none
ADサーバーのイベントログ「イベントID:1864、2042、2513」の対処法について RRS feed

  • Frage

  • - 実現したいこと
    現在ADサーバーに入ってきている、エラーログを解決したい

    - 発生している問題
    "イベントビューア(ローカル)\アプリケーションとサービス\ディレクトリサービス" に記録されていたエラーログとして、イベントID 1864、2042、2513が存在した

    - 自分で調べたことや試したこと
    1,ADサーバーを再起動した後、上記問題で記載したエラーを確認

    2,コマンドプロンプトより、nslookup <ドメイン名>を実行し、正常にADサーバーのIPアドレス(☆誰☆)は表示されていた。
    net shareを実行し、NETLOGONとSYSVOLはLogon server shareという結果で共有されていくことがわかった。

    3,dcdiag /vの結果から参加ドメインとクライアントドメインが異なっている事を確認。
    ただし、ログ上で違うと言われているドメイン名は同じ文字列でした。
    ※( target domain (domain) is different from the client domain (domain))の、domainが同じ文字列この場合の対応方法としまして、情報を見つけることが出来ずこちらに投稿させていただきました。何かご助言がございましたら是非お願いいたします。

    - 使っているツールのバージョンなど補足情報
    OS:Windows_Server_2012_R2_Standard

    - 以下、ログやコマンド結果

    イベントID 1864の中身
    Log Name:      Directory Service
    Source:        Microsoft-Windows-ActiveDirectory_DomainService
    Date:          10/5/2022 10:02:04 PM
    Event ID:      1864
    Task Category: Replication
    Level:         Error
    Keywords:      Classic
    User:          ANONYMOUS LOGON
    Computer:       <computer name.domain>
    Description:
    This is the replication status for the following directory partition on this directory server.
    Directory partition:
    DC=<domain>,DC=<domain>,DC=<domain>
    This directory server has not recently received replication information from a number of directory servers.  The count of directory servers is shown, divided into the following intervals.
    More than 24 hours:
    1
    More than a week:
    1
    More than one month:
    1
    More than two months:
    1
    More than a tombstone lifetime:
    1
    Tombstone lifetime (days):
    60
    Directory servers that do not replicate in a timely manner may encounter errors. They may miss password changes and be unable to authenticate. A DC that has not replicated in a tombstone lifetime may have missed the deletion of some objects, and may be automatically blocked from future replication until it is reconciled.

    イベントID 2042の中身
    Log Name:      Directory Service
    Source:        Microsoft-Windows-ActiveDirectory_DomainService
    Date:          10/5/2022 10:02:06 PM
    Event ID:      2042
    Task Category: Replication
    Level:         Error
    Keywords:      Classic
    User:          ANONYMOUS LOGON
    Computer:      <computer name.domain>
    Description:
    It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source.
     The reason that replication is not allowed to continue is that the two DCs may contain lingering objects.  Objects that have been deleted and garbage collected from an Active Directory Domain Services partition but still exist in the writable partitions of other DCs in the same domain, or read-only partitions of global catalog servers in other domains in the forest are known as "lingering objects".  If the local destination DC was allowed to replicate with the source DC, these potential lingering object would be recreated in the local Active Directory Domain Services database.
    Time of last successful replication:
    2020-03-04 07:54:29
    Invocation ID of source directory server:
    f5c0d24a-e108-4a1c-a620-e6f03f08b58f
    Name of source directory server:
    88e40127-85e3-4159-8ea5-66c3045a1fd9._msdcs.<domain>
    Tombstone lifetime (days):
    60
    The replication operation has failed.
    User Action:
      The action plan to recover from this error can be found at http://support.microsoft.com/?id=314282.
     If both the source and destination DCs are Windows Server 2003 DCs, then install the support tools included on the installation CD.  To see which objects would be deleted without actually performing the deletion run "repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC> /ADVISORY_MODE". The event logs on the source DC will enumerate all lingering objects.  To remove lingering objects from a source domain controller run "repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC>".
     If either source or destination DC is a Windows 2000 Server DC, then more information on how to remove lingering objects on the source DC can be found at http://support.microsoft.com/?id=314282 or from your Microsoft support personnel.
     If you need Active Directory Domain Services replication to function immediately at all costs and don't have time to remove lingering objects, enable replication by setting the following registry key to a non-zero value:
    Registry Key:
    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner
     Replication errors between DCs sharing a common partition can prevent user and computer accounts, trust relationships, their passwords, security groups, security group memberships and other Active Directory Domain Services configuration data to vary between DCs, affecting the ability to log on, find objects of interest and perform other critical operations. These inconsistencies are resolved once replication errors are resolved.  DCs that fail to inbound replicate deleted objects within tombstone lifetime number of days will remain inconsistent until lingering objects are manually removed by an administrator from each local DC.  Additionally, replication may continue to be blocked after this registry key is set, depending on whether lingering objects are located immediately.
    Alternate User Action:
    Force demote or reinstall the DC(s) that were disconnected.

