件を適用することがなく、グローバル カタログをすぐにインストールする場合は、レジストリ エントリを 0 では、次のレジストリ サブキーの DWORD 値に設定します。
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Global カタログの広告の遅延 (秒)

グローバル カタログは、次に状態をチェックするときにインストールされます。この値も設定できます最大秒数をグローバル カタログをインストールする前に DSA が待機します。

15 分ごとに、次のようなイベントが記録されます。

注: エラーの説明が異なる場合があります。1265 イベントを記録することがありますと、KCC は、レプリケーション リンクを作成できない場合があります。次のいずれかのような状態で、操作も失敗します。
  • DSA 操作は、DNS 参照エラーのため続行できません。私たちは、DNS 問題を解決する必要があります。
  • RPC サーバーが利用可能ではありません。通常、ネットワーク接続の問題を示します。ターゲット DC がオフラインの場合、またはネットワーク ポートがブロックされている場合を確認してください。
  • 対象のプリンシパル名が正しくないです。ソースとターゲットのドメイン コント ローラー間でセキュリティで保護されたチャネルを確認してください。
1 時間ごとに、次のエラー イベントが記録されます。

ディレクトリ パーティション:
DC = ルート、DC = com < 不足しているパーティションの DN パス >

として、グローバル カタログ サーバーになるための前提条件、ドメイン コント ローラーは、フォレスト内のすべてのディレクトリ パーティションの読み取り専用レプリカをホストする必要があります。このイベントは、知識整合性チェッカー (KCC) タスクが完了していないため、またはドメイン コント ローラーが使用不可のソース ドメイン コント ローラーのためのディレクトリ パーティションのレプリカを追加できないために発生します。レプリカを追加しようとするは、次の KCC 間隔で再び発生します。

次のレジストリ サブキーには、ディレクトリ パーティションの占有要件レベルが定義されています。
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global カタログ パーティションの占有率

さらに、ドメイン コント ローラーの診断ログにこのドメイン コント ローラーを渡しません、広告テスト、およびあることをアドバタイズしません、グローバル カタログ サーバーとしてであると主張します。ドメイン コント ローラーの診断チェックを実行して、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
dcdiag/v

現象 3

次のような状況を考えます。
  • 2 つのドメイン コント ローラーがある: 親ドメイン コント ローラーと子ドメインのドメイン コント ローラーです。
  • それらを再構築する必要があるように、ドメイン コント ローラーがクラッシュします。
  • 子ドメインをオフラインにするとします。
このシナリオでは、ドメイン コント ローラーのいずれかのグローバル カタログをインストールできません。子ドメインのいくつかの参照は、Active Directory ドメイン サービス (AD DS) に残ります。さらに、次のイベントがイベント ログに書き込まれます。

----- DCDIAG ----
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org
Role Domain Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org
Warning: CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org is the Domain Owner, but is deleted.
Role PDC Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org
Role Rid Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org
Role Infrastructure Update Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org
......................... HBP failed test KnowsOfRoleHolders

Active Directory 診断ツール (Ntdsutil.exe) から、孤立したドメイン オブジェクトを削除しようとすると、次のエラー メッセージが表示されます。
DsRemoveDsDomainW エラー 0x20ab

ドメインの役割所有者とスキーマ マスターを強制して、Ntdsutil.exe から子ドメインを削除しようとし、次のエラー メッセージが表示されます。

Dsremovedsdomainw のエラー コード 0x2077

Ntdsutil.exe は、孤立した子ドメインのオブジェクトと組み合わせて"DEL: GUID」。消去、または孤立したオブジェクトのnCName属性の値を編集しようとすると、次のエラー メッセージが表示されます。

システムによって所有されているために、属性を変更できません。

現象 4

ドメイン コント ローラーの操作を行いましていないとしてアドバタイズされるグローバル カタログです。ポート 3268 上の接続はできません。

イベント ビューアーでは、次のイベントが表示されます。

このディレクトリ サーバーがないレプリケーション情報を受信いくつかのディレクトリ サーバーから最近。ディレクトリ サーバーの数が表示され、次の間隔に分割します。
複数の 24 時間: 2
1 週間以上: 2
複数の 1 つの月: 2
2 個以上 2 か月。
廃棄の有効期間より多くの: 2
廃棄の有効期間 (日数): 180
時間どおりにレプリケートしないディレクトリ サーバーには、エラーが発生する可能性があります。パスワードの変更を見逃す、認証できない、可能性があります。廃棄 (tombstone) の有効期間内にレプリケートされていないドメイン コント ローラーにより、一部のオブジェクトを削除したことがある、その可能性があります自動的にブロック将来のレプリケーションからが調整されるまで。

