Windows Server 2022 ドメイン参加エラー1332/1003の原因と対策

Windows Server 2022でドメインに参加しようとした際に発生する「1332」や「1003」のエラーは、ネットワーク構成やDNSの設定など複数の要因によって引き起こされることがあります。ここでは、原因の切り分けから具体的な対処法までを詳しく解説しますので、トラブルシューティングにお役立てください。

Windows Server 2022のドメイン参加エラーの特徴

Windows Server 2022を新規に導入したり、既存のActive Directory環境に追加しようとした際に、「1332（ERROR_NO_SUCH_USER）」や「1003（Cannot complete this function）」といったエラーコードが表示され、ドメイン参加に失敗するケースがあります。これらのエラーは原因が多岐にわたるため、単純に再起動や再インストールだけでは解決しないことも珍しくありません。以下では、具体的な原因と考えられる対策を丁寧に見ていきます。

代表的なエラーコードの意味

• エラーコード1332（ERROR_NO_SUCH_USER）: 指定されたアカウント名やユーザー名、またはセキュリティIDが見つからない場合に表示されます。ドメイン上のアカウント情報に問題がある、もしくはクライアントから正しいドメイン情報が参照できていない可能性があります。
• エラーコード1003（Cannot complete this function）: 何らかの理由で要求された処理が実行できない場合に表示されます。ドメイン参加に必要なやり取り（DNSやKerberos認証、LDAP問い合わせなど）の一部が失敗していることが考えられます。

ネットワーク接続の確認

ドメイン参加の失敗要因として最初に疑うべきはネットワークの到達性です。特に、ドメインコントローラー（DC）との通信が遮断されていると、認証プロセス自体が始まらない場合があります。

基本的な到達性テスト

以下のコマンドを使い、クライアント（参加させたいサーバー）からドメインコントローラーへ疎通が取れているか確認しましょう。

ping <ドメインコントローラーのホスト名またはIPアドレス>

応答が返ってこない場合は、物理的な接続やルーティング設定を疑う必要があります。また、ファイアウォールがICMPをブロックしている可能性もあるため、設定を確認してください。

telnetによるポートの疎通確認

ドメイン参加で使用する主要ポートが開いているかどうかを確かめるには、telnetコマンドが有効です。Windowsではデフォルトでtelnetクライアントがインストールされていない場合もあるため、必要に応じて「Windowsの機能の有効化または無効化」から追加してください。

telnet <ドメインコントローラーのホスト名またはIPアドレス> 445

例えば、TCP 445番ポートが開放されていれば、空白画面のまま接続が維持されます。接続できない場合は「接続できませんでした」といったエラーが表示されます。

主要ポート一覧

ドメイン参加やログオンなど、Active Directoryの通信に関連する主なポートは以下のとおりです。

ポート番号	プロトコル	用途
53	TCP/UDP	DNS名前解決
88	TCP/UDP	Kerberos認証
135	TCP	RPC (Remote Procedure Call)
389	TCP/UDP	LDAP (ディレクトリサービス)
445	TCP	SMB (ファイル共有、RPC経由の管理)
636	TCP	LDAPS (LDAP over SSL/TLS)
3268	TCP	Global Catalogサービス
3269	TCP	Global Catalogサービス (SSL)

ファイアウォールやネットワーク機器（ルーター、L3スイッチなど）で、これらのポートがブロックされていないかを必ずチェックしてください。

DNS設定の確認

Windowsドメイン参加の際にはDNSによる名前解決が大前提となります。特に、AD環境においてはDNSサーバーがドメインコントローラーと同一マシンであることも多いので、クライアント側のDNS設定が誤っているとドメイン参加はまず成功しません。

クライアント側DNS設定の確認手順

1. IPv4プロパティ
   コントロールパネルやWindowsの設定画面で「ネットワークとインターネット」→「アダプターのオプションを変更する」から、対象のネットワークアダプターのプロパティを開きます。「インターネット プロトコル バージョン4 (TCP/IPv4)」を選択し、優先DNSサーバーおよび代替DNSサーバーに正しいドメインコントローラー（またはDNSサーバー）のIPアドレスが設定されているかを確認します。
2. nslookupコマンド
   コマンドプロンプトやPowerShellで、以下のようにドメイン名の名前解決をテストします。

   nslookup xxx.LOCAL
   nslookup <ドメインコントローラーのホスト名>

正常に応答が返ってくるか、サーバー情報として期待通りのDNSサーバーを参照しているかをチェックします。もし外部のDNSサーバーを参照しているようであれば、クライアントのTCP/IP設定を修正しましょう。

