none
他のサイトの共有リソースにアクセスできない。 イベントID:4 イベントID:13508 レプリケーションの失敗? RRS feed

  • 質問

  • 3年以上問題なく動作していて構成変更もしていないのですが、
    同ドメインの3台(サーバーは全部で3台)のサーバーのイベントログに
    ソース:Ntfrs イベントID:13508が繰り返し表示されるようになりました。
    また、1つのサイトに属するサーバー、パソコンより、他のサイトの共有リソース
    (フォルダ、ファイル、プリンタ)が名前で呼び出せなくなってしまいました。

    構成としては
    同ドメインで3台のドメイコントローラ(DC)を置きそれぞれが1つずつサイトをもち。
    各サーバーが双方に他のサイトをレプリケートするように設定しています。
    (以降これらの サーバーをSV01、SV02、SV03
    サイトをAサイト、Bサイト、Cサイト 
    ドメイン名をk.localと記述します。)
    いずれもWindows2003 Server SP1です。(SV03はSQL Server2003がインストールされています)

    各サーバーのイベントログを確認すると、レプリケートが成功していないようです

    最初はDNSの設定がおかしくなったのかしらと思ったのですが、nslookupで各サーバーから
    サーバー名を指定してみても、正しいアドレスを返答してきます。

    SV03でエクスプローラーで\\SV01をよびだしてみると、
     \\SV01にアクセスできません。このネットワークリソースを使用するアクセス許可が内可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。 ログオンエラー:対象のアカウント名は間違っています。となります。\\192.168.1.1(SV01のIPアドレス)で呼び出すと参照できます。
     \\SV02を呼び出しても同様です。サーバー名で呼び出すと、相手サーバーの認証でブロックされてしまっている?

    これと同じ現象になるのだとおもうのですが、SV03で認証している、Cサイトに属するPCで、SV02の共有フォルダ、共有プリンタが使用できなくなってしまいました。アドレス指定で利用するように、パソコンからの呼び出しも変更して、
    今のところ対処しています

    SV01からはエクスプローラーでSV02も、SV03も\\サーバー名でも、IPアドレスででも参照できます。
    SV02からはSV01が\\サーバー名でも、IPアドレスででも参照できます。
     SV02からSV03はFWで参照をブロックしていますので、サーバー名でもIPアドレスでも'\\sv03'がみつかりません。になりますがこれは正常です

    SV03のシステムイベントにkerberosのイベントID:4が出ているのが気になります。
    FWの設定変更、OSのバージョンアップ等思い当たる変更は行っていません。

    --------------------
    各サーバーのActiveDirectoryサイトとサービスは同じ設定で以下の内容です。
     Sites
      |_ Cサイト
      |    |_Servers
      |      |_ SV03
      |          |_NTDS Settings
      |              名前:<自動生成> レプリケート元サーバー:SV02 レプリケートサイト:Bサイト 種類:接続
      |              名前:<自動生成> レプリケート元サーバー:SV01 レプリケートサイト:Aサイト 種類:接続
      |_ Bサイト
      |    |_Servers
      |       |_ SV02
      |           |_NTDS Settings
      |              名前:<自動生成> レプリケート元サーバー:SV01 レプリケートサイト:Aサイト 種類:接続
      |              名前:<自動生成> レプリケート元サーバー:SV03 レプリケートサイト:Cサイト 種類:接続
      |_ Aサイト
      |    |_Servers
      |       |_ SV01
      |           |_NTDS Settings
      |              名前:<自動生成> レプリケート元サーバー:SV02 レプリケートサイト:Bサイト 種類:接続
      |              名前:SV03 レプリケート元サーバー:SV03 レプリケートサイト:Cサイト 種類:接続
      |_ Subnets
      |    名前:192.168.1.0/24 サイト:Aサイト種類:サブネット
      |    名前:192.168.2.0/24 サイト:Bサイト種類:サブネット
      |    名前:192.168.3.0/24 サイト:Cサイト種類:サブネット

    Aサイトの最後の自動生成になっていない行は、最初にエラーを確認時記述されていなかったので、これが何か定義不足かと思い安易に一行入れてみましたが、状況は変わらずです。SV01で設定したら、しばらくすると、SV02、SV03でみてもこの行が増えていました。

