[Windows]DFSRイベントID:5012, 6006

[Windows]DFSRイベントID:5012, 6006

状況

イベントの種類 : エラー
コンピュータ : aaaaaa
ユーザー : N/A
ソース : DFSR
カテゴリー : 0 (0)
イベントID : 6006

DFS レプリケーション サービスは、構成情報のポーリング中に
矛盾する msDFSR-Member オブジェクトを検出しました。CN=7ea595c3-9cdc-41b9-a820-6883226c0553,CN=Topology,CN=App,CN=DFSR-GlobalSettings,CN=System,DC=xxxxxx,DC=xxx のオブジェクトは、
CN=yyyyyyy,OU=Domain Controllers,DC=yyyy,DC=yyyy の存在しない別のオブジェクトを参照しています。

追加情報:

ドメイン コントローラ: xxxxxx.xxxxxx.xxxx

ポーリング サイクル: 60 分

各DFSRサーバーが異なるDNSサーバーを参照している場合,DNSサーバーのレプリケーションやゾーン転送に問題があるとエラーが発生しているようです。

対応

その1.関係しているDNSサーバーすべてでで,ゾーン転送がうまく出来ているかどうか調べてみる

例えば:
DNSマネージャー
-DNS
-xxxxx
-前方向参照ゾーン
-ドメイン名(セカンダリやスタブになっていて,DFSRで必要とされるもの)
-プロパティ
-全般

「状態」の項目がどうなっているか? もし 「読み込まれていません」 とかなっていると,
・ネームサーバー に余計な登録(すでに廃止されたサーバーなど)がないか確認する。
もしあるなら転送元となる(プライマリとして動作しているサーバー)にて
●ネームサーバーに不要なサーバーが登録されていないか
●ゾーン転送先が正しく設定されているか
●「Active Directory 統合」を使っているならであるなら転送が正しく行われる設定になっているかどうか確認
●念のためファイアウォールも確認

その2.Active Directory サイトとサービスで内容を確認

Sites
– XXXXXXX
– Servers
– xxxxxServer
この配下に不要なサーバーが登録されたままでないか
– NTDS Settings
レプリケート元 として登録されている情報に誤りがないか。または不測がないか

その3.File Replication Service を停止させる

(ドメイン機能レベルが Windows 2008 以上の場合 DFSが使われるそうなので。ただしWindows2003からWindows2008に機能レベルを上げた場合は手動で切り替えを行わなければならないそうです。こちら http://blogs.technet.com/b/junichia/archive/2008/01/24/windows-server-2008-sysvol-frs-dfsr.aspx に詳しく載せられています。 )

その4.TCP使用するに変更

回線に問題がある場合に有効。VPNを使用している時に起こるらしい

通信回線関係やらログオンエラーがでていないか調べてみる。どうも Windows 2003 Server(DCではない) 側にて,下記のエラーがある

イベントの種類: 警告
イベント ソース: LSASRV
イベント カテゴリ: SPNEGO (Negotiator)
イベント ID: 40960
日付: 2011/07/26
時刻: 22:29:56
ユーザー: N/A
コンピュータ: xxxxxxx
説明:
サーバー ldap/xxxxxxxxxx.xxxxxxx.local/xxxxxx.local@xxxxxxx.LOCAL の認証エラーを検出しました。 認証プロトコル Kerberos からのエラー コードは "現在、ログオン要求を処理できるログオン サーバーはありません。
(0xc000005e)" でした。

調べてみると 案の定VPN回線特有のエラーで認証が出来ないことがあるそうで、以下の方法が最終的には有効だったようです。

http://blog.livedoor.jp/hentaiga/archives/51423417.html
http://support.microsoft.com/kb/244474/ja

そこでもって上記のエラーを起こしているサーバーにてレジストリを調整
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
MaxPacketSize=1(DWORD 10進)

これでTCP強制になるらしい。このサーバーは再起動。LSASRVの警告はなくなった。

変更してから数日経ちましたが 5012 6006 のエラーイベントは発生していません。解決でしょう!

LSASRV による認証が行えなかったので接続拒否し,それによって DFSR の接続が確立できずエラーが発生していたものと思われる。やっかいないのはいつも認証できないわけではなく認証がとおることもあるので(おそらくUDPパケットの関係だと思いますが)安定稼働しているかのように見えること。なんでまたUDPパケット使っているんでしょう・・・

その5.ActiveDirectory サーバーが落ちていないか

論外的な状況なのですが,実際これでタイトル通りのイベントログが記録されていました。ADSvを起動後,5分ぐらいたってから正常稼働した

その6.AD 構成の同期を手動で行う

DFSRのフォルダを変更したなど,対向側のサーバーにて変更が反映されていない場合,ADサーバー同士にて構成情報が同期されていないことが考えられる。そのまま放置しておけばそのうち同期が始まると思うが,待ってられない場合,相手側のADサーバーにて,Active Directory サイトとサービス による手動で同期を行なう

プロパティ

Windows Server 2012 R2 , 2008 R2 , 2003

解決しましたら、いいね か ツイート をお願いします

コメントする