AD DS のインストールおよび削除に関する既知の問題

更新日: 2011年11月

適用対象: Windows Server 2008, Windows Server 2008 R2

Active Directory ドメインサービス (AD DS) をインストールする前に、次に示す既知の問題について確認してください。

Adprep.exe に関する問題
Active Directory ドメインサービスインストールウィザード (Dcpromo.exe) に関する問題
ディスク領域およびコンポーネントの場所に関する問題
その他の AD DS サーバーの役割に関する問題
パフォーマンスカウンターの変更点

Adprep.exe に関する問題

Windows Server 2008 と Windows Server 2008 R2 では Adprep.exe の収録場所が異なります。Windows Server 2008 または Windows Server 2008 R2 を実行するドメインコントローラーを既存の Windows 2000 Server または Windows Server 2003 の Active Directory 環境に追加する場合は、事前に Adprep.exe を実行する必要があります。Windows Server 2008 の場合、Adprep.exe はオペレーティングシステムインストールディスクの /Sources/adprep フォルダーに収録されています。Windows Server 2008 R2 の場合、Adprep.exe は /Support/adprep フォルダーに収録されています。Windows Server 2008 R2 には 32 ビット版と 64 ビット版の Adprep.exe が付属しており、既定では、64 ビット版が実行されます。32 ビットコンピューターで Adprep.exe の各種コマンドを実行する場合は、32 ビット版の Adprep.exe を使用する必要があります。
adprep /rodcprep コマンドの実行時に、アプリケーションディレクトリパーティションのインフラストラクチャ操作マスターを利用できない場合はエラーが記録されます。このエラーには、インフラストラクチャ操作マスターの役割を利用できないアプリケーションディレクトリパーティションの名前が記されます。この問題の解決方法の詳細については、Microsoft サポート技術情報の記事 949257 (http://go.microsoft.com/fwlink/?LinkId=114419) を参照してください。この問題は、Windows Server 2008 および Windows Server 2008 R2 で adprep /rodcprep コマンドを実行する場合に発生します。ただし、Windows Server 2008 に対して adprep /rodcprep コマンドを実行済みの場合、Windows Server 2008 R2 に対して再度実行する必要はありません。
adprep /rodcprep コマンドを事前に実行していない場合、Dcdiag.exe による NCSecDesc テストの実行時にエラーが返されます。このテストでは、名前付けコンテキストのヘッドのセキュリティ記述子に、レプリケーションに必要なアクセス許可が指定されているかどうかがチェックされます。このエラーが発生した場合は、Enterprise Domain Controllers グループに、DNS アプリケーションディレクトリパーティションに対する "Replicating Directory Changes In Filtered Set" アクセス権がありません。RODC をフォレストに追加する予定がない場合は、このエラーは無視してもかまいません。RODC をフォレストに追加する予定がある場合は、adprep /rodcprep を実行する必要があります。adprep /rodcprep を実行する場合、Windows Server 2008 または Windows Server 2008 R2 のどちらに収録されているバージョンの Adprep.exe を使用してもかまいません。このパラメーターを指定した場合は、どちらのバージョンでも同じ一連の操作が実行されます。adprep /rodcprep の実行方法の詳細については、読み取り専用ドメインコントローラ用にフォレストを準備する (英語の可能性あり) を参照してください。
Windows Server 2008 R2 に対して adprep /forestprep を実行すると、グローバルカタログサーバーとして構成されている Windows 2000 ドメインコントローラーが、部分ドメインレプリカの完全同期を実行します。その理由は、/forestprep 操作によってグローバルカタログの部分的な属性セット (PAS) が変更されるためです。この再構築処理の実行中は、Windows 2000 ドメインコントローラーのパフォーマンスが低下する場合があります。これは、Windows 2000 ドメインコントローラーに限り想定される動作で、それ以降のバージョンの Windows Server では追加属性が段階的に追加されます。完全同期が行われないようにする場合は、Windows 2000 ドメインコントローラーを Windows Server 2003 にアップグレードしてください。Windows 2000 ドメインコントローラーを降格する方法も可能ですが、その場合は、サービスが停止する事態に陥らないように入念に計画を立てる必要があります。
英語以外の言語版の Windows で Adprep.exe または Adprep32.exe を実行する場合は、ステータス情報や進行状況が表示されません。

