none
DNSに”新しいホスト”を追加できない イベントログ:DNS ID:4015 RRS feed

  • 質問

  • DNSサーバーで”新しいホスト”を追加(Aレコードの手動登録)しようとすると、「ホストレコード○○.xxx.co.jpを作成できません。拒否」とはじかれます。

    環境
    OS Windows Server 2008 R2
    役割 DNSサ―バー兼AD DSサーバー

    DNS兼ADDSサーバーは同じサイト内に2台あり、1台のサーバー(A)で現象が発生します。もう1台のサーバー(B)では正常に”新しいホスト”が追加できます。

    現象発生時、DNSのイベントログに下記のエラーが記録されます。
    ソース:DNS-Server-Service イベントID:4015
    内容:DNS サーバーは Active Directory からの致命的なエラーを発見しました。Active Directory が正しく機能していることを確認してください。拡張エラーのデバッグ情報は "0000051B: AtrErr: DSID-030F1F8D, #1:
     0: 0000051B: DSID-030F1F8D, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 20119 (nTSecurityDescriptor)" です。これは空の場合もあります。イベント データにはエラーが含まれています。

    他のイベントログには特にエラーはみあたりません。ADは特に問題なく稼働しています。

    情報を探していますがヒットする情報に当たらず、調査方法などご助言いただければ幸いです。

    よろしくお願いいたします。

    • 移動 星 睦美 2013年1月21日 5:08 適切なフォーラム
    2013年1月18日 6:07

回答

  • チャブーンです。

    > エラー: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS には
    >       Replicating Directory Changes In Filtered Set
    >    名前付けコンテキストへのアクセス権がありません:

    このアクセス許可ですが、ENTERPRISE DOMAIN CONTROLLERSの「フィルター処理されたセットでのディレクトリの変更のレプリケート」という権限で、2003からAD移行したケースで、adprep /rodcprepをしていないドメインで表示されます。このエラーに限ってはRODCがない限り、特に問題はないようです。

    で、ここから現状に戻るのですが、「片側ではNG、片側ではOK」なことは変わらないのですよね。切り分けのため、「DNS Admins」グループのユーザで書き込みを行ってみて、それでもだめなら、アクセス許可以外の理由が原因でしょう(書き込めた場合、アクセス許可を再チェックしてください)。その場合、確認事項として、ゾーンの所有者は一応見ておいていただいた方がいいでしょう。DNSゾーンのプロパティ[セキュリティ]の[詳細設定]-[所有者]タブでわかるはずです。SYSTEMが既定です(ここを変えるような場合も、フルバックアップは必ず取ってください)。

    今の状況だけを見てどこが悪いのか、を答えるには情報が足りませんし、きちんと調べるのであれば相応の時間や手間が必要です。なにはともあれ直したい、ということであれば、問題があるDC上のアプリケーションパーティションをADSIエディタで削除し、正しいDC側から再複製する、という方向で対応した方がいいのかもしれません。ただし、この作業には危険が伴いますので、DCのフルバックアップを必ず取り、失敗した場合元通りにできる確信がある状態で行ってください。その意味で、この作業は自己責任で行ってください。

    http://support.microsoft.com/kb/867464/ja



    2013年1月21日 11:03
    モデレータ

すべての返信

  • にわか管理者 さん、投稿ありがとうございます。
    フォーラム オペレーターの星 睦美です。

    Active Directory に関するフォーラムで回答が集まりやすいのではないかと思います。
    のちほど、私のほうでこちらのスレッドを移動させていただきますね。

    もしフォーラムで役立つ回答がありましたら、投稿者からの[回答としてマーク]をお願いします。


    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美


    • 編集済み 星 睦美 2013年1月18日 6:55 リンク
    2013年1月18日 6:54
  • チャブーンです。

    この件ですが、「51B」エラーは「ERROR_INVALID_OWNER」という意味ですので、アカウントのログオンしているアカウントの権限をwhoami /allで確認することと、<DNSゾーン>オブジェクトの[セキュリティ]タブから、そのアクセス許可がAサーバと違ってないか、確認するといいのではないでしょうか。

    http://msdn.microsoft.com/en-us/library/windows/desktop/ms681385(v=vs.85).aspx

    なお、状況からActive Directoryが正しく稼働していない可能性もあるので、dcdiagコマンドできちんと確認された方がいいような気がします。

    dcdiag
    dcdiag /dnsall

    この2つコマンドを念のため実行してみてください。

    2013年1月21日 2:43
    モデレータ
  • アドバイスありがとうございます。

    whoami /all で確認しました。ログオンしているアカウントは、Domain Admins,Enterprise Admins他に属しています。
    サーバーA,B双方の<DNSゾーン>オブジェクトの[セキュリティ]タブを比較しましたが違いは見つけられませんでした。

    dcdiag , dcdiag /dnsall のコマンド実行結果ですが、どちらも下記のテストが失敗となりました。
      テストを開始しています: NCSecDesc
        エラー: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS には
           Replicating Directory Changes In Filtered Set
        名前付けコンテキストへのアクセス権がありません:
        DC=ForestDnsZones,DC=#####,DC=co,DC=jp
        エラー: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS には
           Replicating Directory Changes In Filtered Set
        名前付けコンテキストへのアクセス権がありません:
        DC=DomainDnsZones,DC=#####,DC=co,DC=jp
        ......................... サーバーA はテスト NCSecDesc に失敗しました

