【AD DS】ドメインコントローラーの正常性確認の詳細手順

2022年1月2日
AD DS

AD DS

ドメインコントローラーを新規構築した時や、更新プログラムの適用、設定変更などの作業を実施することがあると思います。
その作業を実施した後も、問題なくドメインコントローラーが正常に動作しているか確認したいですよね。

今回はドメインコントローラーの健全性を確認する方法を紹介します。
ドメインコントローラーが正常に動作しているかを判断するために確認が必要な項目、見方について説明します。

1 (1) ドメインコントローラーの複製状態
2 (2) SYSVOL、NETLOGON 共有の確認
3 (3) dcdiag コマンドの確認
4 (4) 各イベントログの確認
5 (5) ntfrsutl sets コマンド (FRS 複製の場合のみ)
6 (6) ntfrsutl ds コマンド (FRS 複製の場合のみ)
7 おまけ：SYSVOL 共有の複製方法を確認する方法

(1) ドメインコントローラーの複製状態

repadmin /showrepl は、AD データベースの複製状態を確認することができます。
repadmin /showrepl を実行すると、他のドメインコントローラーからの複製状態が表示されます。
複製が成功している場合、”YYYY-MM-DD HH:MM:SS の最後の試行は成功しました。” と表示されます。
最後に複製に成功した日時を確認して、直近の日時で複製が成功しているかどうかを確認します。

また、ドメインコントローラーがグローバルカタログの場合、”DSA オプション: IS_GC” という文字が表示されているかを確認してください。

C:\Users\Administrator>repadmin /showrepl

Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています
Default-First-Site-Name\TEST01DC01
DSA オプション: IS_GC
サイトオプション: (none)
DSA オブジェクト GUID: 359e4331-dfff-4cec-a1ec-2a537581f63e
DSA 起動 ID: 03fba688-62df-4083-8057-efa3d4cab208
==== INBOUND NEIGHBORS ======================================
DC=test,DC=local
Default-First-Site-Name\DC02 (RPC 経由)
DSA オブジェクト GUID: 326e1109-b33d-4026-aab7-8a5bc2cd960a YYYY-MM-DD HH:MM:SS の最後の試行は成功しました。

AD データベースの各パーティションごとの複製状態が表示されます。
全てのパーティションにて複製が成功していることを確認します。

(2) SYSVOL、NETLOGON 共有の確認

net share コマンドは、ファイル共有の一覧を確認するためのコマンドです。
ドメインコントローラーであれば、SYSVOL 共有と NETLOGON 共有がある必要があります。
NETLOGON 共有がない場合、ドメインコントローラーは認証要求に対して応答しません。
また、SYSVOL 共有がない場合、ドメイン端末にグループポリシーを配布することができません。
そのため、net share コマンドを実行し、SYSVOL 共有、NETLOGON 共有が存在することを確認します。

C:\>net share

共有名リソース注釈
——————————————————————————-
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
NETLOGON C:\Windows\SYSVOL\sysvol\test01.local\SCRIPTS Logon server share
SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
コマンドは正常に終了しました。

(3) dcdiag コマンドの確認

dcdiag コマンドはドメインコントローラーの診断ツールとなり、ドメインコントローラーの正常性を確認するための各テストを実施します。
ドメインコントローラー上で dcdiag /v コマンドを実行して、実行された各テストが “合格しました” となっていることを確認します。
特に Adverting のテストが合格していれば、ドメインコントローラー、またグローバルカタログとして正常に動作していることを示しています。

C:\>dcdiag /v
ディレクトリサーバー診断
(略)

サーバーをテストしています: Default-First-Site-Name\TEST01DC01
テストを開始しています: Advertising
The DC TEST01DC01 is advertising itself as a DC and having a DS.
The DC TEST01DC01 is advertising as an LDAP server
The DC TEST01DC01 is advertising as having a writeable directory
The DC TEST01DC01 is advertising as a Key Distribution Center
The DC TEST01DC01 is advertising as a time server
The DS TEST01DC01 is advertising as a GC.
……………………. TEST01DC01 はテスト Advertising に合格しました

上の実行結果は、日本語 OS での実行結果です。
英語 OS の場合は、 “<DC> passed test Advertising” と表示されます。
各テストが “passed” となっていることを確認してください。

dcdiag の結果において、FrsEvent、DFSREvent、KccEvent、SystemLog のテストがエラーとなることがあります。
このテストがエラーとなっている場合でも、ドメインコントローラーに問題があることを示すわけではありません。
このテストでは、過去 60 分間において該当のイベントログに何等かのエラーログが記録されていないかを確認しています。
エラーログの内容によっては、ドメインコントローラーの動作の影響へ関係しない可能性も高いです。
そのため、該当のイベントログを確認し、どのようなエラーログが記録されているかを踏まえた上で正常性を判断してください。