Active Directory ドメインサービスインストールウィザード (Dcpromo.exe) に関する問題

新しい Windows Server 2008 ドメインコントローラーまたは Windows Server 2008 R2 ドメインコントローラーを DNS サーバーと共に treyresearch5.net などのドメインにインストールする場合、

"権限のある親ゾーンが見つからないか、あっても Windows DNS サーバーが実行されていないため、この DNS サーバーの委任を作成できません。既存の DNS インフラストラクチャと統合する場合は、ドメイン "treyresearch5.net" 外からの名前解決が確実に行われるように、親ゾーンでこの DNS サーバーへの委任を手動で作成する必要があります。それ以外の場合は、何もする必要はありません。" というエラーが発生することがあります。

他のドメイン内またはインターネット上のユーザーが、ローカルドメイン内のコンピューター名の DNS 名のクエリを解決しないことに問題がない場合は、メッセージを無視し、[はい] をクリックします。

次の場合にエラーが発生します。
- Active Directory ドメインサービスインストールウィザード (Dcpromo.exe) が、DNS サーバーの役割をインストールするように構成されている。
  
  および
  
  直接の親 DNS ゾーン内の DNS サーバーと、新しいドメインコントローラーをインストールするサブドメインの間に十分な委任がまだ存在していない。
  
  および
  
  インストールするドメインコントローラーが、親ゾーンに対する権限を持つ DNS サーバー上の DNS ドメインへの委任を作成できない。
Dcpromo.exe は、他のドメイン内のコンピューターがホスト (DNS サブドメイン内のドメインコントローラー、メンバーコンピューターなど) の DNS クエリを解決できるようにする委任の作成を試行します。

Dcpromo.exe は、Microsoft DNS サーバー上でのみこのような委任を自動作成できます。親 DNS ドメインゾーンが BIND などのサードパーティの DNS サーバーにある場合は常に失敗します。

このエラーが表示される可能性があるのは、インターネット上の最上位ドメイン (.COM、GOV、.BIZ、.EDU など) または 2 文字の国コードドメイン (.NZ、.AU など) のすぐ下にあり、2 つまたは 3 つの部分で構成される名前 (contoso.com、corp.contoso.com など) を持つフォレストルートドメインにドメインコントローラーをインストールする場合です。

プロンプトが表示されるまでに Active Directory ドメインがインターネットに登録される場合、この警告テキストが記録されるのは、ISP または DNS ホストプロバイダーが Active Directory サブドメインへの必要な委任をまだ作成していないことを示す可能性があります。

既存の会社のイントラネット名前空間の下にあるフォレストルートドメイン内にドメインコントローラーを作成する場合にも、管理者にこのエラーが表示されることがあります。たとえば、内部ドメイン contoso.com がバインド DNS サーバーで所有されている場合、Dcpromo.exe が contoso.com から Active Directory フォレストルートドメイン corp.contoso.com サブドメインへの委任を作成しようとすると、このエラーが発生します。

Dcpromo.exe が親ドメイン内に権限のある DNS サーバーの委任を作成できるようにするには、次の点を確認します。
1. 親 DNS サーバーは Microsoft DNS サーバーサービスを実行する必要があります。
2. 親ドメイン内の Microsoft DNS サーバーがオンラインになっていて、インストールするドメインコントローラーからネットワーク経由でアクセスできる必要があります。
3. インストールするドメインコントローラーで Dcpromo.exe を実行するユーザーには、親 DNS ゾーン内のドメイン管理者、エンタープライズ管理者、または DNS 管理者の資格情報が必要です。
多数の Active Directory ドメインがインターネットレジストラーに登録されておらず、トップレベルドメイン (TLD) の DNS サーバーが BIND を実行する場合は、[はい] をクリックして昇格を続行することで、このエラーメッセージを無視しても安全です。

