Active Directory環境において、新たにWindows Server 2022上で追加ドメインコントローラーを構築しようとした際に、RPCエラーやレプリケーションの失敗で立ち往生するケースは少なくありません。本記事では、経験者の知見と公式ドキュメントを踏まえた具体的な対処法をまとめています。
Windows Server 2022での追加ドメインコントローラー導入における注意点
Windows Server 2022を新たなドメインコントローラー(DC)として追加する際、既存のWindows Server 2012のみで運用されている環境と連携させること自体は技術的に大きな問題はありません。しかし、実際にはレプリケーションを最後まで完了できず、「The RPC server is unavailable(エラー1722)」などのメッセージが表示されることがあります。
このエラーはネットワークが遮断されていたり、DNS名前解決に失敗している際にも表示されますが、単にpingが通るからといって解決済みとは限りません。RPC通信に必要な特定ポートやサービスの状態、ドメイン機能レベル、時間同期など、複数の要因が絡み合うことで発生するため、包括的なトラブルシューティングが必要です。
RPCサーバーが利用できませんエラーの概要
「Active Directoryドメイン サービスは、ディレクトリ パーティション『CN=Configuration,DC=…』を複製できませんでした (The RPC server is unavailable)」というエラーは、代表的なレプリケーション失敗時のメッセージです。これはRPC(Remote Procedure Call)通信に必要なポートがブロックされていたり、DNSが正しく構成されていない、時刻同期の不備など様々な原因によって発生する可能性があります。
この問題を解決するためには、Microsoft公式ドキュメント「Troubleshoot replication error 1722」にある情報を確認しつつ、以下のポイントを総合的に検証することが重要です。
トラブルシューティングのステップ
ここでは、特にエラー1722に関連すると考えられる代表的なチェックポイントを挙げながら、具体的な検証手順や対策を解説します。
1. ネットワーク接続と名前解決
最初に着目すべきはDNSを含むネットワーク接続の基本的な構成です。ドメインコントローラー同士が正しいFQDNでお互いを解決できているか、DNSサーバーのプライマリ設定が既存DCになっているかを確認しましょう。
- DNSサーバーのIPv4/IPv6設定で、プライマリDNSが既存ドメインコントローラーのIPアドレスになっているか
- DNSフォワーダーや逆引き参照ゾーンなどに問題がないか
- ドメインコントローラーのホスト(A)レコードやSRVレコードがDNSに正しく登録されているか
例えばDNSのSRVレコードをコマンドで確認したい場合は、以下のようにnslookupを使用することもできます。
nslookup
> set type=SRV
> _ldap._tcp.dc._msdcs.<ドメイン名>このコマンドによって、該当のSRVレコードが登録されているドメインコントローラーの一覧が表示されます。登録されていない場合はDNS設定を見直す必要があります。
2. RPCポートのファイアウォール設定確認
レプリケーションの失敗要因として最も多いものの一つが、RPCで利用されるポート通信がブロックされているケースです。既定ではRPCエンドポイントマッパーがTCP 135ポートを使用し、動的に割り当てられるポート範囲(49152~65535など)で通信用ポートを確保します。ファイアウォールやウイルス対策ソフトウェアによっては、この動的なポートが遮断されている場合があります。
Windowsのファイアウォール設定でRPC関連の通信が許可されているか、またはアンチウイルス製品にRPCの動的ポートをブロックする機能がないかを確認しましょう。企業向けの環境では、セキュリティポリシーに基づき特定のポートだけを開放しているケースもあるため、以下のような対処が必要になることがあります。
- RPCの動的ポート範囲をレジストリやグループポリシーで制限し、明示的に許可
- TCP135ポートを含む必要な通信を明示的にファイアウォールで開放
- ネットワーク機器(ルーターやL3スイッチなど)でポートフィルタリングがかかっていないか確認
以下はWindowsのコマンドラインから現在のファイアウォールルールを確認する例です。
