ドメイン コント ローラーのシステム ログにイベント ID 11

現象

次のイベントは、1 つまたは複数のドメイン コント ローラーのシステム ログに記録される可能性があります。


このイベントは、他のサービス プリンシパル名にも適用可能性があります。たとえば、このイベントは、ホストに適用可能性がありますもとNetBIOSComputerName

原因

この問題は、2 つまたは複数のコンピューター アカウントがある、同じサービス プリンシパル名 (SPN) が登録されているために発生します。キー配布センター (KDC) チケットの要求を受信して、関連する SPN が存在するフォレスト全体の検証のため 1 つ以上の時間とグローバル カタログ (GC) で確認されると、イベント ID 11 が記録されます。

解決策

この問題を解決するには、Spn が重複しているコンピューター アカウントを検索します。重複した SPN を持つコンピュータを見つけた場合、ドメインからコンピューター アカウントを削除するか、コンピューターをドメインから外して再度参加するか、 または ADSIEdit を使用して間違った SPN を持つコンピューター上の SPN を修正することができます。

Spn が重複しているコンピューター アカウントを検索するには、次の方法のいずれかを使用します。

方法 1: LDP サポート ツールを使用します

注: Windows 2000 サポート ツールがインストールされていない場合は続行する前に Windows 2000 CD-ROM からインストールします。サポート ツールのセットアップの実行可能ファイルは、cd-rom のためのフォルダーにあります。インストールでは、コンピューターを再起動する必要はありません。ただし、環境変数を更新するコンピューターを再起動する必要があります。

  1. [スタート] ボタン [実行] をクリックして、 LDPと入力し、[ OK] をクリックします。
  2. 接続] をクリックし、[接続] をクリックします。
  3. 既定の設定のままにし、し、[ OK] をクリックします。

    注: 期待される結果が表示されない場合は場合、は、グローバル カタログ ポート (3268) を使用して別の検索をしてください (389) の既定の設定ではなく。
  4. [接続] をクリックし、[バインド] をクリックします。
  5. 既定の設定のままにし、し、[ OK] をクリックします。
  6. ビュー] をクリックし、[ツリー] をクリックします。
  7. ツリー ビュー ] ダイアログ ボックスで次のように入力します。 DC =、DC = com のドメインは、[ BaseDN ] ボックスにします。
  8. [参照] をクリックし、[検索] をクリックします。
  9. DC を入力、[検索] ダイアログ ボックスでDC の =、[ BaseDN ] ボックスで com を = します。
  10. [検索] ダイアログ ボックスで次のように入力します。 (サービス プリンシパル名= ホスト/mycomputer.mydomain.com) [フィルター ] ボックスにします。システム ログにエラーで参照されているサービス プリンシパル名は、次の使用例と異なる場合、エラーを参照するサービス プリンシパル名を入力します。


    注: 期待される結果が表示されない場合は場合、は、検索を実行してください"ホストと「正確な SPN に対してのみ、イベントの id。 検索ではなく
  11. [スコープ] で、[サブツリー] をクリックします。
  12. [実行] をクリックします。

方法 2: Ldifde ユーティリティを使用します

フォレストの SPN をダンプするのにには、Ldifde ユーティリティを使用します。

  1. 、ドメイン コント ローラーからコマンド プロンプトを開き、次の文字列を入力します。

    ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "servicePrincipalName=HOST/mycomputer*)" -p subtree
    (フォレスト ルートの DN がホストで使用されるパラメーターを使用する、-t 3268 グローバル カタログ (GC) サーバーが、クエリで使用され、明示的な識別名 (DN) を指定するには、-d パラメーターを使用しないことを指定するためまたはマイ コンピューター * パラメーターです。したがって、この文字列を含むすべての Spn を確認できます。
  2. Check_SPN.txt ファイルをメモ帳で開くし、イベント ログで報告されている SPN を検索します。
  3. ユーザー アカウントとコンピューター アカウントが、SPN があるときに注意してください。

方法 3:

次のマイクロソフト TechNet の記事では、querySpn.vbs スクリプトを使用します。スクリプトを使用するには、コードをコピーし、メモ帳に貼り付ける querySpn.vbs としてスクリプトを保存します。次のコマンドを使用してスクリプトを実行します。
cscript spnquery.vbs ホストまたはマイ コンピューター * > check_SPN.txt
方法 2 で説明するようにより、方法 3 のスクリプトから取得した出力ファイルの check_SPN.txt に同じ方法を使用できます。

状況

マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
プロパティ

文書番号:321044 - 最終更新日: 2017/02/01 - リビジョン: 1

フィードバック