親ドメインと昇格されるサブドメインの間に委任が必要な場合、Dcpromo.exe の昇格の前または後に委任を作成して検証できます。このエラーを示す新しいドメインコントローラーの昇格を遅延する理由はありません。

今後の Dcpromo.exe の昇格でこのエラーメッセージが表示されないようにするには、次のいずれかを実行します。
1. 直接の親ドメイン内にサードパーティの DNS サーバーの委任を事前に作成します。
2. 昇格されるドメインコントローラーがネットワークに接続でき、親 DNS ゾーンをホストする Microsoft DNS サーバーの委任を作成するために必要な管理者の資格情報があることを確認します。
または、Dcpromo.exe コマンドラインまたは応答ファイルで /CreateDNSDelegation:No 引数を指定します。

委任の詳細については、ゾーンの委任に関するページ (http://go.microsoft.com/fwlink/?LinkId=164773) (英語の可能性あり) を参照してください。ご使用の状況で委任が不可能な場合は、他のドメインから現在のドメイン内のホストへの名前解決を指定する別の方法を検討してください。たとえば、別のドメインの DNS 管理者は、現在のドメイン内の名前を解決するために、条件付き転送、スタブゾーン、またはセカンダリゾーンを構成できます。詳細については、次のトピックを参照してください。
- ゾーンの種類に関するページ (http://go.microsoft.com/fwlink/?LinkID=157399) (英語の可能性あり)
- スタブゾーンに関するページ (http://go.microsoft.com/fwlink/?LinkID=164776) (英語の可能性あり)
- フォワーダーに関するページ (http://go.microsoft.com/fwlink/?LinkID=164778) (英語の可能性あり)
Active Directory ドメインサービスインストールウィザードの実行を取り消した場合、ウィザードは終了しますが、AD DS のバイナリファイルは削除されません。

バイナリファイルをアンインストールするには、サーバーマネージャーを使用して AD DS の役割をアンインストールするか、コマンドラインで dcpromo /uninstallBinaries を実行し、その後でコンピューターを再起動します。この操作は、Windows Server 2008 または Windows Server 2008 R2 で有効です。

ディスク領域およびコンポーネントの場所に関する問題

Windows Server 2008 にアップグレードするためのディスク領域の要件
Windows Server 2008 R2 にアップグレードするためのディスク領域の要件
RODC 上の SYSVOL の場所
SYSVOL がドライブのルートにある場合、AD DS のインストールエラーが発生する
Active Directory データベースファイルおよびログファイルを、%systemroot% を含まないディスクのディレクトリのルートに配置すると、STOP エラーが発生する
ディレクトリコンポーネントまたはオペレーティングシステムのファイルが iSCSI デバイスなどの高度なドライブに配置されている場合、AD DS のインストールが失敗することがある

Windows Server 2008 にアップグレードするためのディスク領域の要件

Windows Server 2003 から Windows Server 2008 へのアップグレード処理には、新しいオペレーティングシステムイメージ用、セットアッププロセス用、およびインストールされるサーバーの役割用の空きディスク領域が必要です。アップグレードの実行に必要なディスク領域が不足していることがドメインコントローラーの役割によって検出されると、エラーが記録されます。

セットアッププログラムで表示される互換性レポートに、ディスク領域に関する補足情報が表示されることがあります。

空きディスク領域が不足している場合、Windows Server 2003 から Windows Server 2008 または Windows Server 2008 R2 (または Windows Server 2008 から Windows Server 2008 R2) へのアップグレードが警告なしで失敗することがあります。このような状況では、インストールによって前のオペレーティングシステムにロールバックされます。

ドライブ:\$WINDOWS.~BT\Sources\Panther フォルダーにある Setupact.log ファイルに詳細な情報が記載されている場合もあります。 ドライブ は、既存の Windows インストールが格納されているドライブを表します。

