現象
次のような状況を考えます。
-
Windows Server 2008 R2 ベースのドメイン環境で Windows Server 2008 R2 ベースのドメイン コント ローラーがあります。
-
NT ディレクトリ サービス (NTDS) および Netlogon のドメイン コント ローラーで使用する特定の静的ポートを設定するとします。これを行うは、次のマイクロソフト サポート技術情報 (KB) 資料に記載されている方法に従います。
224196制限の Active Directory のレプリケーション トラフィックとクライアント RPC トラフィックが特定のポート
-
特定の静的ポートのネットワーク トラフィックを有効にするのには、境界ネットワーク (DMZ、非武装地帯、およびスクリーンド サブネットとも呼ばれます) を構成するとします。
-
ドメイン コント ローラーにログオンしようとするとします。
このシナリオで、ドメイン コント ローラーのログオン プロシージャが、予想以上に時間がかかります。さらに、Netlogon サービスに依存する一部のサービスが中断される可能性があります。
また、次の RPC 拡張エラー情報の netlogon.log ファイルに出力を確認できます。[CRITICAL] [22508] NlPrintRpcDebug: Dumping extended error for I_NetServerReqChallenge with 0xc0020017[CRITICAL] [22508] [0] ProcessID is 948
[CRITICAL] [22508] [0] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [0] Generating component is 18
[CRITICAL] [22508] [0] Status is 1722
[CRITICAL] [22508] [0] Detection location is 1442
[CRITICAL] [22508] [0] Flags is 0
[CRITICAL] [22508] [0] NumberOfParameters is 1
[CRITICAL] [22508] Unicode string: dc1.contoso.com
[CRITICAL] [22508] [1] ProcessID is 948
[CRITICAL] [22508] [1] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [1] Generating component is 18
[CRITICAL] [22508] [1] Status is 1722
[CRITICAL] [22508] [1] Detection location is 323
[CRITICAL] [22508] [1] Flags is 0
[CRITICAL] [22508] [1] NumberOfParameters is 0
[CRITICAL] [22508] [2] ProcessID is 948
[CRITICAL] [22508] [2] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [2] Generating component is 18
[CRITICAL] [22508] [2] Status is 1237
[CRITICAL] [22508] [2] Detection location is 313
[CRITICAL] [22508] [2] Flags is 0
[CRITICAL] [22508] [2] NumberOfParameters is 0
[CRITICAL] [22508] [3] ProcessID is 948
[CRITICAL] [22508] [3] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [3] Generating component is 18
[CRITICAL] [22508] [3] Status is 10060
RPC エラー 1722 (RPC_S_SERVER_UNAVAILABLE) は、ソケット エラー 10060 (WSAETIMEDOUT)。これらのエラーは、サーバーに到達できませんでしたとに反応しないことを示します。
次のネットワーク トレースでは、ポート TCP SYN 要求とクライアントによって実行が応答を受信しないことを確認します。そのため、サーバーはこのポートでは応答しません。10.1.1.70 57565 (0xE0DD) 10.1.1.140 135 (0x87) EPM EPM:Request: ept_map: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.010.1.1.140 135 (0x87) 10.1.1.70 57565 (0xE0DD) EPM EPM:Response: ept_map: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v5, 10.1.1.140:2645 (0xA55) [2645]
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v510.92.24.141, 10.1.1.140:49150 (0xBFFE) [49150]
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v510.92.24.141, 10.1.1.140:1028 (0x404) [1028]
注 クライアントは、最初のポートを選択 (この例では、それは 2645) ポートがファイアウォールで開いているではないこととします。
Windows Server 2008 R2 にインストールされている更新プログラム2654097があるか、Windows Server 2012 またはそれ以降のバージョンを使用する、ドメインのメンバーとこの問題の影響を受けるドメイン コント ローラーと通信しているドメイン コント ローラーは 5816 と 5817 が発生したときにイベントを記録します。
原因
この問題は、ドメイン コント ローラー上のエンドポイントの登録の間で同期されていないために発生します。エンドポイントの登録は、さまざまなサービスや、Lsass.exe プロセスでホストされている複数のスレッドによって実行されます。
たとえば、Lsass.exe プロセスで次のサービスがホストされています。
-
Lsarpc
-
Samr
-
Drsuapi
-
Netlogon
解決策
修正プログラムの情報
サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この修正プログラムは、この資料に記載された問題があったシステムのみに対して適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。
