作成 2010.02.25
更新 2011.06.10
Windows Server 2008 R2 ドメイン コントローラー構築時のイベントログ
このページは作成中です。
ドメイン コントローラー共通
既定の機能レベルは Windows Server 2003 です。
フォレスト、ドメイン共に機能レベルを Windows Server 2008 R2 で構築した場合、ファイル レプリケーション サービスに替わって、DFS レプリケーションを使用します。従って、ログも記録される内容が異なります。
|
システム
|
Kerberos-Key-Distribution-Center
|
29
対策
|
警告
|
Active Directory 証明書サービスをインストールすることで解決します。
スマート カード ログオンに使用できる適切な証明書をキー配布センター (KDC) が検出できなかったか、KDC 証明書を確認できませんでした。この問題が解決しない場合、スマート カード ログオンが正しく機能しない可能性があります。この問題を解決するには、certutil.exe を使用して既存の KDC 証明書を確認するか、新しい KDC 証明書を登録してください。
|
|
システム
|
DNS Client Events
|
1014
|
警告
|
逆引きドメインを作成することで解決します。
名前 192.in-addr.arpa の名前解決は、構成されたどの DNS サーバーからも応答が無く、タイムアウトしました。
|
|
DFS Replication
|
DFSR
|
1206
|
情報
|
DFS レプリケーション サービスは、ドメイン コントローラー ad-dc1.sample.tld に正常に接続し、構成オブジェクトにアクセスできました。
|
|
DFS Replication
|
DFSR
|
4604
|
情報
|
DFSR が有効な場合に発生します。ドメイン コントローラーが複数台あると発生します。
DFS レプリケーション サービスは、ローカル パス C:\Windows\SYSVOL\domain の SYSVOL レプリケート フォルダーの 初期化に成功しました。このメンバーは、パートナー ad-dc1.sample.tld との SYSVOL の初期同期を完了して います。SYSVOL 共有をチェックするには、「net share」と入力してください。
追加情報:
レプリケート フォルダー名: SYSVOL Share
レプリケート フォルダー ID: 08496472-D10F-46F4-A4DE-F156134E757D
レプリケーション グループ名: Domain System Volume
レプリケーション グループ ID: BB748686-CA0E-4171-8412-8B54BFABB271
メンバー ID: E849A438-AEF9-4C41-AF2E-EA85B4D3058B
同期パートナー: ad-dc1.sample.tld
|
|
DNS サーバー
|
DNS-Server-Service
|
4
|
情報
|
再起動時に発生します。ドメイン コントローラーが複数台あると発生します。
DNS サーバーはゾーンのバックグラウンド読み込みを完了しました。各ゾーンの構成で許可されている場合は、すべてのゾーンで DNS の更新とゾーンの転送を行えます。
|
|
ディレクトリ サービス
|
ActiveDirectory_DomainService
|
1394
|
情報
|
Active Directory ドメイン サービス データベースの更新を妨げていたすべての問題が解決しました。Active Directory ドメイン データベースへの新規更新に成功しています。Net Logon サービスが再開されました。
|
|
ディレクトリ サービス
|
ActiveDirectory_DomainService
|
2886
対策
|
警告
|
正常です。平文の LDAP 認証を許可する状態になっています。
このディレクトリ サーバーのセキュリティは、署名 (整合性の確認) を要求しない SASL (ネゴシエート、Kerberos、NTLM または ダイジェスト) LDAP バインド、およびクリア テキスト (SSL/TLS 暗号化がされていない) 接続上で実行される LDAP 簡易 バインドを拒否するようサーバーを設定することで、大幅に強化することができます。これらのバインドを使用する クライアントが 1 つもない場合でも、拒否するようにサーバーを構成することで、サーバーのセキュリティが強化されます。
一部のクライアントは現在、署名されていない SASL バインド、または非 SSL/TLS 接続を介した LDAP 簡易バインドに依存している可能性があり、構成を変更すると機能しなくなる可能性があります。このようなバインドを使用するクライアントを特定できるように、このディレクトリ サーバーで該当するバインドが発生した場合、発生件数を示す概要イベントを 24 時間ごとに記録します。該当するバインドの使用を特定されたクライアントについては、そのようなバインドを使用しないように構成を変更することをお勧めします。イベントが記録されなくなってから一定の期間が経過したら、該当するバインドを拒否するようにサーバーを構成してください。
サーバーの構成を変更する方法について詳しくは、http://go.microsoft.com/fwlink/?LinkID=87923 を参照してください。
追加のログ作成を有効にして、クライアントがそのようなバインドを作成するたびに、バインドの作成元のクライアントの情報も含め、イベントが記録されるようにすることもできます。これを行うには、"LDAP Interface Events" イベント ログ カテゴリ の設定をレベル 2
以上に上げてください。
|
|
ファイル レプリケーション サービス
|
NtFrs
|
13508