netsh advfirewall firewall show rule name=allこの結果をスクロールしながら、RPCやドメインコントローラー関連のルールがブロックされていないかをチェックしてください。
3. ドメイン機能レベルとサーバー互換性
ドメイン機能レベルは「Windows Server 2012」などで運用している場合、そのままWindows Server 2022を追加しても基本的には動作するはずです。しかし、機能レベルが大幅に古い環境(Windows Server 2003レベルなど)だと互換性の問題が発生するケースもあります。
ドメイン機能レベルを確認するには、Active Directory管理センターやGet-ADDomainコマンドを使用します。
Get-ADDomain | Select-Object Name, DomainMode, ForestModeDomainModeやForestModeが十分に新しいバージョンであれば、Windows Server 2022のドメインコントローラー追加に大きな問題は発生しづらいでしょう。ただし、ドメイン参加の途中で警告やエラーが出る場合は、サイトとサービスの設定やDFSレプリケーションとの兼ね合いも確認が必要です。
4. 時間同期の重要性
Kerberos認証を採用しているActive Directoryでは、ドメインコントローラー間の時刻同期が非常に重要です。時刻のずれが大きい環境では、認証トークンが無効と判断されレプリケーションが失敗するケースがあります。
以下のコマンドで、既存DCと新しいDCの時刻が正しく同期しているかを確認できます。
w32tm /query /status「Source」が社内のNTPサーバーや既存のDCを指していれば基本的には問題ありません。ズレが大きい場合は、w32tm /resyncコマンドを試したり、グループポリシーで正しいNTPサーバーを参照するよう設定を行いましょう。
5. Active Directoryサイトとサービスの確認
Active Directory Sites and Services(ADサイトとサービス)の構成が不適切な場合も、レプリケーションに影響します。地理的に分散している環境では、誤ったサイトに配置された新しいDCが、遠隔地のDCとレプリケーションしようとして失敗するケースが見られます。
- 新しいDCが所属するサイトが正しいか
- サイトリンクのコストやレプリケーションスケジュール
- IPサブネットの定義が正しく行われているか
ADサイトとサービスで確認を行い、必要があればサイト移動やサイトリンクの設定を変更してください。また、複数サイト間レプリケーションが即時に必要な場合は「Replicate Now」機能を利用して強制的に同期してみるとよいでしょう。
6. イベントビューアとログの活用
追加ドメインコントローラー側・既存ドメインコントローラー側双方のイベントビューア(イベントログ)をチェックすることで、より詳細なエラー情報が得られることがあります。特に「Directory Service」ログや「DNS Server」ログに注目してみてください。
- イベントID 2087 や 2088 (DNS設定の問題)
- イベントID 1311 (サイト間レプリケーション問題)
- イベントID 4 や 5 (Kerberos関連エラー)
これらのイベントは原因を特定する手掛かりとなります。また、DNSサーバー関連のログにはSRVレコードの更新失敗やゾーン転送の失敗など、根本原因を示す情報が含まれている可能性があります。
7. フォレストとドメインの健全性確認コマンド例
レプリケーション問題に直面した際は、Active Directoryが全体的に正常であるかを確認するコマンドを実行するのも有効です。代表的なものとしては、dcdiagやrepadminがあります。
| コマンド | 主な用途 | 例 |
|---|---|---|
| dcdiag | DCの全般的なヘルスチェック | dcdiag /v /c /d /e |
| repadmin | ADレプリケーションの状態確認 | repadmin /replsummary |
| repadmin /showrepl | 各パーティションのレプリケーション状況 | repadmin /showrepl |
例えばrepadmin /replsummaryを実行することで、全ドメインコントローラーのレプリケーション状況が一覧表示され、失敗数や遅延などを一目で把握できます。ここで表示されるエラーコードを参考にさらに調査を進めましょう。
