ActiveDirectoryの2台のドメインコントローラー間での同期に失敗する

kurayoshi 45 評価のポイント
2024-09-12T01:35:44.3566667+00:00

【事象】

2台のドメインコントローラ(DC)で構成したActiveDirectoryがあります。

このDC間でユーザプロファイル・ファイルの同期を行っていましたが、ある時期を境にDC間での同期が失敗するようになりました。

サーバーマネージャーからイベントログを確認すると、以下の状態となっております。

DC1

●ローカルサーバー:

 ID 4 「Kerberos クライアントはサーバー dc2$ から KRB_AP_ERR_MODIFIED エラーを受信しました。

使用したターゲット名は HTTP/DC2 でした。

これは、ターゲット サーバーがクライアントにより提供されたチケットの暗号化解除に失敗したことを示します。

これは、ターゲット サーバーのプリンシパル名 (SPN) が、ターゲット サービスにより使用されているアカウントとは別のアカウントで登録されている場合に発生します。

ターゲット SPN は、サーバーによって使用されるアカウントでのみ登録してください。

このエラーは、ターゲット サービス アカウントのパスワードが、そのターゲット サービスに対して Kerberos キー配布センター (KDC) で構成されているパスワードと異なる場合にも発生します。

サーバー上のサービスと KDC の両方が同じパスワードを使用するように構成されていることを確認してください。

ターゲット ドメイン (<ドメイン名>) がクライアント ドメイン (<ドメイン名>) と異なっており、サーバー名が完全修飾名になっていない場合は、これら 2 つのドメイン内に同じ名前を与えられたサーバー アカウントがないかをチェックするか、またはサーバーの指定に完全修飾名を使用してください。」

 ID 5722 「コンピューター DC2 からのセッション設定を認証できませんでした。 セキュリティ データベースで参照されたアカウント名は DC2$ です。次のエラーが発生しました: アクセスが拒否されました。」

●AD DS:

 ID 5002 

  DFS レプリケーション サービスは、レプリケーション グループ Domain System Volume の パートナー DC2 との通信でエラーを検出しました。

  パートナー DNS アドレス: DC2.<ドメイン名>

  状況により利用可能なデータ:

  パートナー WINS アドレス: DC2

  パートナー IP アドレス: <IPアドレス>

  接続は定期的に再試行されます。

  追加情報:

  エラー: 1825 (セキュリティ パッケージ固有エラーが発生しました。)

  接続 ID: <ハッシュ値>

  レプリケーション グループ ID: <ハッシュ値>

 ID 6002

  DFS レプリケーション サービスは、構成情報のポーリング中に 無効な msDFSR-Member オブジェクト データを検出しました。

  追加情報:

  オブジェクト DN: CN=<ハッシュ値>,CN=Topology,CN=RepGroup01,CN=DFSR-GlobalSettings,CN=System,DC=<ドメイン名>,DC=<ドメイン名>

  属性名: msDFSR-ComputerReference

  ドメイン コントローラー: DC1.<ドメイン名>

  ポーリング サイクル: 60 分

DC2

●ローカルサーバー:

 ID4:DC名が変わっただけの同様のメッセージが出力されています。

 ID 3210「このコンピューターはドメイン <ドメイン名> の Windows ドメイン コントローラー \DC1.<ドメイン名> で 認証されなかったため、ログオン要求を拒否する可能性があります。認証に失敗した原因として、このコンピューター アカウントが認識されていないため、 同じネットワーク上で別のコンピューターが同じ名前またはパスワードを 使用していることが考えられます。このメッセージが再び表示される場合は、 システム管理者に問い合わせてください。」

 ID 1014「名前 settings-win.data.microsoft.com の名前解決は、構成されたどの DNS サーバーからも応答がなく、タイムアウトしました。」

【確認・試したこと】

エラーコードから、以下を実行しました。

●ID 3210(NETLOGONエラーについて)

https://infra-memorandum.com/netlogon_error3210_and_test-computersecurechannel/

⇒DC2にてTest-ComputerSecureChannel -Verboseを実行した結果falseだったため、続いて -Repairを実行した結果、こちらもfalseとなり修復が失敗。

●ID 4(KRB_AP_ERR_MODIFIEDエラーについて)

https://pkiwithadcs.com/system_event_id_4_kerberos/
⇒いずれの方法を試しても、解決しませんでした。

また、ADの手動同期をコマンドから試したところ、下記メッセージが出力されました。

「Active Directory レプリケーション エラー -2146893022 (0x80090322): ターゲット プリンシパル名が正しくありません」

https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/active-directory/replication-error-2146893022

https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/active-directory/target-principal-name-is-incorrect-when-replicating-data

⇒こちら2件の方法を試しましたが、いずれも解決に至りませんでした。

なお、各DCのDNSサーバ参照先は以下の通りとなっております。

DC1:(優先)127.0.0.1(代替)設定なし

DC2:(優先)DC1のIP (代替)127.0.0.1

長文で恐縮ですが、これらの内容から、他に確認すべき情報や試すべき方法があればご教示ください。

Windows Server 2019
Windows Server 2019
データ ストレージに更新されたエンタープライズ レベルの管理をサポートする Microsoft サーバー オペレーティング システム。
31 件の質問
Active Directory
Active Directory
Windows Server に含まれるディレクトリベースのテクノロジのセット。
32 件の質問
{count} 件の投票

承認済みの回答
  1. チャブーン 1,706 評価のポイント MVP
    2024-09-17T01:24:03.5066667+00:00

    チャブーンです。

    この件ですが、エラーの内容から「ドメインコントローラーのコンピューターアカウント」のパスワードが不整合を起こしている、と思われます。

    ドメインコントローラーは自分自身が認証サーバーのため、他のコンピューターのように「Test-ComputerSecureChannel」コマンドレットでの修正はできません。そのための別の方法が必要です。

    具体的な方法については、以下の資料を参照してください。

    https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/active-directory/target-principal-name-is-incorrect-when-replicating-data#resolution

    キーポイントとしては、

    • KDCを止める
    • システムアカウント(0x3e7)のKerberosチケットを削除する
    • netdom resetpwdコマンドでドメインコントローラーのコンピュータパスワードを整合する
    • repadminで複製し双方のドメインコントローラー間のデータ整合を行う

    というところです。詳細な手順は、上記資料を「よく読んで」実行してください。

    1 人がこの回答が役に立ったと思いました。

0 件の追加の回答

並べ替え方法: 最も役に立つ

お客様の回答

回答は、質問作成者が [承諾された回答] としてマークできます。これは、ユーザーが回答が作成者の問題を解決したことを知るのに役立ちます。