現象

次のような状況を考えます。

  • Windows Server 2008 R2 ベースのドメイン環境で Windows Server 2008 R2 ベースのドメイン コント ローラーがあります。

  • NT ディレクトリ サービス (NTDS) および Netlogon のドメイン コント ローラーで使用する特定の静的ポートを設定するとします。これを行うは、次のマイクロソフト サポート技術情報 (KB) 資料に記載されている方法に従います。

    制限の Active Directory のレプリケーション トラフィックとクライアント RPC トラフィックが特定のポート

  • 特定の静的ポートのネットワーク トラフィックを有効にするのには、境界ネットワーク (DMZ、非武装地帯、およびスクリーンド サブネットとも呼ばれます) を構成するとします。

  • ドメイン コント ローラーにログオンしようとするとします。

このシナリオで、ドメイン コント ローラーのログオン プロシージャが、予想以上に時間がかかります。さらに、Netlogon サービスに依存する一部のサービスが中断される可能性があります。

また、次の RPC 拡張エラー情報の netlogon.log ファイルに出力を確認できます。[CRITICAL] [22508] NlPrintRpcDebug: Dumping extended error for I_NetServerReqChallenge with 0xc0020017[CRITICAL] [22508] [0] ProcessID is 948
[CRITICAL] [22508] [0] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [0] Generating component is 18
[CRITICAL] [22508] [0] Status is 1722
[CRITICAL] [22508] [0] Detection location is 1442
[CRITICAL] [22508] [0] Flags is 0
[CRITICAL] [22508] [0] NumberOfParameters is 1
[CRITICAL] [22508] Unicode string: dc1.contoso.com
[CRITICAL] [22508] [1] ProcessID is 948
[CRITICAL] [22508] [1] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [1] Generating component is 18
[CRITICAL] [22508] [1] Status is 1722
[CRITICAL] [22508] [1] Detection location is 323
[CRITICAL] [22508] [1] Flags is 0
[CRITICAL] [22508] [1] NumberOfParameters is 0
[CRITICAL] [22508] [2] ProcessID is 948
[CRITICAL] [22508] [2] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [2] Generating component is 18
[CRITICAL] [22508] [2] Status is 1237
[CRITICAL] [22508] [2] Detection location is 313
[CRITICAL] [22508] [2] Flags is 0
[CRITICAL] [22508] [2] NumberOfParameters is 0
[CRITICAL] [22508] [3] ProcessID is 948
[CRITICAL] [22508] [3] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [3] Generating component is 18
[CRITICAL] [22508] [3] Status is 10060
RPC エラー 1722 (RPC_S_SERVER_UNAVAILABLE) は、ソケット エラー 10060 (WSAETIMEDOUT)。これらのエラーは、サーバーに到達できませんでしたとに反応しないことを示します。

次のネットワーク トレースでは、ポート TCP SYN 要求とクライアントによって実行が応答を受信しないことを確認します。そのため、サーバーはこのポートでは応答しません。10.1.1.70 57565 (0xE0DD) 10.1.1.140 135 (0x87) EPM EPM:Request: ept_map: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.010.1.1.140 135 (0x87) 10.1.1.70 57565 (0xE0DD) EPM EPM:Response: ept_map: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v5, 10.1.1.140:2645 (0xA55) [2645]
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v510.92.24.141, 10.1.1.140:49150 (0xBFFE) [49150]
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v510.92.24.141, 10.1.1.140:1028 (0x404) [1028]
注 クライアントは、最初のポートを選択 (この例では、それは 2645) ポートがファイアウォールで開いているではないこととします。

Windows Server 2008 R2 にインストールされている更新プログラムがあるか、Windows Server 2012 またはそれ以降のバージョンを使用する、ドメインのメンバーとこの問題の影響を受けるドメイン コント ローラーと通信しているドメイン コント ローラーは 5816 と 5817 が発生したときにイベントを記録します。

原因

この問題は、ドメイン コント ローラー上のエンドポイントの登録の間で同期されていないために発生します。エンドポイントの登録は、さまざまなサービスや、Lsass.exe プロセスでホストされている複数のスレッドによって実行されます。

たとえば、Lsass.exe プロセスで次のサービスがホストされています。

  • Lsarpc

  • Samr

  • Drsuapi

  • Netlogon


解決策

修正プログラムの情報

サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この修正プログラムは、この資料に記載された問題があったシステムのみに対して適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。

修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

翻訳品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?

フィードバックをお送りいただきありがとうございます!

×