Windows Active Directory 信頼関係に関するまとめ
ドメインコントローラ間の複製間隔は次の通り。
| ドメインコントローラの関係 | デフォルトの同期間隔 | 設定変更 |
| サイト内 | 15秒 正確には変更を行ったDCは3秒間隔で他のDCに通知。通知を受け取った他のDC15秒間隔で複製。3秒間隔とは一斉に通知しないことにより負荷を下げるため。 ただしセキュリティ関連の一部の変更は即時に反映される。 |
レジストリで変更可能らしい "How to Modify the Default Intra-Site Domain Controller Replication Interval" https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/modify-default-intra-site-dc-replication-interval |
| サイト間 | 3時間 | 15分まで変更可能。 「Active Directory サイトとサービス」の「レプリケート間隔」で設定。 さらにコマンドですぐに反映も可能。 repadmin の/e オプションでサイト間の複製を実行。 |
一つのサブネットに複数のサイトを割り当てることはできない。
ドメインコントローラ間でよくあるのが複製エラー。
よくあるのがドメインコントローラ間のセキュアチャネル確立の失敗。セキュアチャネルはメンバサーバとドメインコントローラで確立されるのが有名だが、ドメインコントローラ間でも複製実行時などの使用される。
よくあるのが "Kerberos クライアントはサーバ KRB_AP_ERR_MODIFIEDエラー受信しました"というエラー。これはコンピュータアカウントの不整合の可能性が高い。コンピュータアカウントの最終更新日を互いのドメインコントローラでチェックして更新日が同じか確認する。
Get-ADComputer "YourServerName" -Properties PasswordLastSet
実行結果で"PasswordLastSet"を確認すると、2021/10/10 10:10:10 のように表示されている。
修復は次のページを参考にした。(実績あり)
Active Directory replication error -2146893022: The target principal name
is incorrect
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/replication-error-2146893022
レプリケーションができない原因と対処 | Windows AD
意外とまぎわらしい。PUSH複製とPULL複製の違いはこちら。