ドメインコントローラーの役割では、次のリソースをホストするボリュームにも、それぞれ固有の空きディスク領域の要件があります。

アプリケーションデータ (%AppData%)
プログラムファイル (%ProgramFiles%)
ユーザーデータ (%SystemDrive%\Documents and Settings)
Windows ディレクトリ (%WinDir%)

%WinDir% ボリューム上の空き領域は、上記の各リソースおよびその下位フォルダーが %WinDir% ボリューム上にある場合、それらの現在の合計サイズ以上であることが必要です。既定では、Dcpromo.exe は Active Directory データベースおよびログファイルを %Windir% の下に配置します。この場合、%Windir% フォルダーにそれらのサイズ分の空き領域も別途必要になります。

たとえば、次のリソースが下記の表に記載されているサイズで %WinDir% ボリューム上にあるとします。

リソース	サイズ
アプリケーションデータ (%AppData%)	100 MB
プログラムファイル (%ProgramFiles%)	100 MB
ユーザーデータ (%SystemDrive%\Documents and Settings)	50 MB
Windows ディレクトリ (%WinDir%)	1 GB
合計サイズ	1.25 GB

この例では、%WinDir% ボリュームに必要な空き領域は 1.25 GB 以上となります。

ただし、Active Directory データベースが上記のフォルダー以外でホストされている場合、ホストしているボリュームに、現在のデータベースサイズの 10 パーセントまたは 250 MB のうち大きい方のサイズの空きディスク領域が最低限必要です。最後に、ログファイルをホストするボリューム上の空き領域は、最低でも 50 MB 必要です。

Windows Server 2003 での Active Directory の既定のインストールでは、Active Directory データベースおよびログファイルは %WinDir%\NTDS の下に配置されます。この構成では、Ntds.dit データベースファイルとすべてのログファイルは一時的に検査場所にコピーされた後、元の場所にコピーして戻されます。このため、これらのリソースに対して追加の空き領域が必要となります。SYSVOL ディレクトリも %WinDir% の下 (%WinDir%\SYSVOL) に配置されますが、移動され、コピーはされません。このため、追加の空き領域は必要ありません。

アップグレード後、コピーされるリソース用に予約された領域はファイルシステムに戻されます。

Windows Server 2008 R2 にアップグレードするためのディスク領域の要件

Windows Server 2008 R2 上では、次の理由から、Active Directory データベース (NTDS.dit) のサイズが以前のバージョンの Windows よりも大きくなる場合があります。

Windows Server 2008 R2 ドメインコントローラー上のオンラインでのディスクの最適化に変更が加えられています。
Windows Server 2008 R2 ドメインコントローラーは大きなリンクテーブルに新しい 2 つのインデックスを追加します。
Windows Server 2008 R2 のごみ箱は、リサイクルされたオブジェクトの有効期間中、削除されたオブジェクトの属性を保持します。

ごみ箱に関連して、データベースのサイズは次の時点で大きくなります。
- Windows Server 2008 R2 の adprep /forestprep が完了し、最初の Windows Server 2008 R2 ドメインコントローラーがインストールされた後は、削除されたすべてのオブジェクトに対して新しいインデックス付き属性 isRecycled に値が設定されます。
- ごみ箱が有効になった後は、削除されたオブジェクトに関する属性がすべて維持されます。削除されるオブジェクトの数が増えるほど、必要なディスク領域も増大します。
Microsoft で運用している Windows Server 2008 R2 ドメインでは、deletedObjectLifetime と recycledObjectLifetime に既定値の 180 日を指定した状態でごみ箱機能を使用した場合、AD DS データベースのサイズが元のサイズの 15 ～ 20 パーセント拡大しました。追加で必要となるディスク領域は、リサイクルされるオブジェクトのサイズと数によって異なります。

ドメインコントローラーの Windows Server 2008 R2 への一括アップグレードでは、アップグレード処理中に次のフォルダーをコピーするために十分なディスク領域が必要です。