    -------------------
    イベントログの抜粋を記述します
    --------------------------------------
    <SV03のイベントログでは>
    --------------------------------------
    ファイルレプリケーションサービスに
    ・ソース:Ntfrs イベントID:13508
    ファイル レプリケーション サービスの問題のため、DNS 名 sv01.k.local を使用して c:\windows\sysvol\domain に対して  SV01 から SV03 へのレプリケーションを有効にできません。再実行します。....
    ・ソース:Ntfrs イベントID:13508
    ファイル レプリケーション サービスの問題のため、DNS 名 sv02.でk.localを使用して c:\windows\sysvol\domain に対して  SV02 から SV03 へのレプリケーションを有効にできません。再実行します。 ....
     が1時間に1度くらい
    --------------------
    ディレクトリサービスに
    ・ソース:NTDS KCC イベントID:1566
    次のサイトにあるドメイン コントローラで、ディレクトリ パーティションをこのトランスポートを越えてレプリケートできるドメイン コントローラは、現在どれも利用できません。
    サイト:CN=BSite,CN=Sites,CN=Configuration,DC=k,DC=local
    ディレクトリ パーティション:DC=k,DC=local
    トランスポート:CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=k,DC=local
    ・ソース:NTDS KCC イベントID:1566
    次のサイトにあるドメイン コントローラで、ディレクトリパーティションを....
     サイト:CN=BSite,CN=Sites,CN=Configuration,DC=,DC=local
    ディレクトリ パーティション:DC=k,DC=local
    トランスポート:CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=k,DC=local
    ・ソース:NTDS KCC イベントID:1311
    知識整合性チェッカー (KCC) により、次のディレクトリのパーティションで問題が検出されました。
    ディレクトリ パーティション:DC=k,DC=local
    ・ソース:NTDS KCC イベントID:1865
    知識整合性チェッカー (KCC) は完全なスパン ツリー ネットワーク トポロジを形成できませんでした。このため、次の一覧のサイトはローカル サイトから到達できません。
    サイト: CN=BSite,CN=Sites,CN=Configuration,DC=k,DC=local
    CN=ASite,CN=Sites,CN=Configuration,DC=k,DC=local
    ・ソース:NTDS KCC イベントID:1566
    次のサイトにあるドメイン コントローラで、ディレクトリ パーティションを....
    サイト:CN=BSite,CN=Sites,CN=Configuration,DC=k,DC=local
    ディレクトリ パーティション:DC=ForestDnsZones,DC=k,DC=local
    トランスポート:CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=k,DC=local
    ・ソース:NTDS KCC イベントID:1566
    次のサイトにあるドメイン コントローラで、ディレクトリ パーティションをこの....
    サイト:CN=BSite,CN=Sites,CN=Configuration,DC=k,DC=local
    ディレクトリ パーティション:DC=ForestDnsZones,DC=k,DC=local
    トランスポート:CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=k,DC=local
    がディレクトリパーテーション部が少し違うものが4組ずつで15分おきに表示されます
    --------------------
    システムに
    ・ソース:kerberos イベントID:4
    kerberos クライアントはサーバー host/sv02.k.local から KRB_AP_ERR_MODIFIED エラーを 受信しました。使用したターゲット名は KYOTO\SV02$ でした。これは kerberos サービス チケットの暗号化に使用されたパスワードはターゲット サーバーにある パスワードと同じではないことを示します。通常これは、ターゲット領域 (K.LOCAL) および  クライアント領域にある同じ名前のコンピュータアカウントが原因です。  システム管理者に問い合わせてください。
    ・ソース:kerberos イベントID:4
    同上メッセージで 使用したターゲット名は DNS/sv02.k.local
    ・ソース:kerberos イベントID:4
    同上メッセージで  クライアントはサーバー host/sv01.k.local 使用したターゲット名は DNS/sv01.k.local
    ・ソース:kerberos イベントID:4
    同上メッセージで  使用したターゲット名は 
    ・ソース:kerberos イベントID:4
    同上メッセージで  使用したターゲット名は 
    ・ソース:kerberos イベントID:4
    同上メッセージで  使用したターゲット名は cifs/sv01.k.local
    ・ソース:kerberos イベントID:4
    同上メッセージで クライアントはサーバー host/sv02.k.local 使用したターゲット名は 

