Print | Rate this content

Windows Server 2008 - hosts ファイルの記述によっては ldap_bind_s が LDAP_LOCAL_ERROR (82) で失敗し、ドメインのポリシーが適用されない

ケース

[環境]
OS:
Microsoft Windows Server 2008
Microsoft Windows Server 2008 R2
Microsoft Windows Vista
Microsoft Windows 7

コンピュータは Active Directory ドメイン内にある。

[症状]
グループポリシーの適用に失敗する。
同じドメイン内の Windows Server 2003 や Windows XP ではこのような問題は発生しない。

  • gpupdate/force 実行時にエラーが発生する。

    ポリシーを最新の情報に更新しています...

    ユーザー ポリシーの更新が正常に完了しました。
    コンピュータ ポリシーを更新できませんでした。次のエラーが発生しました:

    グループ ポリシーの処理に失敗しました。ドメイン コントローラの Active Directory サービスへの認証ができませんでした。(LDAP バインド関数の呼び出しに失敗しました。) エラー コードと説明については詳細タブを参照してください。

    グループ ポリシーの処理に失敗しました。ドメイン コントローラの Active Directory サービスへの認証ができませんでした。(LDAP バインド関数の呼び出しに失敗しました。) エラー コードと説明については詳細タブを参照してください。
    エラーを診断するには、イベント ログを参照するか、または gpmc.msc を起動してグループ ポリシーの結果についての情報にアクセスしてください。

  • システムイベントログに下記イベントが記録される。

    ソース:GroupPolicy
    イベントID: 1006
    グループ ポリシーの処理に失敗しました。ドメイン コントローラの Active Directory サービスへの認証ができませんでした。(LDAP バインド関数の呼び出しに失敗しました。) エラー コードと説明については詳細タブを参照してください。

    イベント XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
    <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}" />
    <EventID>1006</EventID> <Version>0</Version> <Level>2</Level>
    <Task>0</Task> <Opcode>1</Opcode> <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2009-07-15T10:20:04.784Z" /> <EventRecordID>14381</EventRecordID>
    <Correlation ActivityID="{7D68A619-99B4-43E6-AD5C-8174F8BE3A7B}" />
    <Execution ProcessID="1036" ThreadID="5252" /> <Channel>System</Channel>
    <Computer>xxxx.domain.local</Computer>
    <Security UserID="S-1-5-18" />
    </System>
    <EventData>
    <Data Name="SupportInfo1">1</Data>
    <Data Name="SupportInfo2">4934</Data>
    <Data Name="ProcessingMode">0</Data>
    <Data Name="ProcessingTimeInMilliseconds">4025</Data>
    <Data Name="ErrorCode">82</Data>
    <Data Name="ErrorDescription">ローカル エラーです</Data>
    <Data Name="DCName">
    </Data>
    </EventData>
    </Event>


  • GroupPolicy サービスログに下記イベントが記録される。
    イベントID:4017
    Active Directory に接続およびバインドするために LDAP 呼び出しを実行しています。

    イベントID:7017
    Active Directory に接続およびバインドするための LDAP 呼び出しが完了しました。 dcname.domain.local 16 ミリ秒後に呼び出しが失敗しました。

    イベントID:7004
    グループ ポリシーはドメイン コントローラの詳細を 4187 ミリ秒で検出できませんでした。
    イベントID:7004
    コンピュータ DOMAIN\COMPUTER$ のポリシーの手動処理が 4 秒で失敗しました

  • GPPRESULT /H コマンドの出力結果を確認するとユーザ・コンピュータ共ドメインポリシーの適用は行われておらず、ローカルユーザポリシーのみ適用に成功している。

  • GPSVC.log には ldap_bind_s 実行時のエラーが記録されており、このためドメインポリシーの適用処理を実行していない。Kerberos 認証で問題が発生していることが伺える。