%SystemRoot%
%ProgramFiles%
%SystemDrive%\Program Files
%ProgramFiles(x86)%
%SystemDrive%\build
%SystemDrive%\InstalledRepository
%ProfilesFolder%
%ProgramData%
%SystemDrive%\Documents and Settings

次の表に、ドメインコントローラーを Windows Server 2008 から Windows Server 2008 R2 にアップグレードした場合のテスト結果を示します。この表では次のことを前提としています。

<i> = 15 GB (Windows セットアップが Windows ハードドライブ上に必要とする最低限の空き領域)
Ntds.dit の元のサイズは 5 GB です。

Ntds.dit の場所	システムドライブ上の空き領域 (GB)	結果
Ntds.dit はシステムと同じドライブ上に配置されているが、%windir% の中ではない。	1	この場合は、Ntds.dit を Windows.old フォルダーから Windows フォルダーにコピーする必要がありませんが、Windows セットアップファイルのコピーに必要な領域が不足しています。互換性レポートで、Windows ファイルをコピーするには領域が不足していることが検出されます。互換性レポートの段階で、アップグレードがブロックされます。
Ntds.dit がシステムとは異なるドライブに配置されている。	<i>	この場合は、Windows ファイルのインストールに最低限必要な空き領域がディスクにあり、Ntds.dit を Windows.old フォルダーから Windows フォルダーにコピーする必要がありません。互換性レポートには、空きディスク領域が最低要件を満たしており、アップグレード処理にしばらく時間がかかる場合があるという警告メッセージが表示されます。ドメインコントローラーは正常にアップグレードされます。
Ntds.dit が次の既定のフォルダーに配置されている。 %windir%\ntds\	<i> + 1	この場合は、Windows ファイルのインストールに最低限必要な空き領域がディスクにあるため、互換性レポートは生成されません。ただし、Ntds.dit が Windows フォルダー内に配置されているため、アップグレード時に Windows.old フォルダーから Windows フォルダーにコピーする必要があります。この最終手順は、ディスク上に Ntds.dit を格納する分の領域が不足しているため、新しいオペレーティングシステムにデータベースがコピーされず、失敗に終わります。Windows Server 2008 R2 の初回起動時に、Ntds.dit が検出されないためエラーが発生し、コンピューターが強制的に以前のオペレーティングシステムにロールバックされます。 ERROR_CODE:(NTSTATUS) 0xc00002ec - 次のエラーのためディレクトリサービスを開始できませんでした: %hs。エラー状態: 0x%x。[OK] をクリックしてシステムをシャットダウンしてください。回復コンソールを使用してさらにシステムを診断することができます。 Err 0xc00002ec = STATUS_DS_INIT_FAILURE_CONSOLE ドメインコントローラーは正常に Windows Server 2008 にロールバックされます。
Ntds.dit はシステムと同じドライブ上に配置されているが、%windir% の中ではない。	<i>	この場合は、Windows ファイルのインストールに最低限必要な空き領域がディスクにあり、Ntds.dit を Windows.old フォルダーから Windows フォルダーにコピーする必要がありません。互換性レポートには、空きディスク領域が最低要件を満たしており、アップグレード処理にしばらく時間がかかる場合があるという警告メッセージが表示されます。ドメインコントローラーは正常にアップグレードされます。

RODC 上の SYSVOL の場所

SYSVOL の分散ファイルシステム (DFS) レプリケーション機能を使用する RODC では、SYSVOL 共有フォルダーを Windows フォルダーとは別個のボリューム上に配置する必要があります。読み取り専用の DFS レプリケートフォルダーを Windows インストールファイルと同じボリュームに保存すると、ウイルス対策プログラムやバックアッププログラムなどのミニフィルタードライバーが別途インストールされていない限り、そのボリュームのパフォーマンスが低下します。