    が1時間おきに表示されます。使用したターゲット名が空欄のものがある。

    --------------------------------------
    <SV02のイベントログでは>
    --------------------------------------
    ファイルレプリケーションサービスに
    ・ソース:Ntfrs イベントID:13508
    ファイル レプリケーション サービスの問題のため、DNS 名 sv03.k.local を使用して c:\windows\sysvol\domain に対して  SV03 から SV02 へのレプリケーションを有効にできません。再実行します。....
      が25時間おきに表示されています。
    --------------------
    ディレクトリサービスに
    ・ソース:NTDS KCC イベントID:1566
    次のサイトにあるドメイン コントローラで、ディレクトリ パーティションをこのトランスポートを越えてレプリケートできるドメイン コントローラは、現在どれも利用できません。
    サイト:CN=CSite,CN=Sites,CN=Configuration,DC=k,DC=local
    ディレクトリ パーティション:DC=k,DC=local
    トランスポート:CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=k,DC=local
    ・ソース:NTDS KCC イベントID:1311
    知識整合性チェッカー (KCC) により、次のディレクトリのパーティションで問題が検出されました。
    ディレクトリ パーティション:DC=k,DC=local
    ・ソース:NTDS KCC イベントID:1865
    知識整合性チェッカー (KCC) は完全なスパン ツリー ネットワーク トポロジを形成できませんでした。このため、次の一覧のサイトはローカル サイトから到達できません。
    サイト:CN=CSite,CN=Sites,CN=Configuration,DC=k,DC=local
    がSV03と同様にディレクトリパーテーション部が少し違うものが4組ずつで15分おきに表示されます

    --------------------------------------
    <SV01のイベントログでは>
    --------------------------------------
    ファイルレプリケーションサービスに
    ・ソース:Ntfrs イベントID:13508
    ファイル レプリケーション サービスの問題のため、DNS 名 sv03.kyoto.local を使用して c:\windows\sysvol\domain に対して  SV03 から SV01 へのレプリケーションを有効にできません。再実行します。
      が24~26時間おきに表示されています。
    --------------------
    SV01のディレクトリサービスにはエラーがでていません

    以上です。3台のサーバーの時計は1分以上の差はありません。
    何か手掛かりになることがありましたら教えてください。
    よろしくお願い申し上げます。
    2009年10月22日 12:30

すべての返信

  • MorningStorehouse さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    NTDS KCC のイベント 1311・1566・1865 などが記録されていますので、複製トポロジの形成に問題があるようですので、まずは "SV03" を再起動していただければと思います。
    (複製トポロジの問題は、DC の再起動(キャッシュクリア) で回復する場合があります)


    もし再起動で回復しなければ、様々な項目を確認する必要があるために、こういったフォーラムでの解決は困難と思われますので、弊社有償サポートへご相談いただく事をお勧めします。
    (すでにユーザーへの影響も出ているようですので、お急ぎではないかなと・・・)


    なお、これらの問題は急に発生するようになったのでしょうか? 何かきっかけはありませんか?
    ファイアウォールの影響が気になりますので、できれば DC 間のファイアウォールを一旦無効にして回避可能かどうか確認いただければと思います。

    追記:
    "SV03" は DNS サーバーとしても稼働していますか? また、DC やクライアントの参照先 DNS サーバーの設定はどうなっていますか?
    (名前解決の問題も発生しているようですので)


    それでは、こちらの情報がお役に立てる事を願っています。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年10月26日 7:05
    モデレータ
  • SV03の再起動は、何度か実施しましたが、改善されませんでした。
    現象は旧に発生しました。
    3台のサーバーはどれもDNSサーバーとしても稼働しています。
    それぞれのサーバーが受け持つサイトに所属するクライアントパソコンは、DNSをそれぞれのサーバーに設定しています。

    各サーバーのDNSは自分自身をプライマリDNSとして、他の2台のサーバーをセカンダリにして、
    それ以外に、プロバイダのDNS(インターネット接続用)を一つ加えてあります。

    現象は急に発生して、別段設定変更を行ったり、新しいソフトのインストールをしたりもしていません。

    FWのブロック解除を一度やて、同通状況が変わるか確認してみます。

    2009年10月27日 0:57
  • MorningStorehouse さん、こんにちは。
    その後いかがでしょうか?

    気にされていた kerberos ID:4 のイベントですが、以下のスレッドでコメントしていますように、SPN の重複や、DNS のレコードに問題がある場合に発生する事が多いです。
    (もちろん、他にも原因はあります)

    DC 間の複製が正常に行えていない事の影響かもしれませんし、逆に kerberos 認証に失敗している事で複製に問題が出ている可能性もありますが、どちらが先かは現時点では何とも言えません。

    - 参考スレッド
    ソース:kerberos イベントID 4 ファイルサーバーへのアクセスが拒否される
    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/862fa078-1735-4a0f-9598-1c0f86dbe1b9


    それでは、一日でも早く問題が解決される事を願っています。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年11月9日 2:29
    モデレータ
  • チャブーンです。

    これですが、状況から「ドメインコントローラのコンピュータアカウントのパスワード情報の不一致」で、Kerberosチケットを復号できず、認証が失敗しているように、みえますね。

