[NT]Active Directory の複製と知識整合性チェッカー

この記事は、以前は次の ID で公開されていました: JP257844
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
現象
Windows 2000 のドメイン コントローラのイベント ログにおいて、以下のいずれかのエラー メッセージが表示されることがあります。

ソース "NTDS Replication" からのイベント ID 1645 :
"別のドメイン コントローラに対する、認証された RPC 呼び出しを実行中に、ディレクトリ サービスがエラーを受け取りました。相手のサーバーに望ましいサービス プリンシパル名 (SPN) が登録されていないというエラーです。
連絡しているサーバーは afb720fd-38c7-4505-aa9f-b658ca124773._msdcs.MyDomain.com です。
使用している SPN は E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mydomain.com@mydomain.com.です。
相手のサーバーとドメインの名前が正しいことを確認してください。また、要求のサービスを提供する KDC の相手のサーバーのコンピュータ アカウント オブジェクトで SPN が登録されていることも確認してください。相手のサーバーが最近昇格された場合は、このコンピュータを認証する前に、KDC にこのコンピュータの ID の知識を複製する必要があります。"
ソース "NTDS KCC" からのイベント ID 1265 :
"次のパラメータで複製リンクを確立しようとしました。パーティション:"CN=Configuration,DC=osram,DC=net ソース DSA DN: CN=NTDSSettings,CN=MyServer,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=MyDomain,DC=com
ソース DSA アドレス: 5e5abf03-e902-48e2-a326-41977dee176d._msdcs.MyDomain.com サイト間トランスポート (存在する場合): 次の状態で終了しました: ログオンエラー: 目的のアカウント名が正しくありません。レコード データは状態コードです。この操作は再試行されます。"
[Active Directory のサイトとサービス] ツール、Active Directory 複製モニタ (REPLMON)、または Repadmin.exe を介して複製パートナーを同期させようとした場合のエラー 。
"ログオン エラー : 目的のアカウント名が正しくありません。"
原因
このエラーが、親、子、またはツリーのルートの信頼関係を持つ異なるドメインの 2 つのドメイン コントローラ間における、Active Directory 複製について報告されている場合は、2 つのドメイン間の信頼関係を表すクリティカル オブジェクトがないことが原因である可能性があります。このオブジェクトは、"trustedDomain" オブジェクト (TDO) として知られており、[Active Directory ユーザーとコンピュータ] ツールのシステム コンテナにあります。この種類のオブジェクトは、[Active Directory ドメインと信頼関係] 管理ツールで表示される信頼関係に直接関連しています。このオブジェクトが Active Directory にない場合は、クロス ドメイン認証は成功せず、前述のエラーが発生します。
解決方法
この手順は、リモート ドメインの TDO がシステム コンテナにない場合にのみ実行してください。この問題を解決するには、以下の手順にしたがってください。
  1. 前述のエラーを報告しているドメインから、そのドメインの PDC FSMO (FlexibleSingle Master Operations) の役割を持つドメイン コントローラで [ActiveDirectory ドメインと信頼関係] 管理ツールを開きます。そのドメインを表すオジェクトを右クリックし、[プロパティ] を選択します。
  2. [信頼関係] タブを選択します。[追加] ボタンを使用して、リモート ドメインに対する双方向の信頼関係を作成します。これは通常 Kerberos 信頼となるので、双方向の信頼を作成することが必要です。信頼される側を作成すると、まず最初に "ActiveDirectory は信頼 ... を検証できません。次のエラーが返されました : アクセスが拒否されました。" と表示されます。[OK] を選択します。[Active Directory ドメインと信頼関係] 管理ツールはその信頼を [ショートカット] として表示することと、その信頼が一時的であることに注意してください。また、信頼する側を追加すると、"新しい信頼を検証するには、ドメイン XXX に対して信頼を管理する権限を持っている必要があります。新しい信頼を検証しますか? " と表示されます。[はい] を選択して、リモート ドメインに対して管理者のアカウント情報を提供します。アカウント情報についての問い合わせがあったら、ユーザー名だけでなくドメイン名も (たとえば NetBIOSDomainName\Administrator) 必ず指定します。返されるエラーは、"Active Directory は信頼 ... を検証できません。次のエラーが返されました :
    アクセスが拒否されました。" です。[OK] を選択します。繰り返しますが、[ActiveDirectory ドメインと信頼関係] 管理ツールは、その信頼を [ショートカット] として表示することと、その信頼が一時的であることに注意してください。
  3. 双方向の信頼関係が作成されたら、以下のコマンドを実行します。NETDOM ユーティリティは Windows 2000 サポート ツールに含まれていて、Windows 2000 Server または Windows 2000 Professional の CD の [\SUPPORT\TOOLS] ディレクトリからインストールできます。
         NETDOM TRUST local_domain /Domain:remote_domain /UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay
    ここで、"local_domain" は、信頼が作成されるドメインであり、"remote_domain"は、信頼される親、子、またはツリーのルートのドメインです。どちらのドメインの場合も、完全修飾ドメイン名 (FQDN) を使用してください。たとえば、"MyDomain.com" とします。この結果、以下のようになります。
         "ドメイン ユーザーに関連したパスワードを入力してください。: (UserD)      オブジェクト ユーザーに関連したパスワードを入力してください。: (UserO)      local_domain.com と remote_domain.com の間の信頼のパスワードをリセットして      います。      local_domain.com と remote_domain.com の間の信頼は正常にリセットされて、検      証されました。      コマンドは正常に完了しました。"
  4. これらの変更が行われた PDC を再起動します。
  5. 再起動したら、Active Directory がセキュリティで保護されたチャンネルを確立し、知識整合性チェッカーがリモート ドメインのドメイン コントローラに対する複製リンクの再確立を試みる時間を考慮します。この間、信頼関係を介したログオンが成功し、イベント ログ エラーが止まっているかをテストします。
状況
弊社では「ショートカット」として再作成された信頼の表示を Windows 2000 の問題として認識しております。
詳細
双方向の信頼関係は、[Active Directory ドメインと信頼関係] において [ショートカット] の信頼として表示され続けますが、この信頼関係は正しく機能し、推移的です。この問題に対してサポートされている修正版が弊社からリリースされるまでは、この信頼を信頼の階層構造に対する最適化であると誤解しないことと、今後も削除しないことが重要です。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 257844 (最終更新日 2000-05-16) をもとに作成したものです。

プロパティ

文書番号:257844 - 最終更新日: 12/05/2015 19:15:35 - リビジョン: 2.0

Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Server

  • kbnosurvey kbarchive kbprb KB257844
フィードバック