一部のコンピューターがすべての GPO を取得していないという問題が発生しています。グループ ポリシー管理エディターで確認すると、多数の「赤い x」や「ファイルが見つかりません」という GPO が表示されます (どの GPO であるかは指定されていません)。
私たちの環境について少し説明しますと、Server 2008 R2 機能レベルのドメイン コントローラーが 4 つあります。2 つの DC はオンプレミスの Server2k8R2 で、他の 2 つは Server 2016 を実行しているオフサイトの AWS EC2 インスタンスです。
「net share」を実行すると、2 つの 2K8R2 DC と 2K16 DC で NETLOGON と SYSVOL の両方が異なるパスで共有されていることが示されます (これが問題かどうかはわかりません)。
Server2016 DCs show these paths:
NETLOGON - C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
SYSVOL - C:\Windows\SYSVOL\sysvol
Server 2008 R2 DCs show these paths:
NETLOGON - C:\Windows\SYSVOL_DFSR\sysvol\superior.local\SCRIPTS
SYSVOL - C:\Windows\SYSVOL_DFSR\sysvol
いずれの場合も、domain.local フォルダーを除いて、C:\Windows\SYSVOL\sysvol は空です。
「DCDIAG」を実行すると、4 つの「SystemLog」テストすべてで失敗が示され、DFSREvent テストで警告が表示されます。
AWSDC01 & AWSDC02:
SystemLog test-
"The Netlogon service encountered a client using RPC signing instead of RPC sealing".
"The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account.
DFSREvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
"
OnSite-DC1:
DFRSEvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
SystemLog test - "An error event occurred. Event ID 0xC2000001. Unexpected failure. Error code 490@01010004"
OnSite-DC2:
DFRSEvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
and
"This computer could not authenticate with \\AWSDC01.domain.local, a Windows domain controller for domain DOMAINNAME, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized."
注目すべき追加の事項:
-Event viewer logs (on on-site DC1 and on-site DC2) under application and services > DFS replication show only information about replication between each other. No mention of replication between the AWS DC's.
- Every hour the on-prem DCs show a DFS error "the dfs replication service is stopping communication with partner {other on-prem DC} for replication group Domain System Volume due to an error. Error 9036.
AWS DC02 only shows error logs regarding DFS replication with on-prem DC02. Same error 9036 "replication service stopping due to an error".
AWS DC01, same thing - only shows logs regarding DFS replication with on-prem DC01. Error 9036 "replication service stopped due to an error".
ここで何が起こっているのか、次にどこを探せばいいのか、何か考えはありますか?
答え1
これらのエラーは認証の問題を示唆しているため、Greg Askew が言及している最近の Kerberos アップデートが原因である可能性が高く、特に最近アップデートを行っていて、その時点で問題が発生した場合はその可能性が高いと考えられます。そう考える場合は、そのアップデートを一時的に削除することを検討し、すべてが再び機能するようになったら、2008 サーバーをできるだけ早く dcpromo で削除することを計画してください。
次のツールを試してみてください: https://www.microsoft.com/en-us/download/details.aspx?id=30005
以前にも MS の別のレプリケーション監視ツールを使用したことがあるはずですが、今それが何と呼ばれていたのか思い出せません。MSI インストールだったことしか覚えていません。おそらく、dfrs ではなく、FRS diag のみだったのでしょう。
AD レプリケーションは DNS と同期された時間に大きく依存しているため、すべての設定を必ず 3 回確認してください。時間の比較には次の方法があります。
net time \\server
差異があるかどうか、つまり、それが機能するかどうか (つまり、コマンドの実行時にサーバー間の接続に問題がないかどうか) を確認します。そうでない場合は、すべてを同じ外部時間ソース (たとえば pool.ntp.org) から同期することを検討します。
DNS をテストするには、他のすべてのサーバーからすべてのサーバーの FQDN を ping し、結果を相互に比較し、期待どおりの結果と比較します。オンプレミスと AWS の間に VPN または同様の非 NAT L3 ルーティングがあると思いますか? たとえば、192.168.1.10 は 10.0.0.2 に ping できます。または、オンプレミスと AWS の「内部」IP に ping できます (私は Azure にしか精通していないので、同じではない可能性があります。AWS が何らかの点で異なる場合はご容赦ください)。
また、AD サイトとサービスで AWS とオンプレミスの両方をチェックし、NTDS までドリルダウンしてレプリケーション関係を確認することもできます。右クリックしてレプリケーションを実行し、(言い換えると)「OK」または「できません」と表示されるかどうかを確認できます。これにより、問題を絞り込むのに役立つ場合があります。