    現象が発生しているサーバー(A)は、FSMO:スキーママスタ、ドメイン名前付けマスタ、RIDマスタ、PDCエミュレータとGCを担っています。現象が発生していないサーバー(B)はFSMO:インフラストラクチャマスタを担っています。

    このエラーはどこでアクセス権限を設定できますでしょうか。

    2013年1月21日 4:22
  • チャブーン様

    ADSIエディターで、DC=ForestDnsZones,DC=#####,DC=co,DC=jp と DC=DomainDnsZones,DC=#####,DC=co,DC=jp のセキュリティ設定を確認すると、双方とも下記の設定になっています。

     ENTERPRISE DOMAIN CONTROLLRES
       ・・・  読み取り、ティレクトリの変更のレプリケート、ディレクトリの変更をすべてにレプリケート、レプリケーショントポロジの管理、レプリケーションの同期、ドメインパスワードとロックアウトポリシーの読み取り、ほかのドメインパラメーター(SAMに使用)の読み取り、特殊なアクセス許可←チェックボックスはグレーアウト状態

    ここでアクセス権限を追加すればよいのでしょうか。その際の権限は何になりますでしょうか。

    よろしくお願いいたします。

    2013年1月21日 8:56
  • チャブーンです。

    先ほど、所有権の話を書きましたが、直接の質問は

    ----
    dcdiag , dcdiag /dnsall のコマンド実行結果ですが、どちらも下記のテストが失敗となりました。
      テストを開始しています: NCSecDesc
        エラー: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS には
           Replicating Directory Changes In Filtered Set
        名前付けコンテキストへのアクセス権がありません:
        DC=ForestDnsZones,DC=#####,DC=co,DC=jp
        エラー: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS には
           Replicating Directory Changes In Filtered Set
        名前付けコンテキストへのアクセス権がありません:
        DC=DomainDnsZones,DC=#####,DC=co,DC=jp
        ......................... サーバーA はテスト NCSecDesc に失敗しました
    ----

    に移っていたのですね。失礼しました。

    状況が状況ですので、可能な範囲で対応しますが、ここの回答者はいずれもボランティアベースで回答していますので、「急いで答えてほしい」という要望はご容赦ください。よろしくお願いします。

    2013年1月21日 10:40
    モデレータ
  • チャブーンです。

    > エラー: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS には
    >       Replicating Directory Changes In Filtered Set
    >    名前付けコンテキストへのアクセス権がありません:

    このアクセス許可ですが、ENTERPRISE DOMAIN CONTROLLERSの「フィルター処理されたセットでのディレクトリの変更のレプリケート」という権限で、2003からAD移行したケースで、adprep /rodcprepをしていないドメインで表示されます。このエラーに限ってはRODCがない限り、特に問題はないようです。

    で、ここから現状に戻るのですが、「片側ではNG、片側ではOK」なことは変わらないのですよね。切り分けのため、「DNS Admins」グループのユーザで書き込みを行ってみて、それでもだめなら、アクセス許可以外の理由が原因でしょう(書き込めた場合、アクセス許可を再チェックしてください)。その場合、確認事項として、ゾーンの所有者は一応見ておいていただいた方がいいでしょう。DNSゾーンのプロパティ[セキュリティ]の[詳細設定]-[所有者]タブでわかるはずです。SYSTEMが既定です(ここを変えるような場合も、フルバックアップは必ず取ってください)。

    今の状況だけを見てどこが悪いのか、を答えるには情報が足りませんし、きちんと調べるのであれば相応の時間や手間が必要です。なにはともあれ直したい、ということであれば、問題があるDC上のアプリケーションパーティションをADSIエディタで削除し、正しいDC側から再複製する、という方向で対応した方がいいのかもしれません。ただし、この作業には危険が伴いますので、DCのフルバックアップを必ず取り、失敗した場合元通りにできる確信がある状態で行ってください。その意味で、この作業は自己責任で行ってください。

    http://support.microsoft.com/kb/867464/ja



    2013年1月21日 11:03
    モデレータ
  • お世話になります。

    フォーラムにおいては識者の方々がボランティアベースでご回答をいただいていることを重々承知しております。けっして回答を催促しているわけではなく、誤解を招くような質問になりましたことをお詫び申し上げます。

    お教えいただいた事項を確認しました。まず、エラー: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS についてはチャブーン様のおっしゃる通りで、先日2003から2008R2にADを移行し、その際 adprep/rodcprepを行っていません。

    次に、DNS Adminsグループのメンバーで試しましたが結果NGでした。また、ゾーンの所有者は ドメイン\Administrators になっていましたので、SYSTEMに変更しましたが結果はNGでした。

    ここで該当サーバーのDNSサービスを再起動したところ、正常にAレコードの追加ができるようになりました。
    ※サービスの再起動は現象確認後行っていませんでした

    チャブーン様ならびにフォーラムの皆様にはいろいろとお世話になり、ありがとうございました。

    2013年1月22日 1:51