修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。
注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。マイクロソフト カスタマー サービス サポートの電話番号一覧または別のサービス リクエストの作成については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。
必要条件
この修正プログラムを適用するには、Windows Server 2008 R2 Service Pack 1 (SP1) を実行する必要があります。
Windows 7 または Windows Server 2008 R2 service pack の入手方法の詳細については、次の文書番号をクリックしてマイクロソフト サポート技術情報資料を参照してください。
976932Windows 7 Service Pack 1 および Windows Server 2008 R2 に関する情報
レジストリ情報
この修正プログラムを適用するには、レジストリを変更する必要はありません。
再起動の必要性
この修正プログラムの適用後、コンピューターを再起動する必要があります。
修正プログラムの置き換えに関する情報
この修正プログラムを適用しても、以前にリリースされた修正プログラムが置き換えられることはありません。
この修正プログラムのグローバル版では、次の表に示す各属性を持つファイル群がインストールされます。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。お使いのローカル コンピューター上にあるこれらのファイルの日付および時刻は、現在の夏時間 (DST) との差と一緒にローカル時刻で表示されます。また、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。
Windows Server 2008 R2 のファイル情報のメモ重要 Windows 7 の修正プログラム、および Windows Server 2008 R2 の修正プログラムは、同じパッケージに収められています。ただし、修正プログラムのリクエスト ページにある修正プログラムは各オペレーティング システムの下に一覧表示されています。一方または両方のオペレーティング システムに適用される修正プログラム パッケージをリクエストするには、ページ上の "Windows 7/Windows Server 2008 R2" の下に一覧表示されている修正プログラムを選択します。必ず資料の「対象製品」を参照して、各修正プログラムの適用対象である実際のオペレーティング システムを確認してください。
-
特定の製品、SR_Level (RTM、SPn)、およびサービス区分 (LDR、GDR) に適用されるファイルは、次の表に示すように、ファイルのバージョン番号を調べることによって識別できます。
バージョン
製品
マイルストーン
サービス区分
6.1.760
1.22xxxWindows Server 2008 R2
SP1
LDR
-
マニフェスト ファイル (.manifest) および MUM ファイル (.mum) インストールされている環境ごとに、個別に記載されている「その他ファイルの Windows Server 2008 R2 の情報」です。MUM と MANIFEST ファイルおよび関連付けられているセキュリティ カタログ (.cat) ファイルは、更新されたコンポーネントの状態を維持するために非常に重要です。属性が一覧表示されていないセキュリティ カタログ ファイルは、Microsoft デジタル署名で署名されています。
サポートされているすべての x64 ベース バージョンの Windows Server 2008 R2
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7601.22289 |
699,904 |
01-Apr-2013 |
07:33 |
x64 |
サポートされているすべての IA-64 ベース バージョンの Windows Server 2008 R2
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7601.22289 |
1,158,144 |
01-Apr-2013 |
04:23 |
IA-64 |
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
ソフトウェア更新プログラムの用語の詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料を参照してください。
824684マイクロソフトのソフトウェア更新プログラムの説明に使用される標準的な用語について
Windows Server 2008 R2 の追加のファイル情報
サポートされているすべての x 64 ベース バージョンの Windows Server 2008 R2 の追加ファイル
ファイル名 |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_5c208d1b67eb79b1.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
35,995 |
日付 (UTC) |
01-Apr-2013 |
時刻 (UTC) |
08:04 |
プラットフォーム |
該当なし |
ファイル名 |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_6675376d9c4c3bac.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
16,596 |
日付 (UTC) |
01-Apr-2013 |
時刻 (UTC) |
04:44 |
プラットフォーム |
該当なし |
サポートされているすべての IA64 ベース バージョンの Windows Server 2008 R2 用の追加ファイル
ファイル名 |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_0003958daf8c1177.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
35,992 |
日付 (UTC) |
01-Apr-2013 |
時刻 (UTC) |
04:52 |
プラットフォーム |
該当なし |
ファイル名 |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_6675376d9c4c3bac.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
16,596 |
日付 (UTC) |
01-Apr-2013 |
時刻 (UTC) |
04:44 |
プラットフォーム |
該当なし |