Windows ベースのコンピューターをドメインに参加させるときに発生するエラーのトラブルシューティング方法

適用対象: Windows Server 2016Windows Server 2012 R2Windows Server 2012

概要


この記事では、Windows を実行しているクライアント コンピューターをドメインに参加させるときに発生する可能性のあるいくつかの一般的なエラー メッセージについて説明します。 この記事では、これらのエラーのトラブルシューティングについても説明します。

Netsetup.log ファイルの検索先


Windows クライアントは、ドメイン参加操作の詳細を %windir%\debug\Netsetup.log ファイルに記録します。

ネットワーク エラー メッセージと解決方法


エラー 1

解決方法

ドメイン名を入力するときは、ネットワーク基本入出力システム (NetBIOS) 名ではなく、ドメイン ネーム システム (DNS) 名を入力してください。 たとえば、ターゲット ドメインの DNS 名が contoso.com である場合、NetBIOS ドメイン名 「contoso」の代わりに 「contoso.com」と入力します。

さらに、コンピューターがターゲット ドメインの DNS ゾーンをホストする DNS サーバーに到達できること、またはそのドメイン内の DNS 名を解決できることを確認します。 このクライアントで正しい DNS サーバーが優先 DNS として構成され、クライアントがそのサーバーに接続していることを確認します。 これを確認するには、次のコマンドのいずれかを実行します。

  • nltest /dsgetdc:<netbios domain name> /force
  • nltest /dsgetdc:<DNS domain name> /force

エラー 2

解決方法

ドメイン名を入力するときは、NetBIOS 名ではなく、必ず DNS 名を入力してください。

さらに、コンピューターがターゲット ドメインの DNS ゾーンをホストする DNS サーバーに到達できること、またはそのドメイン内の DNS 名を解決できることを確認します。 このクライアントで正しい DNS サーバーが優先 DNS として構成され、クライアントがそのサーバーに接続していることを確認します。 これを確認するには、次のコマンドのいずれかを実行します。

  • nltest /dsgetdc:<netbios domain name> /force
  • nltest /dsgetdc:<DNS domain name> /force

エラー 3

解決方法

ドメイン名を入力するときは、NetBIOS 名ではなく、必ず DNS 名を入力してください。

さらに、コンピューターをドメインに参加させる前に、コンピューターを再起動します。

エラー 4

解決方法

ドメインに参加しようとしているコンピューターを再起動して、ドメインサーバーへの接続に余裕がないことを確認します。

ドメイン名を入力するときは、NetBIOS 名ではなく、必ず DNS 名を入力してください。

エラー 5

解決方法

コンピューターがターゲット ドメインの DNS ゾーンをホストする DNS サーバーに到達できること、またはそのドメイン内の DNS 名を解決できることを確認します。 このクライアントで正しい DNS サーバーが優先 DNS として構成され、クライアントがそのサーバーに接続していることを確認します。 これを確認するには、次のコマンドのいずれかを実行します。

  • nltest /dsgetdc:<netbios domain name> /force
  • nltest /dsgetdc:<DNS domain name> /force

ドメイン名を入力するときは、NetBIOS 名ではなく、必ず DNS 名を入力してください。

また、ネットワーク アダプター ドライバーを更新することもできます。

エラー 6

解決方法

ドメインにコンピューターを参加させる前に、すべてのドライブへのすべてのマップされた接続をクリアしていることを確認します。

ドメインに参加しようとしているコンピューターを再起動して、ドメインサーバーへの接続に余裕がないことを確認します。

ドメイン名を入力するときは、NetBIOS 名ではなく、必ず DNS 名を入力してください。

エラーは一時的である可能性があります。 後でやり直してください。 問題が解決しない場合は、クライアントが接続している DC の状態 (アクティブな接続、ネットワーク接続など) を確認します。 問題が解決しない場合は、DC を再起動する必要があります。

エラー 7

解決方法

コンピューターがターゲット ドメインの DNS ゾーンをホストする DNS サーバーに到達できること、またはそのドメイン内の DNS 名を解決できることを確認します。 このクライアントで正しい DNS サーバーが優先 DNS として構成され、クライアントがそのサーバーに接続していることを確認します。 これを確認するには、次のコマンドのいずれかを実行します。

  • nltest /dsgetdc:<netbios domain name> /force
  • nltest /dsgetdc:<DNS domain name> /force

