- - PR -
Active Directoryの競合?12294について
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-04-09 15:41
お世話になります。
現在、Windows2000 DC2台でドメインを運用しております。 構成 ネイティブモード サーバーA:DNS,DHCP,WINS,FSMO グローバルカタログ サーバーB:DNS,グローバルカタログ、ターミナルサービスにより クライアントからリモート操作。 昨日より以下のイベントがAサーバーにて発生するようになりました。 種類 : エラー ソース : SAM 分類 : なし イベント ID : 12294 ユーザー : ドメイン\\Administrator 説明 : SAM データベースはハード ディスク書き込み障害のような リソース エラーのため・のアカウントをロックアウトできませんでした。 (エラー データの中にエラー コードがあります)。 一定の回数パスワードの入力を間違えるとアカウントが ロックされるので、上記のパスワードをリセットすることを推奨します。 データ : 0000: c00002a5 マイクロソフト サポート技術情報 - 306091 「Active Directory の競合が原因で発生する NTDS 複製の警告 ID 1083 と 1061、および SAM エラー ID 12294 について」 http://support.microsoft.com/default.aspx?scid=kb;ja;306091 上記、マイクロソフト技術情報に今回の現象内容について説明があり、 「リモートでトリガされた更新がローカルの更新より優先された場合には、 ユーザー アカウントのロックアウトに関する次のシステム イベントが 記録されることがあります。 」とありますが、 「リモートでトリガされた更新」という意味が分かりません。 昨日はターミナルサービスを利用してクライアントからサーバーBへ 頻繁にアクセスしてユーザーの登録、変更、アカウントロックの解除等を 行いましたが、本日は行っていないのです。 (イベントのユーザー名がAdministratorとなっているのも気になります。) また、 「警告の発生後、キューに入れられた更新が既に (同じバージョン ID で) キューにあり、重複しているために無視されたことを報告する NTDS 情報イベントが記録されます。 」 ともあり、更に、 「この場合、複製エラーは発生していません。Active Directory には一貫性があり、イベント ログの結果は無視しても問題ありません。 」 とありますが、残念ながらこの「NTDS情報」はイベントには発生してくれません。 しかし、dcdiag を実行してみたのですが、全て「passed」となっております。 また、Windows 2000 Support Tools の Active Directory Replication Monitor もエラーの表示はありませんでした。 競合のため複製ができていないのでしょうか? それとも他に問題が発生しているのでしょうか? ご教授よろしくお願いいたします。 | ||||||||
|
投稿日時: 2004-04-09 22:37
わたしのサイトでは、同イベントが発生していないので、確認できませんが...
複製時、競合が発生したと思われます。 replmonで複製が正常ならば、その状態で様子を見てはいかがでしょうか? (Administratorでログオンでき、プロパティに異常がなければ良いと思います。) ■参考 EventID.Net 12294(英語) Active Directory の競合が原因で発生する NTDS 複製の警告 ID 1083 と 1061、および SAM エラー ID 12294 について EventcombMT ユーティリティを使用して、イベント ログでアカウント ロックアウトを検索する方法 | ||||||||
|
投稿日時: 2004-04-10 00:33
なな様、お返事ありがとうございます!
本現象ですが、お昼の12:00頃から20:00頃の間で 1時間に1、2回程度発生しております。 なな様ご指摘の >replmonで複製が正常ならば、その状態で様子を見てはいかがでしょうか? >(Administratorでログオンでき、プロパティに異常がなければ良いと思います。) というのは具体的にどうしたら良いでしょうか? 私は以下の方法で確認したのですが方法が間違ってますでしょうか? 1:replmonを起動 2:Aサーバーに接続 3:ツリーを全て展開し赤丸×のエラーが無いことを確認。 また、リンク先の「EventID.NET」で英文を何とか読んでみたのですが、 そういえば、昨日、Administrator権限のユーザーを 一つは削除して、もう一つはユーザー名とパスワードを変更しました。 (ちなみに削除、変更したユーザー名はAdministratorではありません。) 「Administrator権限を持つユーザー名を変更すると、 例え他のAdministrator権限でサーバーにログオンできても エラーが発生する。」というようなことが書いてあると思います。 (英訳できてなかったら、すいません。) これが原因でしょうか? だとすると、確認すべきは上記変更したAdministrator権限の ユーザー名、パスワードということになるのでしょうか? 大変申し訳ないですが、ご教授お願いいたします。 | ||||||||
|
投稿日時: 2004-04-10 15:45
わたしのサイトでは、
としています。 正常な場合は、Statusに「The last replicatio attempt was successful.」と記録されます。 異常な場合は、Statusに「Replication Failure: ...」と記録されます。 # よく考えてみると...複製が正常か確認するだけであれば、dcdiag /eでもOKです。
英語に弱いものですから...原文の箇所を教えていただけませんか? また、推測ですが、Administratorアカウントのユーザー名は変更していないとの事ですが、 パスワード変更を実施していませんか? [ メッセージ編集済み 編集者: なな 編集日時 2004-04-10 15:46 ] | ||||||||
|
投稿日時: 2004-04-10 22:56
お世話になります!