    イベント ID 2513の中身
    Log Name:      Directory Service
    Source:        Microsoft-Windows-ActiveDirectory_DomainService
    Date:          10/5/2022 8:59:19 PM
    Event ID:      2513
    Task Category: DS RPC Client
    Level:         Error
    Keywords:      Classic
    User:          ANONYMOUS LOGON
    Computer:      <computer name.domain>
    Description:
    Attempting to set the desired authentication protocol for a connection to the following DSA failed.
     DSA:
     88e40127-85e3-4159-8ea5-66c3045a1fd9._<domain>
     Additional Data:
     Error:
     1747 The authentication service is unknown.

    dcdiag /vの結果
    The Kerberos client received a KRB_AP_ERR_MODIFIED error from the se
    rver <DNS computer name>$. The target name used was cifs/<DNS computer name.domain>
    is indicates that the target server failed to decrypt the ticket provided by the
     client. This can occur when the target server principal name (SPN) is registere
    d on an account other than the account the target service is using. Ensure that
    the target SPN is only registered on the account used by the server. This error
    can also happen if the target service account password is different than what is
     configured on the Kerberos Key Distribution Center for that target service. Ens
    ure that the service on the server and the KDC are both configured to use the sa
    me password. If the server name is not fully qualified, and the target domain (domain) is different from the client domain (domain), check if
    there are identically named server accounts in these two domains, or use the ful
    ly-qualified name to identify the server.


    Sonntag, 9. Oktober 2022 22:37

Antworten

  • チャブーンです。

    この件ですが、エラーから虚心に考えると、以下の複合トラブル状態になってしまっているように思います。

    • (シャットダウンなどで)一時的にドメインコントローラー間の複製ができず、ドメインコントローラーのコンピュータアカウントが不整合となり、複製ができなくなった。
    • この状態のママ、180日間が過ぎ、データの信頼性に問題があるとして、引き続き複製ができない状態になっている

    単純に技術的に考えるなら、以下の対応を行うことで、「エラーをなくす」点については、対応できるかもしれません。

    ただし、上記を安易に行うことは禁物です。もし長い時間複製できてない、ということなら、複数のドメインコントローラーがそれぞれ「別の内容に変更」された可能性があり、システム上はこれを受け入れても、利用者にとっての問題が発生する可能性があるためです。どんな内容がいつ変更されたのか、を確認するためには、たとえばrepadmin /showobjmeta コマンドで、オブジェクトごとに確認する必要があり、大変だからです。

    そのため、より一般的には、「どのドメインコントローラーの情報が一番正しいのか」をシステム管理者が自分で決め、それ以外のドメインコントローラーを強制降格・残ったドメインコントローラー情報を削除することで、ひとつの情報に統一すると行ったことも行われている現状があります。

    こういった統合性の高いサポートは、コミュニティではできませんので、MS有償サポートに支援を仰ぐことを、強くお奨めします。

    プロフェッショナル サポート - Microsoft Services


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • Als Antwort markiert gontakashi Donnerstag, 10. November 2022 05:53
    Dienstag, 11. Oktober 2022 06:21
    Moderator

Alle Antworten

  • いくつか追加で情報を示された方が良いかと思います。

    • このイベントが記録されるドメイン コントローラーは特定の1台なのでしょうか?
    • 全部で何台のドメインコントローラーが稼働しているのでしょう。
    • またエラーが記録されるドメインコントローラーは FSMO でしょうか。

    エラーが記録されるドメインコントローラーが特定の1台で、それが FSMO でないなら、いったんドメイン コントローラーから降格させてドメインからも離脱させ、再参加⇒再昇格で良さそうな気もしますが、降格や離脱の所で問題が出るかもしれないですね。