ドメイン名を入力するときは、NetBIOS 名ではなく、必ず DNS 名を入力してください。

クライアント コンピューターのネットワーク アダプターに最新のドライバーがインストールされていることを確認します。

参加しているクライアントと、必要なポートおよびプロトコルを介したターゲット DC との間の接続を確認します。

 TCP Chimney オフロード機能と IP オフロードを無効にします。

エラー 8

解決方法

相対ID (RID) 操作マスターをホストする DC がオンラインで機能していることを確認します。 詳細については、次を参照してください。イベント ID 16650: Windows 2000 および Windows Server 2003 でアカウント識別子アロケータの初期化が失敗する

net query fsmo コマンドを使用して、どの DC に RID マスターの役割があるかを判断することができます。

Active Directory がすべての DC 間でレプリケートしていることを確認します。 エラーを検出するには、次のコマンドを使用します。

repadmin /replsummary /bysrc /bydest /sort:delta

エラー 9

解決方法

クライアント コンピューターのネットワーク アダプターに最新のドライバーがインストールされていることを確認します。

参加しているクライアントと、必要なポートおよびプロトコルを介したターゲット DC との間の接続を確認します。

 TCP Chimney オフロード機能と IP オフロードを無効にします。

この問題は、以下のいずれかの状況で発生する可能性もあります。

  • ネットワーク デバイス (ルーター、ファイアウォール、または VPN デバイス) は、MSRPC プロトコルで使用されるポートとプロトコルを介して接続をブロックしています。
  • ネットワーク デバイス (ルーター、ファイアウォール、または VPN デバイス) は、参加しているクライアントと DC との間のネットワーク パケットを拒否しています。

次の記事には、ポートの要件情報が記載されています。

832017 Windows のサービス概要およびネットワーク ポート要件

179442 ドメインと信頼関係のためのファイアウォールを構成する方法

エラー 10

解決方法

このエラーは、ドメイン参加 UI を使用して、ターゲット DNS ドメインを指定して、Windows 7 または Windows Server 2008 R2 ワークグループ コンピューターを Active Directory ドメインに参加させるときに発生します。 このエラーを修正するには、「2018583 Windows 7 または Windows Server 2008 R2 のドメイン参加により「このコンピューターのプライマリ ドメイン DNS 名を "" に変更できませんでした....」というエラーが表示される 」」を参照してください。

認証エラー メッセージと解決方法


エラー 1

解決方法

ドメインにコンピューターを追加する権限があり、ドメイン管理者が定義したクォータを超えていないことを確認します。

コンピューターをドメインに参加させるには、Active Directory でコンピューター オブジェクトの作成権限をユーザー アカウントに付与する必要があります。

 既定では、管理者以外のユーザーは、最大 10 台のコンピューターを Active Directory ドメインに参加させることができます。

エラー 2

解決方法

DNS サーバー上の正しい IP アドレスを使用してドメイン コントローラー (DC) が登録され、Active Directory アカウントにサービス プリンシパル名 (SPN) が正しく登録されていることを確認します。

エラー 3

解決方法

ドメインにコンピューターを追加する権限があることを確認します。 コンピューターをドメインに参加させるには、Active Directory でコンピューター オブジェクトの作成権限をユーザー アカウントに付与する必要があります。

さらに、指定されたユーザー アカウントがローカルでクライアント コンピューターにログオンできることを確認します。 これを行うには、[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [ユーザー権利の割り当て] の下でグループ ポリシーの [ローカル ログオンを許可する] 設定を構成します。

エラー 4

解決方法

ドメインにコンピューターを追加するための資格情報を入力するよう求められたら、既存の Active Directory ユーザー アカウントの正しいユーザー名とパスワードの組み合わせを使用します。

エラー 5

解決方法

このエラーは、ドメイン参加がターゲット ドメインを検索して、一致するコンピューター アカウントが既に作成されているかどうか、または参加動作がターゲット ドメインでコンピューター アカウントを動的に作成する必要があるかどうかを確認する際に、ログに記録される一時的なエラーである可能性があります。

エラー 6

解決方法

このエラーは、Kerberosトークン サイズが最大既定サイズより大きい場合に発生する可能性があります。 この状況の場合は、ドメインに参加しようとしているコンピューターの Kerberos トークン サイズを増やす必要があります。 詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。

935744 Windows Server 2003 ベースのドメイン コントローラーを使用して Windows XP ベースのクライアント コンピューターをドメインに参加させると、次のエラーメッセージが表示されます。 「この操作を完了するのに十分な記憶領域がありません」

327825 ユーザーが多数のグループに所属している場合の Kerberos 認証に関する問題

エラー 7

解決方法

この問題は、通常、ドメイン参加操作のために接続されているクライアント コンピューターと DC の間の SMB 署名の設定が一致していないことに関連しています。 環境内の現在および推奨の値をさらに詳しく調べるには、次のドキュメントを参照してください。

281648 エラー メッセージ: アカウントはこのステーションからログインする権限がありません

823659 セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの問題が発生する可能性があります

エラー 8

解決方法

ドメインに参加しようとしている DC に Windows タイム サービスが開始されていることを確認します。  詳細については、「Windows Server 2003 Service Pack 1 にアップグレードした後、Windows タイム サービスがイベント ID 7023 を生成する可能性があります」を参照してください。