ドメイン コントローラー間でデータを手動でレプリケートするときのエラー (ターゲット プリンシパル名が正しくありません)

この記事では、ドメイン コントローラー間でデータを手動でレプリケートするときに発生するエラーの解決策について説明します。

適用対象: Windows 2000
元の KB 番号: 288167

現象

Active Directory サイトとサービス スナップインを使用して Windows 2000 ドメイン コントローラー間でデータを手動でレプリケートすると、次のいずれかのエラー メッセージが表示される場合があります。

ターゲット プリンシパル名が正しくありません

または

アクセスが拒否される

さらに、次のイベント ID メッセージがシステム ログに記録される場合があります。

Event Source: Netlogon  
Event Category: None  
Event ID: 3210  
User: N/A  
Event Description:  
Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.

Event Source: Netlogon  
Event ID: 5722  
Event Category: None  
User: N/A  
Event Description:  
The session setup from the computer 1 failed to authenticate. The name of the account referenced in the security database is 2. The following error occurred: n3

解決方法

この問題を解決するには、まず、現在のプライマリ ドメイン コントローラー (PDC) エミュレーター操作マスター ロール所有者であるドメイン コントローラーを特定します。 これを行うには、次のいずれかの方法を使用します。

• Windows 2000 サポート ツールから Netdom.exe ユーティリティをインストールし、次のコマンドを実行します。

  netdom query fsmo
  

• Active Directory ユーザーとコンピューター スナップインを起動し、ドメインを右クリックし、[操作マスター] をクリックします。 [ PDC ] タブをクリックします。現在のロール所有者が [操作マスター ] ウィンドウに表示されます。 このタブでは、操作マスターの役割を 2 番目のウィンドウで現在のコンピューターに変更できます (このコンピューターが現在の所有者でない場合)。

• Ntdsutil.exe ユーティリティ (Windows 2000 に含まれる) と Resource Kit コマンド ライン ユーティリティを使用します。 ただし、これらのインターフェイスは、より高度なユーザーに推奨されます。 詳細については、「 柔軟な単一マスター操作ロールを保持するサーバーを検索する方法」を参照してください。

この問題が発生しているドメイン コントローラーで、Kerberos Key Distribution Center サービス (KDC) を無効にします。

1. [ スタート] をクリックし、[ プログラム] をポイントし、[ 管理ツール] をクリックし、[ サービス] をクリックします。
2. KDC をダブルクリックし、スタートアップの種類を [無効] に設定し、コンピューターを再起動します。

コンピューターが再起動したら、Netdom ユーティリティを使用して、これらのドメイン コントローラーと PDC エミュレーター操作マスターロール所有者の間のセキュリティで保護されたチャネルをリセットします。 これを行うには、PDC エミュレーター操作マスター ロール所有者以外のドメイン コントローラーから次のコマンドを実行します。

netdom resetpwd /server: server_name /userd: domain_name \administrator /passwordd: administrator_password

ここで、server_nameは、PDC エミュレーター操作マスターロール所有者であるサーバーの名前です。

セキュリティで保護されたチャネルをリセットした後、ドメイン コントローラーを再起動します。 Netdom ユーティリティを使用してセキュリティで保護されたチャネルをリセットしようとしても、コマンドが正常に完了しない場合は、再起動プロセスに進みます。

PDC エミュレーター操作マスターロール所有者のみが実行されている場合、KDC は、新しい Kerberos チケットを発行するのではなく、他のドメイン コントローラーに対してこのコンピューターとの再同期を強制します。

コンピューターの再起動が完了したら、サービス プログラムを起動し、KDC サービスを再起動してから、もう一度レプリケーションを試みます。

詳細

ドメインに複数のドメイン コントローラーがある場合、この問題が発生したときに表示されるエラー メッセージは、レプリケーションを試行する方法によって異なります。また、関係するドメイン コントローラーの 1 つが PDC Emulator 操作マスター ロール所有者でもあるかどうかによって異なります。

場合によっては、 を使用 net view \\computername して、別のドメイン コントローラーから PDC エミュレーター操作マスター ロールを持つドメイン コントローラーに接続しようとすると、"アクセスが拒否されました" というエラー メッセージが表示されることがあります。 ただし、インターネット プロトコル (IP) アドレスを使用する場合、コマンドは成功する可能性があります。

この問題が発生すると、イベント ログに多数のエラーが報告される場合があります。 これらのエラーは、次のいずれかの条件によって異なります。

• 問題が発生する前に、ドメイン コントローラーが完全に機能していなかった。

• ドメイン コントローラーが Active Directory インストール ウィザード プロセスを正常に完了しませんでした。

• ドメイン コントローラーの Sysvol フォルダーが共有されませんでした。

• ドメイン コントローラーには、 Domain_name フォルダーの下の完全なファイル構造と、%SystemRoot%\Sysvol\Sysvol\Domain_name\Policies にある Policies フォルダーがありませんでした。 次のイベントは、報告される可能性があるイベントの例です。

  Event ID: 3034  
  Type: Warning  
  Source: MRxSmb  
  Description: The redirector was unable to initialize security context or query context attributes.
  

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。