SYSVOL がドライブのルートにある場合、AD DS のインストールエラーが発生する

SYSVOL をドライブのルート (C:\ など) に配置することはできません。Active Directory ドメインサービスインストールウィザードでは、SYSVOL の保存先としてドライブのルートを指定できますが、その後の AD DS のインストールは失敗します。

Active Directory データベースファイルおよびログファイルを、%systemroot% を含まないディスクのディレクトリのルートに配置すると、STOP エラーが発生する

Active Directory データベースファイルおよびログファイルを、%systemroot% を含むディスクとは異なるディスクのルートディレクトリに配置すると、STOP エラーが発生します。また、起動デバイスとして使用できない iSCSI ドライブ上にこれらのファイルを配置した場合も STOP エラーが発生します。この状況は、Windows Server 2008 または Windows Server 2008 R2 で、新しい AD DS をインストールおよびアップグレードする場合に生じます。

このエラーを防ぐには、リムーバブルではないローカルドライブの、ルートドライブ以外のボリュームに Active Directory データベースおよびログファイルを配置するようにします。

iSCSI デバイスによっては、実際にはローカルドライブではないにもかかわらず、誤って自身をローカルドライブとして報告するものがあります。この場合は、当該ハードウェアを起動デバイスとして構成できるかどうかをドライブのベンダーに確認してください。起動デバイスとして構成できない場合は、次の手順を実行してください。

Active Directory データベースおよびログファイルを移動するには

コンピューターを再帰動し、起動中に F8 キーを押してディレクトリサービス復元モード (DSRM) に入ります。
Active Directory データベースおよびログファイルを、ローカルドライブ上のルートより少なくとも 1 レベル下のサブディレクトリに移動します。
Regedit.exe を使用して、レジストリキーを検索します。HKLM\System\CurrentControlSet\Services\NTDS\Parameters
DSA Database File の値を、手順 2. で選択した新しいパス (x:\ntds など) に変更します。
DSA Working Directory の値を、手順 2. で選択した新しいパス (x:\ntds\logs など) に変更します。

ディレクトリコンポーネントまたはオペレーティングシステムのファイルが iSCSI デバイスなどの高度なドライブに配置されている場合、AD DS のインストールが失敗することがある

Active Directory データベースや SYSVOL などの Active Directory コンポーネントを iSCSI デバイスなどの高度なドライブに配置している場合、Windows Server 2008 R2 および Windows Server 2008 への AD DS のインストールが失敗することがあります。Windows Server 2008 R2 では、オペレーティングシステムのファイルが iSCSI デバイスにインストールされている場合、AD DS をインストールするときに NTFS でフォーマットされたドライブが見つからないことがあります。

Active Directory コンポーネントを高度なドライブに配置することに関する問題は、AD DS のインストールウィザードが終了し、インストールを完了するためにサーバーが再起動した後に発生することがあります。再起動後、サーバーは通常モードで起動できません。エラー 0xc00002e1 が dcpromoui.log ファイルに示されたり、コード c00002e2 の STOP エラーが画面に表示されたりする場合があります。

このエラーの原因は、データベースなどの Active Directory コンポーネントが起動時に使用できないことです。記憶域ネットワーク (SAN) への Active Directory データベースの配置は、起動時にデータベースが使用できる場合にのみサポートされます。通常、問題のデバイスにオペレーティングシステムをインストールできず、そのデバイスからオペレーティングシステムを起動できない場合、そのデバイスで Active Directory データベースをホストすることはできません。ドメインコントローラーサーバーの役割をホストしているコンピューターでは、オペレーティングシステムのブートプロセスにおいて Active Directory が重要な役割を果たすからです。

このような状況での回避策は、起動時にアクセスできるハードドライブに Active Directory コンポーネントをインストールすることです。

オペレーティングシステムのファイルが iSCSI デバイスにインストールされている場合に、AD DS のインストール時に NTFS でフォーマットされたドライブが見つからない問題は、Windows Server 2008 R2 でのみ発生するもので、Service Pack 1 で修正される予定です。この状況では、AD DS のインストールウィザードは次のエラーで失敗します。