    GPSVC(400.4ac) 04:10:25:242 GetDomainControllerConnectionInfo: Getting Ldap Handles.
    GPSVC(400.4ac) 04:10:25:242 GetLdapHandle: Getting ldap handle for host: dcname.domain.local in domain: domain.local.
    GPSVC(400.4ac) 04:10:25:242 GetLdapHandle: Server connection established.
    GPSVC(400.4ac) 04:10:25:289 GetLdapHandle: Binding using only kerberos.
    GPSVC(400.4ac) 04:10:25:320 GetLdapHandle: ldap_bind_s failed with = <82>
    GPSVC(400.4ac) 04:10:25:320 GetDomainControllerConnectionInfo: GetLdapHandle failed 0x2095. Will try to forcefully discover DC.
    GPSVC(400.4ac) 21:21:07:796 GetDomainControllerConnectionInfo: Enabling bandwidth estimate.
    GPSVC(400.4ac) 21:21:09:796 Started bandwidth estimation successfully
    GPSVC(400.4ac) 21:21:09:796 GetDomainControllerConnectionInfo: Getting Ldap Handles.
    GPSVC(400.4ac) 21:21:09:796 GetLdapHandle: Getting ldap handle for host: dcname2.domain.local in domain: domain.local.
    GPSVC(400.4ac) 21:21:09:796 GetLdapHandle: Server connection established.
    GPSVC(400.4ac) 21:21:09:796 GetLdapHandle: Binding using only kerberos.
    GPSVC(400.4ac) 21:21:09:796 GetLdapHandle: ldap_bind_s failed with = <82>
    GPSVC(400.4ac) 21:21:09:796 GetDomainControllerConnectionInfo: GetLdapHandles failed after Force rediscovery 0x2095
    GPSVC(400.4ac) 21:21:09:796 ProcessGPOs: GetDomainControllerConnectionInfo failed with 8341.
    GPSVC(400.4ac) 21:21:09:796 ProcessGPOs: No WMI logging done in this policy cycle.
    GPSVC(400.4ac) 21:21:09:796 ProcessGPOs: Processing failed with error 8341.
    GPSVC(400.4ac) 21:21:09:796 Application complete with bConnectivityFailure = 1.

    ※ <82> は LDAP_LOCAL_ERROR を示します。

解決方法

[原因]
ドメインコントローラに対する名前解決方法に問題があると、この事象が発生します。

- DNS の CNAME レコードを使用して、意図的に実際のコンピュータ名とは異なる名前に解決する構成にしていると上記事象が発生します。

- hosts ファイルを使用して FQDN を解決している場合、上記事象が発生します。この場合 FQDN は CNAME レコードによる名前解決と同じ動作となります。

問題の発生する hosts の例:
192.168.0.11 dcname dcname.domain.local

[対処]
DNS 設定や hosts ファイルを見直し、A レコードによる名前解決が行われるよう変更してください。

hosts ファイルを使用している場合には エントリを下記のように書き換えてください。

192.168.0.11 dcname
192.168.0.11 dcname.domain.local


[詳細]
hosts に下記のように記述された場合、

192.168.0.11 dcname dcname.domain.local

対象のホストの FQDN "dcname.domain.local" は、ホスト名 "dcname" の CNAME レコード (エイリアス) として解決されます。

GPO の適用処理の実行時、クライアントは LDAP プロトコルを利用して自身に適用すべき GPO の列挙を行います。この際、クライアントは Kerberos 認証を使用してプリンシパル "LDAP/<参照先の FQDN>" に関するサービスチケットを取得し、これを参照先のドメインコントローラに提示して LDAP Bind を行います。しかし Windows Vista / Windows Server 2008 以降のメンバコンピュータでは、アクセス対象のドメインコントローラの FQDN が CNAME で解決された場合、Kerberos サービスチケットの取得を行いません。このため LDAP Bind が失敗し、以後の ドメイン GPO の処理が行われません。

※Windows Vista より前の環境では、CNAME でホスト名が解決された場合でも、Kerberos サービスチケットの取得を行っていました。

hosts ファイルのエントリを下記のように書き換えることでドメインコントローラの FQDN を A レコードとして解決させることができます。
例)
192.168.0.11 dcname
192.168.0.11 dcname.domain.local


  • gpsvc.log 設定方法
    ------------------
    1. 次のレジストリを構成してください。
      位置: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics
      値と型: GPSvcDebugLevel (REG_DWORD)
      値に設定するデータ: 0x30002
      (ログを停止するには、レジストリ値のデータを 0x0 に設定する。)

    2. %systemroot%\Debug\Usermode ディレクトリが存在しているかどうかをご確認ください。
      ディレクトリが存在しなければ作成してください。
      Usermode ディレクトリが無い場合には、ログは生成されません。

    3. システムの再起動、サービスの再起動は不要です。

    4. ログを停止するには、レジストリ値のデータを 0x0 に設定してください。

  • netlogon.log 設定方法
    ---------------------
    サポート技術情報 109626 を参照してください。
    ログを有効 / 無効にするには、netlogon サービスの再起動が必要。

    Enabling debug logging for the Net Logon service
    http://support.microsoft.com/kb/109626/en-us Non-HPE site


Legal Disclaimer: Products sold prior to the November 1, 2015 separation of Hewlett-Packard Company into Hewlett Packard Enterprise Company and HP Inc. may have older product names and model numbers that differ from current models.

Provide feedback

Please rate the information on this page to help us improve our content. Thank you!
Document title: Windows Server 2008 - hosts ファイルの記述によっては ldap_bind_s が LDAP_LOCAL_ERROR (82) で失敗し、ドメインのポリシーが適用されない
Document ID: emr_na-c02719182-2
How helpful was this document?
How can we improve this document?
Note: Only English language comments can be accepted at this time.
Please wait while we process your request.