|
警告
|
ファイル レプリケーション サービスが有効な場合に発生します。再起動時などに発生します。ドメイン コントローラーが複数台あると発生します。
ファイル レプリケーション サービスの問題のため、DNS 名 ad-dc1.sample.tld を使用して c:\windows\sysvol\domain に対して AD-DC1 から AD-DC2 へのレプリケーションを有効にできません。再実行します。
この警告が表示される理由として次のいくつかが考えられます。
[1] FRS によりこのコンピューターから DNS 名 ad-dc1.sample.tld を正しく解決できません。
[2] FRS が ad-dc1.sample.tld 上で実行されていません。
[3] このレプリカに対する、Active Directory ドメイン サービスのトポロジ情報が 一部のドメイン コントローラーにまだレプリケートされていません。
このイベント ログ メッセージは接続ごとに一度表示されます。問題が解決されると、接続が確立されたことを示す別のイベント ログ メッセージが 表示されます。
|
|
ファイル レプリケーション サービス
|
NtFrs
|
13509
|
警告
|
ファイル レプリケーション サービスが有効な場合に発生します。正常になったことを示すログです。再起動時などに発生します。ドメイン コントローラーが複数台あると発生します。
ファイル レプリケーション サービスにより、再試行が繰り返されたあと、c:\windows\sysvol\domain に対して AD-DC2 から AD-DC1 へのレプリケーションが有効になりました。
|
|
ファイル レプリケーション サービス
|
NtFrs
|
13516
|
情報
|
ファイル レプリケーション サービスが有効な場合に発生します。
ファイル レプリケーション サービスが、これ以上、コンピューター AD-DC1 がドメイン コントローラー になるのを妨げなくなりました。システム ボリュームは正しく初期化されて、システム ボリュームが SYSVOL として共有される準備が完了したという通知を Netlogon サービスが受けました。
SYSVOL の共有を確認するには、コマンド プロンプトで "net share" を実行してください。
|
1台目のみに発生
|
システム
|
DfsSvc
|
14551
|
情報
|
DFS 名前空間サービスは、このドメイン コントローラーでフォレスト間の信頼情報を正常に初期化しました。
|
|
DFS Replication
|
DFSR
|
4602
|
情報
|
DFSR が有効な場合に発生します。
DFS レプリケーション サービスは、ローカル パス C:\Windows\SYSVOL\domain の SYSVOL レプリケート フォルダーの 初期化に成功しました。このメンバーは、このレプリケート フォルダーに指定されたプライマリ メンバーです。ユーザーの操作は必要ありません。SYSVOL 共有をチェックするには、「net share」と入力してください。
|
|
ディレクトリ サービス
|
ActiveDirectory_DomainService
|
1844
|
警告
|
構築時に発生するのは正常です。DNSのレコードが登録されると警告は発生しなくなります。
ローカル ドメイン コントローラーは、次のディレクトリ パーティションをホストしている次のドメイン コントローラーと接続して識別名を解決できませんでした。
ドメイン コントローラー:
ディレクトリ パーティション:
sample.tld
追加データ
エラー値:
1355 指定されたドメインがないか、またはアクセスできません。
内部 ID:
3200e25
|
|
DNS サーバー
|
DNS-Server-Service
|
4500
|
情報
|
DNS アプリケーション ディレクトリ パーティション DomainDnsZones.sample.tld が作成されました。このディレクトリ パーティションのルート識別名は DC=DomainDnsZones,DC=sample,DC=tld です。
|
|
DNS サーバー
|
DNS-Server-Service
|
4500
|
情報
|
DNS アプリケーション ディレクトリ パーティション ForestDnsZones.sample.tld が作成されました。このディレクトリ パーティションのルート識別名は DC=ForestDnsZones,DC=sample,DC=tld です。
|
グループポリシーの定期的な検出と適用
|
システム
|
GroupPolicy
|
1502
|
情報
|
コンピューターのグループ ポリシー設定は正しく処理されました。3 個のグループ ポリシー オブジェクトからの新しい設定が検出され、適用されました。
|
Active Directory 証明書サービスをインストールしたとき
|
アプリケーション
|
Microsoft-Windows-CertificationAuthority
|
103
|
警告
|
Active Directory 証明書サービスにより、CA コンピューターにダウンロードされた信頼済みルート証明機関エンタープライズ ストアに、証明書チェーン 0 のルート証明書が追加されました。このストアは、次回のグループ ポリシー適用時に、Active Directory の証明機関コンテナーから更新されます。CA 証明書が Active Directory に正しく公開されていることを確認するには、次のコマンドを実行します: certutil -viewstore "ldap:///CN=sample-AD-DC1-CA,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=sample,DC=tld?cACertificate?base?objectClass=certificationAuthority" (コマンド実行時には引用符を含める必要があります)。ルート CA 証明書が存在しない場合は、ルート CA コンピューターで証明書コンソールを使用して証明書をファイルにエクスポートし、次のコマンドを実行して Active Directory に公開します: Certutil -dspublish %証明書ファイル名% Root