    こちらを参考に repadmin /showrepl の結果を調査されても良いでしょう。


    Hebikuzure aka Murachi Akira

    Montag, 10. Oktober 2022 04:16
  • チャブーンです。

    この件ですが、エラーから虚心に考えると、以下の複合トラブル状態になってしまっているように思います。

    • (シャットダウンなどで)一時的にドメインコントローラー間の複製ができず、ドメインコントローラーのコンピュータアカウントが不整合となり、複製ができなくなった。
    • この状態のママ、180日間が過ぎ、データの信頼性に問題があるとして、引き続き複製ができない状態になっている

    単純に技術的に考えるなら、以下の対応を行うことで、「エラーをなくす」点については、対応できるかもしれません。

    ただし、上記を安易に行うことは禁物です。もし長い時間複製できてない、ということなら、複数のドメインコントローラーがそれぞれ「別の内容に変更」された可能性があり、システム上はこれを受け入れても、利用者にとっての問題が発生する可能性があるためです。どんな内容がいつ変更されたのか、を確認するためには、たとえばrepadmin /showobjmeta コマンドで、オブジェクトごとに確認する必要があり、大変だからです。

    そのため、より一般的には、「どのドメインコントローラーの情報が一番正しいのか」をシステム管理者が自分で決め、それ以外のドメインコントローラーを強制降格・残ったドメインコントローラー情報を削除することで、ひとつの情報に統一すると行ったことも行われている現状があります。

    こういった統合性の高いサポートは、コミュニティではできませんので、MS有償サポートに支援を仰ぐことを、強くお奨めします。

    プロフェッショナル サポート - Microsoft Services


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • Als Antwort markiert gontakashi Donnerstag, 10. November 2022 05:53
    Dienstag, 11. Oktober 2022 06:21
    Moderator
  •  Murachi Akira 様

    ご回答ありがとうございます。追加の情報ですが
    - 全部で何台のドメインコントローラーが稼働しているのでしょう。
    こちらに関しては2台稼働しています。

    - このイベントが記録されるドメイン コントローラーは特定の1台なのでしょうか?
    イベントID 2042についてはもう1台の機器でも発生しています。

    - またエラーが記録されるドメインコントローラーはFSMOでしょうか。
    イベントID 2042については両方でてきているので、FSMO以外でも発生しています。

    この条件での進め方を教えていただければ幸いです。

    • Bearbeitet gontakashi Dienstag, 11. Oktober 2022 06:48
    Dienstag, 11. Oktober 2022 06:28
  • チャブーン 様

    ご回答ありがとうございます。

    MS有償サポートに支援を仰ぎたいとは思いますが、その前に何か自分たちが出来ることはありますでしょうか?

    サポートを受けるに当たりどんな情報が必要なのか等、教えていただけると幸いです。

    Dienstag, 11. Oktober 2022 06:54
  • サポートに問い合わせされるのであれば、以下でしょう。

    • 現象発生環境の構成情報 - 具体的には OS バージョン、ドメイン構成(シングルフォレスト・シングルドメインなのか、それ以外の構成か、など)サイト構成、ドメイン機能レベル、DC の台数、ネットワーク構成などは分かりやすくまとめて最初に示すと良いでしょう
    • 確認されているエラー内容と、そのエラー情報を採取した手順
    • repadmin /showrepl や repadmin /showobjmeta コマンドでの情報採取・調査はサポートから指示があれば行うという形で良いと思いますが、repadmin /showrepl は先行して実行して結果を最初に示しても良いかもしれません。


    Hebikuzure aka Murachi Akira


    Dienstag, 11. Oktober 2022 14:12
  • Murachi Akira 様

    ご回答ありがとうございます、返信が遅くなってしまい申し訳ございませんでした。上記の項目について対応して情報を集めていきます。

    状況が変わりMS有償サポートに支援が難しくなってきましたので、出来る限りこちらで直せていければと思います。

    Freitag, 14. Oktober 2022 08:20
  • 自力で何とか、ということであれば、まず以下のドキュメントをよく確認してトラブルシューティングを行ってください。

    Diagnose AD replication failures - Windows Server | Microsoft Learn
    翻訳版 AD レプリケーションエラーを診断する - Windows Server | Microsoft Learn


    Hebikuzure aka Murachi Akira

    Sonntag, 16. Oktober 2022 04:34
  • Murachi Akira 様

    ありがとうございます。上記サイトのレプリケーションエラーについて確認していきたいと思います。

    情報をご提示していただき重ねてお礼申し上げます。

    Montag, 17. Oktober 2022 13:19