なな様、お返事ありがとうございます。 replmonによる複製確認方法のご説明ありがとうございます。 早速確認してみます。 と、ご指摘の原文ですが、リンク先の「EventID.Net」の一番下の 「This error proved to be very hard to track down and was occuring together with replication conflicts and other security audit failures (3221225578 - "User name correct but password wrong). Eventually we traced it back to a password change on our main domain "administrator" account and a service on another machine that was still trying to use the old password. This, however, resulted in failed connection attempts and the administrator account was declared as "Locked out" in AD even though we could still log on to the servers locally. When we renamed the administrator account, the security audit failures changed to "3221225572 - The username doesn't exist." and the new renamed administrator account stayed enabled and could be replicated successfully. です。 このあたりをまとめると、こういう意味なのかなぁと思って訳しました。 全然、違う訳でしたら、本当にすみません! と、更にご指摘のAdministrator権限のユーザー名とパスワードの変更ですが、 両方ともしました。 具体的には、Administrator以外に Admin1 Admin2 があったので、Admin2を削除し、Admin1をAdminに名前を変更し、 更にパスワードも変更しました。 やはり、この複製が上手くできていないということになるのでしょうか? 以下の方法を試したいと思います。 1.両サーバー(AサーバーとBサーバー)上でユーザー名Adminを確認 2.両サーバーでパスワードのリセットを実施。 見当違いでしょうか? よろしくお願いいたします。 | ||||||||
|
投稿日時: 2004-04-10 23:54
こちらの文書は、ここがポイントだと思います。
こちらにある「"administrator" account」は、Administrator権限のあるアカウントではなく、 Administratorアカウントを表しているようです。 Administratorアカウントのパスワードを変更した場合、 他のコンピュータにあるサービスがAdministratorアカウントの古いパスワードを使用して 認証を行うが、古いパスワードなので認証が通らずアカウントをロックアウトしてしまう... ということだと思います。 Q1.Administratorアカウントのパスワードは変更していませんか? Q2.各サーバーで稼動しているサービスで、(Admin1),(Admin2),Adminアカウントで稼動させているものはありますか? | ||||||||
|
投稿日時: 2004-04-11 21:28
お世話になっております!
なな様、いつもお返事ありがとうございます! >Administrator権限のあるアカウントではなく、 >Administratorアカウントを表しているようです。 そうですか!すいません。 すると、私の取ろうとした確認方法は全く見当違いですね。 お恥ずかしい限りです。 と、 >Q1.Administratorアカウントのパスワードは変更していませんか? これは変更しておりません。間違いないです。 >Q2.各サーバーで稼動しているサービスで、 >(Admin1),(Admin2),Adminアカウントで稼動させているものはありますか? ない、はずです。 DCは2台で構成しております。(メンバーサーバーは除きます。) 各サーバーの役割もDC以外に DNS,DHCP,WINS,WWWサーバーサービスくらいです。 すると、また振り出しに戻ってしまったというわけですね。 困りました! 一日中エラーが出るのではなく、昼頃から夜までというのも ますますもって謎です。 様子見するとしましても、同じエラーがあれだけ表示されるのは 何か、重大なことが潜んでそうで非常に怖いです。 例えば、Active Directoryのデータベースが壊れかけている・・・とか。 何とぞ、よろしくお願いいたします。 | ||||||||
|
投稿日時: 2004-04-13 17:27
お世話になっております。
本現象ですが、先週の木、金曜日のみの発生で、 昨日、今日と発生せず、しばらく様子見とすることにしました。 本現象の発生原因がAdministrator権限アカウントの ユーザー名、パスワードの変更によるものではないか・・? というところまできましたが、その他の、 現象発生時間が12:00頃〜20:00頃まで、 Active Directoryの複製は問題無し、 というところまでは追求できませんでした。 再度、本現象が発生した際は書き込みさせていただきます。 皆様、なな様、お力添え本当にありがとうございました。 | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。