Ldp.exe のドメイン コント ローラー経由で接続しようとすると、次のエラー メッセージが表示されます。

エラー < れました >: は、DC01 への接続に失敗します。

さらに、次のエラーは、ドメイン コント ローラー診断ツール (dcdiag.exe) で発生します。

ディレクトリ パーティションの占有要件が満たされていないため、ローカル ドメイン コント ローラーのグローバル カタログへの昇格は延期されました。

次のイベントが記録されます。

としてグローバル カタログになることを前提条件として、ドメイン コント ローラーは、フォレスト内のすべてのディレクトリ パーティションの読み取り専用レプリカをホストする必要があります。知識整合性チェッカー (KCC) タスクが完了していない場合、またはドメイン コント ローラーは使用できないソース ドメイン コント ローラーのためのディレクトリ パーティションのレプリカを追加することはできない場合は、このイベントが発生した可能性があります。

レプリカを追加しようとするは、次の KCC 間隔で再び発生します。

原因


現象 1 の原因

グローバル カタログは、フォレスト内の各ドメイン パーティションからのオブジェクトの読み取り専用コピーをホストします。グローバル カタログをホストするのにコンピューターを選択すると、昇格されるコンピューター上の KCC は、ソース ドメイン コント ローラーから接続オブジェクトを構築するのにはその判断を使用します。ソース ドメイン コント ローラーは、フォレスト内の既存のグローバル カタログまたはドメイン コント ローラーのすべてのドメインのホストの書き込み可能なコピーはパーティションをフォレストに存在します。ドメイン パーティション (すべてのオブジェクトと属性のサブセット) は、受信接続リンクに新しいグローバル カタログ サーバーに KCC によって指定されているソース ドメイン コント ローラーからレプリケートされます。

場合に、この問題が発生する可能性があります。 または複数の次の条件に該当します。
  • グローバル カタログの構成パーティションがインストールされているし、フォレスト内の他のドメイン コント ローラーには、ドメインの相互参照オブジェクトが含まれています。ただし、フォレスト内のドメインのドメイン コント ローラーは存在しません。
  • KCC によって指定されているソース ドメイン コント ローラーのメタデータは、フォレスト内に存在しますが、フォレスト内に現在存在するドメイン コント ローラーではありません。
  • インストールされているグローバル カタログに KCC によって選択されているソース ドメイン コント ローラーは、オフラインまたは電源がオフです。
  • インストールされているグローバル カタログに KCC によって選択されているソース ドメイン コント ローラーはアクセスできません、ネットワーク上で (下のリンクまたはポートがブロックされている) などのネットワーク接続の不足のため。
  • ソース ドメインのグローバル カタログは、非グローバル カタログ ドメイン コント ローラーが正しく選択されていない優先ブリッジヘッド サーバーとして、管理者であるために、ブリッジヘッド サーバーとして動作しているから制約を受けます。
  • インストールされているグローバル カタログは、イベント ログに、エラー状態のため、選択されているソース ドメイン コント ローラーからの接続のリンクを構築できません。
  • ソース ドメイン コント ローラーことはできません着信のレプリケーションを実行選択されたソース ドメイン コント ローラーから接続のリンク上でイベント ログにエラー状態が発生したためです。
ドメイン コント ローラーがフォレストから削除されますが、、そのデータはクリーンアップされませんでした。フォレスト内に存在する孤立したドメインのドメイン コント ローラーを防ぐことがレプリケーションを終了しましたとのそれ自体をグローバル カタログ サーバーとしてアドバタイズします。次の問題は、孤立したドメインにつながる可能性があります。
  • すべてのドメイン コント ローラーから active Directory が削除されますが、ドメイン パーティションの相互参照オブジェクトがまだ存在します。
  • ディレクトリ パーティションがドメインから削除されますが、ディレクトリ パーティションは、レプリケーションが完了する前に再作成します。相互参照オブジェクトは、参照する残留ファントムを発生します。
  • ドメインのドメイン名前付け更新可能性がありますに届いていない問題が発生しているドメイン コント ローラーです。または、新しく昇格されたドメインのドメイン名前付け更新可能性がありますに届いていないドメインの外部の任意のドメイン コント ローラーです。これは、一時的な問題です。

現象 4 の原因

この問題は、サブドメインが AD DS から正しく削除されないために発生します。ドメイン コント ローラーは、このサブドメインとレプリケートできませんし、準備専用のドメイン パーティションのレプリカを取得することはできません。したがって、ない情報で宣伝しない自体のグローバル カタログとして。