    解決方法ですが、まず問題が出ているドメインコントローラ上のコンピュータアカウントのパスワードをリセット、するといいでしょう。そのうえで、強制的にActive Directory複製を走らせるようにレジストリを設定する、といった方法で、元に戻るかなと、思います。

    2009年11月9日 9:15
    モデレータ
  • 三沢様
    ありがとうございます。

    実はまだ、継続対応中です。
    Cサイトの端末から、SV03は//SV03で参照できていたのが、これも//SV01、//SV02と同じ状態となり、
    このことから、SV03に移動プロファイル、フォルダリダイレクトの先となっていた、ユーザーアカウントがプロファイルが参照できなくなってしまった。(オフライン状態)
    また、SQLServerの入っているサーバーなので、アプリケーションからの接続がサーバー名になっていると動作しなくなってしまった。
    と、この障害に起因するトラブルが発生し、厄介な状態に陥ってしまいました。

    移動プロファイルにしないユーザーを新たに登録し、環境をセッティングし、サーバー名を使用せず、アドレスで呼び出すように、アプリケーション、プリンタ、ネットワークドライブなどを設定したものを使用するようにして、応急処置をした状態で使用をつづけています。

    [Active Directory ユーザーとコンピュータ]の操作マスタでRIDマスタ、PDCマスタ、インフラストラクチャマスタを確認すると、SV01とSV02では
    sv01.k.localになっているのだけれど、SV03ではエラーになっている。

    複数のドメインコントローラの構成なので、SV03のドメインコントローラを降格させ、SV01を使用することができれば、業務としては元の状態と同じ動作が復活できるのではないかとおもうのですが、サイトの設定をしているので、単純にSV03を降格させても、端末から、SV01のDCを使用するようにはならないのではないか、(サイトを削除すればよいのか?サイトを使用していると、サイト内の各端末のレジストリに、一回目のログイン時に、サイト内にあるDCを参照するように保存されるという記述があるので、これもけさないとだめ?)、SQL Serverが動いているので、降格すると、サービスが起動しなくならないか(サービス起動のユーザーがDomainAdministratorになっている)など、きになることがたくさん出てきて、切り替えも二の足を踏んでいるところです。
    ユーザー繁忙期に入り、応急処置で時間を稼いで対応方法をまだ検討中です。

    参考スレッド確認してみます。
    状況変わりしだい、記述します。
    ありがとうございます。
    2009年11月19日 9:52
  • チャブーン様

    ありがとうございます。
    三沢様のコメントにつけました返信のような状況で、影響がエスカレートしてしまい。対応におわれていました(継続中)

    教えていただいた方法、確認してみます。
    複数のDCをたてていても、障害発生に対しての切り替え手順が用意できていないのを痛感しました。

    引き続き、また、状況を記述するようにします。
    ありがとうございます。
    2009年11月19日 10:00
  • MorningStorehouse さん、こんにちは。

    状況が悪化しているようですね、、、お役に立てなくてすみません。。。
    (複製の問題が発生しているので、どんどん悪化してしまうのですが・・・)

    まずは、チャブーン さんに案内いただいた方法をお試しいただき、それでも回避出来ないようでしたら、SV03 の 降格・再昇格 を検討いただく必要があるかもしれませんね。
    その際、SV03 は孤立した状態と思われますので、強制降格が必要になると思われます。

    強制降格については以下のスレッドなどを参考にしてください。

    - 参考スレッド
    ドメインコントローラー破損後、サイトからドメインコントローラーの情報を削除するには・・・
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/173cc6db-a89a-48ae-9ec4-2b4218a4500f
    (こちらで案内されている、弊社エンジニアのビデオが参考になると思います)

    Active Directory が幽霊になってしまいました。
    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/73248c41-7efa-4d84-8f09-e862e01871a0


    なお、気にされていたサイトについてですが、クライアントは同一サイト内のドメインコントローラー(DC)を優先しますが、同一サイト内に DC が存在しない・通信が出来ない場合には、その他のサイトの DC を使用するようになっていますので、クライアントの参照先 DNS サーバーを変更していただければ問題ないはずです。
    (複製が出来ていないので、クライアントがログオン出来ないなどの現象が発生する可能性があります。その際にはクライアントのドメイン再参加などをお試しください)


    ただ、SV03 上で SQLServer が稼働しているとの事ですし、状況確認や対処方法など含めて、やはり弊社有償サポートへご相談いただく事をお勧めいたします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年11月20日 8:03
    モデレータ