SRVレコードの正当性

ドメインコントローラーが保持するSRVレコード（例: _ldap._tcp.xxx.localなど）は、クライアントがドメインコントローラーを探索するために必須となる情報です。AD環境のDNSサーバー上で、SRVレコードが正しく登録されているかをDNS管理ツールで確認してください。
また、SRVレコードに誤りがあったり重複があったりすると、クライアントが誤ったホストへ接続を試みる可能性があります。DNSサーバーのゾーン情報とイベントログを併せて確認し、エラーや警告が出ていないか確かめましょう。

システムログやイベントログの確認

ドメイン参加が失敗した場合、必ずと言っていいほどWindowsのイベントログに何らかの手がかりが残されています。クライアント側・ドメインコントローラー側の両方をチェックすることが重要です。

イベントログの種類

1. システム ログ
   ネットワーク関連のエラーやドライバ、サービスの起動失敗などが記録されます。ドメイン参加プロセスでも、DNSやTCP/IPの問題があればここにエラーが残ることがあります。
2. セキュリティ ログ
   認証やアカウント権限に関する情報が集約されます。Kerberosの失敗やアカウント名相違などが原因の場合、ここにエラーイベントが記録される場合があります。
3. Directory Service ログ（DC側）
   ドメインコントローラーでは、Active Directory関連のログが「Directory Service」や「DNS Server」ログにも残ります。クライアントがドメインに参加を要求したタイミングでエラーメッセージがないか探してみてください。

PowerShellでのログ検索例

サーバー台数が多い環境では、GUIで個別にログを探すよりもPowerShellを活用すると効率的に検索できます。

# システムログから"Netlogon"に関するエラーを抽出
Get-EventLog -LogName System -EntryType Error -Source Netlogon -Newest 50

# セキュリティログからログオン失敗に関するイベントID (4625など) を抽出
Get-EventLog -LogName Security -EntryType FailureAudit -Newest 100 | 
Where-Object {$_.EventID -eq 4625}

上記のように、ドメイン参加エラーの原因を特定しやすいキーワードやイベントIDでフィルタリングするのがおすすめです。

プロトコルやポートの設定確認

先ほどの表で示したように、Active Directory環境では複数のポートとプロトコルが使われます。特にセキュリティ強化を目的として、不要なポートを絞り込んだりファイアウォールの設定を厳格化した環境では、ドメイン参加に必要なポートがブロックされているケースがあります。

ファイアウォールルールの確認ポイント

• Windows Defender ファイアウォール
  ドメインプロファイル、プライベートプロファイル、パブリックプロファイルの3種があるので、クライアントとドメインコントローラーの両方で「どのプロファイルが適用されているか」を把握し、必要な例外ルールが設定されているか確認してください。
• ネットワーク機器でのACL/フィルタ
  企業ネットワークでは、ゲートウェイやL3スイッチ上のACL（アクセスコントロールリスト）によってポートが閉じられている場合もあります。ドメイン内のサブネット設計やVLAN構成を把握し、必要な通信が通過できるようにルールを調整しましょう。

パケットサイズやパケット断片化の問題

ごくまれに、大きなLDAP応答やKerberosトークンのやり取りでパケット断片化が発生し、それが原因でドメイン参加に失敗する場合があります。特にVPN越しやMTUサイズを制限しているネットワークでは注意が必要です。

MTUサイズの確認方法

Windowsでは、netshコマンドを使って現在のインターフェースに設定されているMTUサイズを確認できます。

netsh interface ipv4 show subinterfaces

もしMTUが極端に小さい値（例: 1300以下）に設定されている場合は、通信断片化が頻繁に発生している可能性があります。ドメイン参加に限らず、大量のデータを扱う通信に支障をきたすため、ネットワーク管理者と連携し適正値に調整しましょう。