現象 1 の回避策

FSMOROLEOWNER 属性を参照して問題を回避するには、"CN = パーティション、CN = 構成、CN = ドメイン、CN ="[ファイル名を指定します。

以前のドメイン名前付けマスターは次の属性をポイントしています。
CN=commonName,CN=commonName,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domainComponent,DC=com

新規のドメイン名前付けマスターは次の NTDS 設定オブジェクトを変更します。
CN=commonName,CN=commonName,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domainComponent,DC=com

ADSIedit では、[子ドメインのオブジェクトを削除することができ、グローバル カタログを提供します。ドメイン コント ローラー診断ツール (dcdiag.exe) も出て、クリーンと Exchange の属性およびアクセス許可を編集することができます。

現象 2 の回避策

警告: イベント 1578 のレジストリの修正候補は、グローバル カタログへの昇格を意図的に高速化の減少の占有レベルを有効にする必要があることを警告します。グローバル カタログが自動的に提供できるように、ディレクトリ サービスの複製の問題を解決することをお勧めします。この問題を解決するには、まず、レプリケーションの遅延が発生するかどうかを判断するか、実際に孤立したドメインのフォレスト環境ではあるかどうか。

場合は、孤立したドメイン、NTDS KCC イベント 1265 が記録がディレクトリ サービス ログに記録されます。同じドメイン パーティションの複製エラーの原因を特定するのにには、このイベントを使用します。ネットワーク接続が適切なネットワーク ポートがブロックされると、TCP 135 などがないことを確認してください。DNS レコードを検索し、登録されているホスト レコードと SRV レコードがすべて良いとなっているクリーンかどうかを確認します。ガベージのレコードがある場合オフにします。

ドメイン コント ローラー間のレプリケーションが正常に動作していることを確認し、実際には、孤立したドメインを確認して後、は、孤立したドメイン オブジェクトをオフにするには Ntdsutil.exe ユーティリティを使用します。そのドメイン内の孤立したドメイン コント ローラー オブジェクトがある場合は、ドメイン コント ローラー オブジェクトを削除することも。孤立したドメインに AD DS を削除するのには、 Active Directory から孤立したドメインを削除する方法を参照してください。

孤立したドメインで孤立したドメイン コント ローラー オブジェクトがまだ存在する場合は、最初にドメイン コント ローラー オブジェクトを削除します。詳細については、失敗したドメイン コント ローラーの降格した後、Active Directory 内のデータを削除する方法を参照してください。

現象 3 の回避策

この問題を回避するには、直接サーバーの戻り値 (DSR) モードで起動し、semantic データベース分析の修正プログラムを実行し、します。修正プログラムが終了した後次のエラーを報告するために実行されています。

不足している subrefs が検出されました

標準モードで再起動する場合でもことはできませんオブジェクトを削除する、親ドメインにnCName属性の値を変更するまでです。次に、ドメイン コント ローラー自身をアドバタイズ、Exchange サーバーとグローバル カタログ サーバーとして。

現象 4 の回避策

この問題を回避するには、 Active Directory ユーザーとコンピューターを使用してサーバーのメタデータをクリーンアップする方法を参照してください。

詳細


サーバーではドメイン コント ローラー、グローバル カタログをインストールすると、アカウントおよびスキーマ情報が新しいグローバル カタログ サーバーにレプリケートされる、イベントに ID 1119 が記録される場合がありますディレクトリ サービス ログのドメイン コント ローラーです。イベントの説明では、コンピューターがそれ自体をグローバル カタログ サーバーとしてアドバタイズしていることを示しています。

ドメイン名前付けマスターがグローバル カタログ サーバーであることを確認するには、以下の手順を実行します。
  1. コマンド プロンプトで次のように入力します。 nltest/dsgetdc: ドメイン名/server: サーバー名、し、Enter キーを押します。
  2. サーバーがGCフラグをアドバタイズしていることを確認します。
たとえば、コマンドを入力すると、 GCフラグが存在する場合、次のようなメッセージが表示されます。
DC: \\サーバー名
アドレス: \\IP アドレス
Dom の Guid。
Dom 名:ドメイン名
フォレスト名: Domain_name.com
Dc サイト名:既定最初のサイト名
当社サイト名:既定最初のサイト名
フラグ: PDC GC DS LDAP KDC TIMESERV 書き込み可能な DNS_FOREST CLOSE_SITE
コマンドは正常に完了しました。

注: Nltest ツールは、Windows 2000 サポート ツールに含まれます。Windows 2000 サポート ツールをインストールするに Windows 2000 CD-ROM のサポート ツール フォルダーを開くし、セットアップ プログラムを実行します。さらに、これらのツールをインストールするには、Administrators グループのメンバーとしてログオンする必要があります。