トラブルシューティングの応用:レジストリやグループポリシーの確認
レプリケーションエラーの原因がシンプルなネットワーク問題やDNS設定ではなく、OSのレジストリ設定やグループポリシーによるセキュリティ制限に起因している可能性もあります。特に大規模組織であれば、ポート制限や拡張的な認証設定が導入されていることが多いです。
1. レジストリ設定によるRPCダイナミックポート範囲の確認
WindowsではRPCダイナミックポート範囲(既定49152~65535)が設定されており、Active Directoryのレプリケーションでもこれらを使用します。大規模組織ではこの範囲を狭めることでセキュリティ強化を図る場合があります。
この設定は下記のレジストリキーで管理されています。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc\Internet設定を変更する場合はグループポリシーも合わせて確認し、必要なポート範囲がブロックされていないかを慎重にチェックしましょう。下手に狭い範囲にしすぎるとレプリケーションの競合が発生することがあります。
2. セキュリティ強化設定に伴うRPC通信制限の見直し
高度なセキュリティ要件が求められる環境では、RPC通信をIPSecやTLSで保護するポリシーを導入している場合もあります。これによりWindows Server 2022とWindows Server 2012が異なる暗号化方式や認証方式を使用し、通信が正常に確立できなくなるケースも考えられます。
下記のような点を再度確認してください。
- IPSecポリシーやIPSecトンネルでRPCが許可されているか
- グループポリシーでNTLMやKerberosに関する制限が厳格すぎないか
- TLSバージョン(TLS1.2、TLS1.3)に関連する問題が発生していないか
特にTLS1.0/1.1を無効化している場合、古いサーバーとの通信で問題が生じる可能性があり、証明書の互換性など細部を確認する必要があります。
エラーが解決しない場合の最終手段
何度トラブルシューティングを試みてもエラーが解決しない場合、最終的には以下のような手段を検討することもあります。
- 追加DCとしてドメイン参加を再度実行する 一度AD DSの役割を削除し、サーバー再起動後に再度ドメインコントローラー昇格を試みる。昇格前に
dcdiagやnetdiag(Windows Server 2012以降では基本dcdiagに統合)の結果を確認しておく。 - サーバー名とIPアドレスの変更 DNS周りのキャッシュやレコード衝突を避けるために、一時的にサーバー名やIPアドレスを変えて新規に昇格テストを行う。特に同じ名前を使い回すケースでは重複レコードなどが残ることがある。
- 既存ドメインコントローラーの健全性を別途検証 そもそも既存のWindows Server 2012 DCに問題があり、レプリケーション情報が破損している場合もある。その場合はドメイン全体の健全性を修復する必要がある。
こうした対策を取ってもなお問題が解決しない場合は、具体的なエラーIDやログの内容をMicrosoftのサポートに問い合わせ、専門的な解析を依頼することを検討しましょう。
まとめ:Windows Server 2022への追加DC導入で大切なポイント
Windows Server 2022でのドメインコントローラー追加時に「RPCサーバーが利用できません」エラーが発生する場合は、DNS構成やポート設定、時刻同期、サイトとサービスなど複数の要因を一つひとつチェックし、根本原因を突き止める必要があります。特に以下のポイントは重点的に確認してください。
- DNS設定の見直し:プライマリDNSサーバーとSRVレコードを念入りに確認。
- RPCポートの開放:TCP135を含む動的ポートの通信を許可する。
- 時間同期:Kerberos認証に必要な正確な時刻設定を保つ。
- サイトとサービスの適切な設定:地理的に分散している場合はサイトリンクコストも重要。
- イベントログ:詳細なエラー情報の宝庫。IDを確認して原因特定。
これらを踏まえた上で、dcdiagやrepadminを活用して問題の箇所を特定し、必要に応じてグループポリシーやレジストリ設定を調整することで、多くの場合はレプリケーションエラーが解決に向かうでしょう。Windows Server 2022の先進的な機能を活かしながら、安定したドメインコントローラー環境を構築するために、根本原因を見極めて着実に対処することが肝要です。
コメント