このコンピューターには、NTFS ファイルシステム用にフォーマットされたディスクドライブがありません。SYSVOL フォルダーは Active Directory ドメインコントローラー内でレプリケートされるため、そのフォルダーは NTFS でフォーマットされたディスクに置く必要があります。

(FAT ファイルシステムでフォーマットされたドライブをコマンドラインの convert.exe で変換できます。)

その他の AD DS サーバーの役割に関する問題

Windows Server 2008 または Windows Server 2008 R2 を実行するサーバーで、コンピューターブラウザーサービスの既定のスタートアップの種類が変更されています。スタートアップの種類は既定で [無効] になりました。以前のバージョンの Windows Server では [自動] でした。この変更は、匿名アクセスを許可しないようにし、新規サーバーインストールの既定のセキュリティを強化することを狙いとしています。

ただし、コンピューターブラウザーサービスの実行を前提としているアプリケーションやサービスには、マイナスの影響を与える可能性があります。たとえば、リモートデスクトップはリモートコンピューターの検出にコンピューターブラウザーサービスを必要とする場合があります。

このように既定のスタートアップの種類が変更されたため、Windows Server 2000 または Windows Serer 2003 を実行するドメインコントローラーの使用を停止して、Windows Server 2008 または Windows Server 2008 R2 を実行するドメインコントローラーを追加する場合は、コンピューターブラウザーサービスインフラストラクチャを意図せず停止してしまう結果になる可能性があります。

アプリケーションやサービスをサポートする目的などでコンピューターブラウザーサービスが必要な場合は、コンピューターブラウザーのスタートアップの種類を [無効] から [自動] に変更するポリシーを作成してください。
Windows Server 2008 を実行する追加のドメインコントローラーに日本語ロケールがインストールされている場合、このドメインコントローラーは、入力方向のレプリケーション中にオブジェクトの一部の属性に対する更新内容を受信しません。ただし、この問題には予防策があり、既に問題が発生してしまった場合についても解決策が確認されています。詳細については、Microsoft サポート技術情報の記事 949189 (http://go.microsoft.com/fwlink/?LinkId=114418) を参照してください。Windows Server 2008 R2 を実行するドメインコントローラーでは、この問題は発生しません。
Windows Server 2003 を実行するドメインコントローラーを Windows Server 2008 または Windows Server 2008 R2 にアップグレードする場合、Netlogon サービスと Windows タイムサービスのエラーイベントメッセージがいくつかログに記録されますが、これは仕様によるもので、無視してかまいません。

イベントビューアーのシステムログに、Netlogon サービスに対するイベント ID 5706 が記録されるのは、SYSVOL ディレクトリがアップグレード処理の最後に移動されるためです。これにより、アップグレード中のレプリケーションの必要がなくなります。Windows タイムサービスに対するイベント ID 46 は、Netlogon サービスが開始されていないことによる Windows タイムサービスの開始失敗を示します。アップグレード処理の最後の再起動後には、SYSVOL ディレクトリが移動済みであるため、Netlogon サービスと Windows タイムサービスは正常に開始されます。
データ暗号化標準 (DES) のみをサポートするクライアントは、Windows Server 2008 または Windows Server 2008 R2 を実行するドメインコントローラーに対し、セキュリティで保護されたチャネルを Netlogon で確立できません。結果的に、Windows 展開サービスや Active Directory 移行ツール (ADMT) の操作など、セキュリティで保護されていないドメイン参加の操作が失敗することになります。また、Microsoft 製ではないサーバーメッセージブロック (SMB) デバイスおよびネットワーク接続ストレージ (NAS) デバイスのうち MD5 をサポートしていないものについても、セキュリティで保護されたチャネルを確立できません。

予防策としては、すべてのクライアントコンピューターおよびドメインコントローラーを Windows 2000 以降にアップグレードしてください。Microsoft 製以外の SMB デバイスおよび NAS デバイスについては、ベンダーに問い合わせて MD5 をサポートするバージョンを入手してください。

