状況
イベントの種類 : エラー コンピュータ : aaaaaa ユーザー : N/A ソース : DFSR カテゴリー : 0 (0) イベントID : 6006 DFS レプリケーション サービスは、構成情報のポーリング中に 矛盾する msDFSR-Member オブジェクトを検出しました。CN=7ea595c3-9cdc-41b9-a820-6883226c0553,CN=Topology,CN=App,CN=DFSR-GlobalSettings,CN=System,DC=xxxxxx,DC=xxx のオブジェクトは、 CN=yyyyyyy,OU=Domain Controllers,DC=yyyy,DC=yyyy の存在しない別のオブジェクトを参照しています。 追加情報: ドメイン コントローラ: xxxxxx.xxxxxx.xxxx ポーリング サイクル: 60 分
ログの名前: DFS Replication ソース: DFSR 日付: 2021/12/28 16:18:41 イベント ID: 5008 タスクのカテゴリ: なし レベル: エラー キーワード: クラシック ユーザー: N/A コンピューター: web1.xxxx.net 説明: DFS レプリケーション サービスは、レプリケーション グループ xxxx.net\dfs\xxxx のパートナー xxxx と 通信できませんでした。このエラーの原因として、ホストに到達できない、サーバー 上で DFS レプリケーション サービスが実行されていない、などが考えられます。 パートナー DNS アドレス: xxxx.xxxx.local 状況により利用可能なデータ: パートナー WINS アドレス: xxxx パートナー IP アドレス: 接続は定期的に再試行されます。 追加情報: エラー: 1722 (RPC サーバーを利用できません。) 接続 ID: 3E846C6B-445C-4CAF-87F8-BADE09EE5A74 レプリケーション グループ ID: 8B876C5B-B4C9-4260-B412-BBFB6D7E79E1
各DFSRサーバーが異なるDNSサーバーを参照している場合,DNSサーバーのレプリケーションやゾーン転送に問題があるとエラーが発生しているようです。
対応
その1.関係しているDNSサーバーすべてで,ゾーン転送がうまく出来ているかどうか調べてみる
例えば:
DNSマネージャー
-DNS
-xxxxx
-前方向参照ゾーン
-ドメイン名(セカンダリやスタブになっていて,DFSRで必要とされるもの)
-プロパティ
-全般
「状態」の項目がどうなっているか? もし 「読み込まれていません」 とかなっていると,
・ネームサーバー に余計な登録(すでに廃止されたサーバーなど)がないか確認する。
もしあるなら転送元となる(プライマリとして動作しているサーバー)にて
●ネームサーバーに不要なサーバーが登録されていないか
●ゾーン転送先が正しく設定されているか
●「Active Directory 統合」を使っているならであるなら転送が正しく行われる設定になっているかどうか確認
●念のためファイアウォールも確認
その2.Active Directory サイトとサービスで内容を確認
Sites
– XXXXXXX
– Servers
– xxxxxServer
この配下に不要なサーバーが登録されたままでないか
– NTDS Settings
レプリケート元 として登録されている情報に誤りがないか。または不測がないか
その3.File Replication Service を停止させる
(ドメイン機能レベルが Windows 2008 以上の場合 DFSが使われるそうなので。ただしWindows2003からWindows2008に機能レベルを上げた場合は手動で切り替えを行わなければならないそうです。こちら http://blogs.technet.com/b/junichia/archive/2008/01/24/windows-server-2008-sysvol-frs-dfsr.aspx に詳しく載せられています。 )
その4.TCP使用するに変更
回線に問題がある場合に有効。VPNを使用している時に起こるらしい
通信回線関係やらログオンエラーがでていないか調べてみる。どうも Windows 2003 Server(DCではない) 側にて,下記のエラーがある
イベントの種類: 警告 イベント ソース: LSASRV イベント カテゴリ: SPNEGO (Negotiator) イベント ID: 40960 日付: 2011/07/26 時刻: 22:29:56 ユーザー: N/A コンピュータ: xxxxxxx 説明: サーバー ldap/xxxxxxxxxx.xxxxxxx.local/xxxxxx.local@xxxxxxx.LOCAL の認証エラーを検出しました。 認証プロトコル Kerberos からのエラー コードは "現在、ログオン要求を処理できるログオン サーバーはありません。 (0xc000005e)" でした。調べてみると 案の定VPN回線特有のエラーで認証が出来ないことがあるそうで、以下の方法が最終的には有効だったようです。
http://blog.livedoor.jp/hentaiga/archives/51423417.html
http://support.microsoft.com/kb/244474/ja
そこでもって上記のエラーを起こしているサーバーにてレジストリを調整
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
MaxPacketSize=1(DWORD 10進)
これでTCP強制になるらしい。このサーバーは再起動。LSASRVの警告はなくなった。
変更してから数日経ちましたが 5012 6006 のエラーイベントは発生していません。解決でしょう!
LSASRV による認証が行えなかったので接続拒否し,それによって DFSR の接続が確立できずエラーが発生していたものと思われる。やっかいないのはいつも認証できないわけではなく認証がとおることもあるので(おそらくUDPパケットの関係だと思いますが)安定稼働しているかのように見えること。なんでまたUDPパケット使っているんでしょう・・・
その5.ActiveDirectory サーバーが落ちていないか
論外的な状況なのですが,実際これでタイトル通りのイベントログが記録されていました。ADSvを起動後,5分ぐらいたってから正常稼働した
その6.AD 構成の同期を手動で行う
DFSRのフォルダを変更したなど,対向側のサーバーにて変更が反映されていない場合,ADサーバー同士にて構成情報が同期されていないことが考えられる。そのまま放置しておけばそのうち同期が始まると思うが,待ってられない場合,相手側のADサーバーにて,Active Directory サイトとサービス による手動で同期を行なう
その7. 名前解決ができているか
DNSサーバーがダウンや不調だと相手先サーバー名の名前解決に失敗して接続できない。同様のエラーが発生する。nslookup や PINGコマンドを使って確認する。
プロパティ
Windows Server 2019
Windows Server 2012 R2
Windows Server 2008 R2
Windows Server 2003
コメント