その他の留意点と応急処置

マシン名・コンピューターアカウントの重複

ドメイン参加前に、該当マシンの名前（ホスト名）を既にドメインに登録している状態だと競合が起きることがあります。ドメインコントローラーのActive Directoryユーザーとコンピューター管理ツールで、該当のコンピューターアカウントが重複していないかチェックしてください。必要であれば既存のアカウントを削除したうえで再参加を試します。

ドメイン管理者権限の確認

ドメインへ参加できるのは、通常ドメイン管理者グループに属するユーザーか、もしくはコンピューターアカウントを作成できる権限を明示的に付与されたユーザーに限られます。アカウント権限が不十分な場合、ドメイン参加プロセスの途中でエラーが発生しますので、使用するアカウントの権限を再チェックしましょう。

時刻同期 (NTP) の重要性

Kerberos認証は時刻の同期に厳密な制約があり、サーバーとドメインコントローラーの時刻差が5分以上あると認証が失敗する場合があります。特に下記の点に注意してください。

• Windows Time サービス（W32Time）の状態を確認する
• 企業内でNTPサーバーを運用している場合、そのサーバーと同期するように設定しているか
• 仮想環境上の場合、ホストの時刻とゲストOSの時刻ずれに注意する

具体的なトラブルシューティングの流れ

ここまで紹介した各種項目を踏まえて、実際に問題を解決する手順の一例を示します。

ステップ1：ネットワーク・DNSの問題切り分け

1. pingやtelnetでドメインコントローラーへの疎通確認
2. クライアントのDNSサーバー設定を再確認
3. nslookupでドメイン名やドメインコントローラーの名前解決が正しいかチェック

ステップ2：イベントログの分析

1. クライアント側の「システム」ログと「セキュリティ」ログ
2. ドメインコントローラー側の「Directory Service」ログや「DNS Server」ログ
3. ログに表示される具体的なエラーIDやソースを参考にMicrosoft公式ドキュメントなどで詳細を調査

ステップ3：ポートとファイアウォールの設定確認

1. ドメイン参加に必要なポートがすべて開放されているか
2. Windows Defenderファイアウォールやネットワーク機器のACLで通信を遮断していないか

ステップ4：コンピューターアカウントと権限のチェック

1. ドメインに既存のコンピューターアカウントがないか、重複がないか
2. ドメイン管理者権限を持ったアカウントで操作しているか

ステップ5：時刻同期・パケット断片化の検証

1. 時刻ずれが発生していないか
2. MTUサイズやVPN経由の場合の断片化設定を確認

応急処置と専門的な調査手法

コマンドベースの強制ドメイン参加

GUIで参加できない場合でも、コマンドラインによる強制的なドメイン参加を試すことでエラー内容がさらに詳細に得られる場合があります。

netdom join <コンピューター名> /Domain:<ドメイン名> /UserD:<ユーザー名> /PasswordD:*

エラーが出た場合は、その詳細メッセージを参考に原因を特定するのも有効な手段です。

ネットワークモニタリングツールの利用

原因がネットワーク断片化やプロトコルエラーにある疑いがある場合、WiresharkやMicrosoft Message Analyzerなどを使って実際のパケットキャプチャを取得し、KerberosやLDAP、DNSクエリのやり取りを解析すると問題を特定しやすくなります。

サポートの活用

どうしても原因が分からない場合は、Microsoftのサポートやコミュニティフォーラムを活用するのも選択肢の一つです。イベントIDやエラーコード、現在の状況（ネットワーク構成やドメイン機能レベルなど）を詳しく伝えることで、的確なアドバイスを得られやすくなります。

まとめ

Windows Server 2022をドメインに参加させる際にエラーコード1332や1003が表示される場合、まずはネットワークとDNSを中心に確認し、それでも解決しないときはイベントログやポートの疎通、コンピューターアカウントの状態、そして時刻同期やパケット断片化といった要因も疑ってみる必要があります。特にActive Directory環境では、DNS設定が最重要といえるほど成功可否を左右しますので、入念にチェックしましょう。

ドメイン参加のエラーは多岐にわたり原因特定が難しい場合がありますが、焦らずに一つひとつの手順を検証することで、問題の範囲を狭めることができます。今回ご紹介した手順とポイントを踏まえながら、根本的な問題の洗い出しと解決にぜひ役立ててください。