DES のサポートが必須の場合は、Windows NT 4.0 暗号化のサポートを有効にします。グループポリシーの管理スナップインを開いて、[コンピューターの構成]、[管理用テンプレート]、[システム] の順にクリックし、[Netlogon] をクリックします。[Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する] をクリックし、[プロパティ]、[有効] の順にクリックしてから、[OK] をクリックします。

Windows Server 2008 または Windows Server 2008 R2 を実行するドメインコントローラーとの通信に古い暗号化メソッドを使用している場合に発声する可能性がある同様のエラーの詳細については、マイクロソフトサポート技術情報の記事 942564 (http://go.microsoft.com/fwlink/?LinkId=198011) を参照してください。
ドメイン名前付け操作マスターの役割が、Windows 2000 Server を実行するドメインコントローラー上でホストされている場合は、Windows Server 2008 または Windows Server 2008 R2 の新しい子ドメインまたはドメインツリーの作成時に、crossRef オブジェクトに msDS-BehaviorVersion 属性が記録されません。これに伴い、アプリケーションの互換性に関して問題が発生する可能性があります。特に、Dcdiag.exe で実行できるレプリケーションテストは失敗します。この問題を防ぐには、新しい子ドメインや新しいツリールートを作成する前に、ドメイン名前付けマスターの役割を、Windows Server 2003、Windows Server 2008、または Windows Server 2008 R2 を実行するドメインコントローラーに転送します。

パフォーマンスカウンターの変更点

Windows 2000 および Windows Server 2003 では、Active Directory のパフォーマンスカウンターは単一インスタンスであり、NTDS 以下に配置されます。また、Windows Server 2003 では、Active Directory Application Mode (ADAM) のパフォーマンスカウンターには複数のインスタンスがあり、ADAM 以下に配置されていました。Windows Server 2008 および Windows Server 2008 R2 では、AD DS および Active Directory ライトウェイトディレクトリサービス (AD LDS) のいずれのパフォーマンスカウンターも前述と同じ場所にあり、複数のインスタンスを持つ DirectoryServices 以下にも配置されています。AD DS のパフォーマンスカウンターは NTDS インスタンスの下にある一方、AD LDS のパフォーマンスカウンターは AD LDS サービス名に対応するインスタンスの下にあります (Windows Server 2003 の場合と同様)。

たとえば、Windows Server 2003 を実行するコンピューターに Active Directory がインストールされ、ADAM_instance1 および ADAM_instance2 という 2 つの ADAM サービスがある場合、パフォーマンスモニターの [選択したオブジェクトのインスタンス] には次の名前が表示されます (表示される名前を角かっこ内に示します)。

NTDS
ADAM [ADAM_instance1]
ADAM [ADAM_instance2]

Windows Server 2008 または Windows Server 2008 R2 を実行するコンピューターでは、次の名前が表示されます。

NTDS
DirectoryServices [NTDS]
DirectoryServices [ADAM_instance1]
DirectoryServices [ADAM_instance2]

Windows Server 2003 を実行するコンピューターに Active Directory のみインストールされている場合は、次の名前が表示されます。

NTDS

Windows Server 2008 または Windows Server 2008 R2 を実行するコンピューターに AD DS のみインストールされている場合は、次の名前が表示されます。

NTDS
DirectoryServices [NTDS]

Windows Server 2008 または Windows Server 2008 R2 を実行するコンピューターに ADAM_instance1 と ADAM_instance2 という名前の AD LDS インスタンスのみインストールされている場合は、次の名前が表示されます。

DirectoryServices [ADAM_instance1]
DirectoryServices [ADAM_instance2]

NTDS ブロック内のカウンターは、DirectoryServices [NTDS] ブロック内のカウンターの完全なコピーです。将来的には、アプリケーションが DirectoryServices [NTDS] カウンターを使用して起動するようになります。NTDS ブロックは、旧バージョンとの互換性のためだけに用意されており、Windows の今後のバージョンでは提供されなくなる可能性があります。