(4) 各イベントログの確認

ドメインコントローラーの各イベントログに重大な問題があることを示すエラーが記録されていないかを確認します。
確認が必要なイベントログは以下の通りです。

[Windows ログ] – [Application]
[Windows ログ] – [システム]
[アプリケーションとサービスログ] – [Directory Service]
[アプリケーションとサービスログ] – [DFS Replication]
[アプリケーションとサービスログ] – [DNS Server]

(5) ntfrsutl sets コマンド (FRS 複製の場合のみ)

ntfrsutl sets コマンドを実行し、FRS による SYSVOL 共有の複製に問題がないか確認します。
ntfrsutl sets コマンドの実行結果の、CnfFlags の項目の結果より、複製に問題がないか確認することができます。
また、この確認項目は SYSVOL 共有の複製に DFSR を用いている場合は、確認する必要はありません。

C:\>ntfrsutl sets
ACTIVE REPLICA SETS
Replica: DOMAIN SYSTEM VOLUME (SYSVOL SHARE) (f83291e6-c625-4bf4-b72d3afbf929aaa6)
ComputerName : TEST01DC01
Member : TEST01DC01 (2328379f-0c91-47f1-8b1dd6d1cb8e4787)
Name : DOMAIN SYSTEM VOLUME (SYSVOL SHARE) (2328379f-0c91-47f1-8b1dd6d1cb8e4787)
RootGuid : 584ff754-2f77-42cf-9e5ea6660f9c5e3d
OrigGuid : 6197ae6e-fe5d-4b98-b95c87c89a38d7d8
Reference : 2
CnfFlags : 00000011 Flags [Multimaster Primary Online ] (※)

(※) の CnfFlags の値が、 Multimaster Primary Online、または Multimaster Online、Multimaster Primary Online PrimaryUndefined、Multimaster Online PrimaryUndefined のいずれかとなっていれば問題ありません。

(6) ntfrsutl ds コマンド (FRS 複製の場合のみ)

コマンドプロンプトにて ntfrsutl ds コマンドを実行し、FRS 関連のオブジェクトに問題がないかを確認します。
この時、出力結果に “IS NOT A MEMBER OF ANY SET!” という表記が存在する場合には、FRS 関連のオブジェクトに問題がある可能性があります。
“IS NOT A MEMBER OF ANY SET!” という表記がなければ、FRS 関連のオブジェクトには問題ありません。

C:\>ntfrsutl ds
NTFRS CONFIGURATION IN THE DS
SUBSTITUTE DCINFO FOR DC
FRS DomainControllerName: (null)
Computer Name : TEST01DC01
Computer DNS Name : TEST01DC01.test01.local

BINDING TO THE DS:
ldap_connect : TEST01DC01.test01.local
DsBind : TEST01DC01.test01.local

おまけ：SYSVOL 共有の複製方法を確認する方法

ドメインコントローラーの SYSVOL 共有の複製方法は FRS か DFSR のいずれかが利用されます。
ご利用のドメイン環境での SYSVOL 共有の複製方法が FRS なのか DFSR なのかを確認する方法は以下の通りです。

1) 任意のドメインコントローラーに管理者権限をもつユーザーをもつユーザーでログオンします。
2) [Windows 管理ツール] より、[ADSI エディター] をクリックします。
3) メニューより [操作] – [接続] をクリックします。
4) [接続の設定] にて、以下の設定になっていることを確認し、[OK] をクリックします。

[接続ポイント] 項目
[既知の名前付けコンテキストを選択する] の項目にて “既定の名前付けコンテキスト” を選択します。

[コンピューター] 項目
[既定(ログインしたドメインまたはサーバー)] の項目を選択します。

5) 画面の左ペインより、以下の通りコンテキストの階層を展開します。

[既定の名前付けコンテキスト] – [<ドメイン名>] – [CN=SYSTEM]

6) [CN=SYSTEM] の配下にある、以下の各項目を確認します。

[CN=File Replication Service]
[CN=DFSR-GlobalSettings]

■ DFSR 複製の場合

SYSVOL 共有にて DFSR 複製を利用している場合、[CN=DFSR-GlobalSettings] の配下に [CN=Domain System Volume] というオブジェクトが存在します。
また、[CN=Domain System Volume] 配下にフォレスト内にある全ての DC 名をもつオブジェクトが存在します。

■ FRS 複製の場合

SYSVOL 共有にて DFSR 複製を利用している場合、[CN=DFSR-GlobalSettings] の配下に [CN=Domain System Volume (SYSVOL share)] というオブジェクトが存在します。
また、[CN=Domain System Volume (SYSVOL share)] の配下にフォレスト内の全てのドメインコントローラー名のオブジェクトが存在します。