|
|
アプリケーション
|
Microsoft-Windows-CertificationAuthority
|
26
|
情報
|
sample-AD-DC1-CA の Active Directory 証明書サービスは開始されました。 DC=ad-dc1.sample.tld
|
|
アプリケーション
|
CertificateServicesClient-CertEnroll
|
65
|
情報
|
ローカル システム の証明書の登録は、ポリシー サーバー {02EAAFB0-4F0C-4931-8400-BDE2DC1FE7D8} によって正常に認証されました。
|
|
アプリケーション
|
CertificateServicesClient-CertEnroll
|
64
|
情報
|
ローカル システム の証明書の登録は、ポリシー サーバー から正常にポリシーを読み込みました。
|
|
アプリケーション
|
CertificateServicesClient-CertEnroll
|
19
|
情報
|
ローカル システム の証明書の登録で、証明機関 ad-dc1.sample.tld\sample-AD-DC1-CA から要求 ID 2 の DomainController 証明書を正しく受け取りました。
|
|
アプリケーション
|
CertificateServicesClient-CertEnroll
|
66
|
情報
|
ローカル システム の証明書の登録は、登録サーバー ad-dc1.sample.tld\sample-AD-DC1-CA によって正常に認証されました。
|
|
システム
|
Schannel
|
36886
|
警告
|
このシステムに適切な既定のサーバー資格情報がありません。システムの既定の資格情報を使用しているサーバー アプリケーションは SSL で接続できません。そのようなアプリケーションの例はディレクトリ サーバーです。インターネット インフォメーション サーバーのように自身で資格情報を管理するアプリケーションには影響ありません。
|
|
ディレクトリ サービス
|
ActiveDirectory_DomainService
|
1220
|
警告
|
サーバーが証明書を取得できないため、Secure Sockets Layer (SSL) で LDAP が利用できなくなります。
追加データ
エラーの値:
8009030e セキュリティ パッケージで利用できる資格情報がありません
|
|
ディレクトリ サービス
|
ActiveDirectory_DomainService
|
1221
|
情報
|
現在、Secure Sockets Layer (SSL) で LDAP が利用できます。
|
時刻同期のログ
|
タイム ソースが未設定、または、アクセス拒否
|
|
システム
|
Time-Service
|
12
対策
|
警告
|
タイム プロバイダー NtpClient: このコンピューターは、ドメイン階層を使ってタイムソースを決定するように構成されていますが、フォレストのルートにあるドメイン用の AD PDC エミュレーターであるため、ドメイン階層のその上にはタイム ソースとして使用するコンピューターがありません。ルート ドメインの信頼できるタイム サービスを構成するか、または手動で、AD PDC を構成して外部のタイム ソースと同期させることをお勧めします。そうでない場合、このコンピューターはドメイン階層内の権限のあるタイム ソースとして機能します。外部のタイム ソースが構成できない場合、またこのコンピューターで使用できない場合は、NtpClient を無効にすることをお勧めします。
|
|
名前解決エラー
|
|
システム
|
Time-Service
|
134
|
警告
|
'' での DNS 解決エラーのため、NtpClient でタイム ソースとして使う手動ピアを設定できませんでした。3473457 分後に再試行し、それ以降は 2 倍の間隔で再試行します。エラー: 要求した名前は有効ですが、要求された種類のデータは見つかりませんでした。 (0x80072AFC)
|
|
正常動作
|
|
システム
|
Time-Service
|
144
|
警告
|
タイム サービスは適切なタイム ソースとしてクライアントにアドバタイズすることを止めています。
|
|
システム
|
Time-Service
|
35
|
情報
|
システム時刻とタイム ソース ntp.nict.jp,0x9 (ntp.m|0x9|0.0.0.0:123->133.243.238.244:123) の同期をとっています。
|
|
システム
|
Time-Service
|
139
|
情報
|
タイム サービスはタイム ソースとしてクライアントへのアドバタイズを開始しました。
|
|
システム
|
Time-Service
|
143
|
情報
|
タイム サービスは適切なタイム ソースとしてクライアントへのアドバタイズを開始しました。
|
|
Hyper-V 環境上で構築した場合
|
|
システム
|
Time-Service
|
144
|
警告
|
タイム サービスは適切なタイム ソースとしてクライアントにアドバタイズすることを止めています。
|
|
システム
|
Time-Service
|
35
|
情報
|
システム時刻とタイム ソース VM IC Time Synchronization Provider の同期をとっています。
|