ドメインコントローラ(DC)の正常性の確認方法について

こんにちは。Windowsプラットフォームサポートの大鳥です。

今回は、「ドメインコントローラ(以下DC)の正常性の確認について」をご紹介していきたいと思います。DCを降格させたり、DCに昇格させたりと動作をさせていく上で、実際にDCが正常に降格されているのか、またはDCへ正常に昇格されているのか確認したいですよね。DC正常性の確認の手順を下記にお纏めいたしました。

 

==================================================

DCの正常性を確認する方法

==================================================

<作業の流れ>

(1) AD データベースの複製状況の確認

(2) SYSVOL、NETLOGON 共有の確認

(3) ドメイン コントローラーの正常性の確認

(4) 各種イベント ログの確認

 

<詳細な手順>

----------------------------------------

(1) AD データベースの複製状況の確認

----------------------------------------

コマンド プロンプトにて repadmin /showrepl コマンドを実行し、Active Directory データベースの複製にエラーが無いことを確認します。

また、グローバル カタログ サーバーの場合は "DSA OPTIONS: IS_GC" という項目があることを確認します。

 

> repadmin /showrepl

 

出力結果例)

--------------

Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています

Default-First-Site-Name\DC02

DSA オプション: IS_GC

<<<---- グローバル カタログ サーバーの場合は、IS_GC と表示されていることを確認します。

サイト オプション: (none)

DSA オブジェクト GUID: b3db08eb-75c6-411d-b56c-5a06d4365995

DSA 起動 ID: 19a5c6a9-96cc-4cce-bcc7-ed759412899f

====入力方向の近隣サーバー==================

DC=TEST,DC=LOCAL

Default-First-Site-Name\DC01 (RPC 経由)

DSA オブジェクト GUID: 326e1109-b33d-4026-aab7-8a5bc2cd960a YYYY-MM-DD HH:MM:SS の最後の試行は成功しました。

<<<---- 直近の日時で複製が成功していることを確認します。

 

----------------------------------------

(2) SYSVOL、NETLOGON 共有の確認

----------------------------------------

コマンド プロンプトにて net share コマンドを実行し、SYSVOL 及び NETLOGON が共有されているかを確認します。 共有名に NETLOGON 及び SYSVOL が表示されていることで正常に共有できていると判断できます。

 

> net share

 

出力結果例)

<<<---- NETLOGON が共有されていることを確認します。

<<<---- SYSVOL が共有されていることを確認します。 

 

---------------------------------------

(3) ドメイン コントローラー診断テストの確認

----------------------------------------

コマンド プロンプトにて dcdiag /v コマンドを実行し、各テストにエラーが無く、"合格しました" と表示されることを確認します。 Advertising に合格していることで、ドメイン コントローラー、及びグローバル カタログとして正常に機能していると判断できます。

 

> dcdiag /v

 

出力結果一部例)

--------------

テストを開始しています: Advertising

The DC DC02 is advertising itself as a DC and having a DS.

The DC DC02 is advertising as an LDAP server

The DC DC02 is advertising as having a writeable directory

The DC DC02 is advertising as a Key Distribution Center

The DC DC02 is advertising as a time server

The DS DC02 is advertising as a GC.

......................... DC02 はテスト Advertising に合格しました

 

----------------------------------------

(4) 各種イベント ログの確認

----------------------------------------

システム、ディレクトリ サービス、DNS サーバー、DFS Replication の各種イベント ログにおいて、異常を示唆するようなエラーや警告のイベントが記録されていないか確認します。

 

以上、DC の正常性の確認方法となります。

 

****************************************************************************************

 

上記は DC の正常性を確認するための一般的な方法となりますが、DC の降格を行った後に正常に降格ができたか、残存している情報がないかを確認したい場合には、上記の内容に加えまして以下の項目をご確認いただき、降格させた DC の情報が残存していないことをご確認下さい。

 

==================================================

降格させた DC の情報が存在しないことの確認手順

==================================================

<作業の流れ>

(1) 複製に使用する接続オブジェクトが削除されていることの確認

(2) DC のコンピュータ オブジェクトが削除されていることの確認

(3) FRS または DFSR のオブジェクトが削除されていることの確認

(4) DNS レコードが削除されていることの確認

 

<詳細な手順>

----------------------------------------

(1) 複製に使用する接続オブジェクト

----------------------------------------

  1. [Active Directory サイトとサービス] スナップインを起動します。
  2. [Sites] - [<サイト名>] - [Servers] - [DC 名] - [NTDS Settings] を選択します。
  3. 右ペインに [レプリケート元サーバー] が降格させた DC となっているオブジェクトが存在していれば、左ペインの [NTDS Settings] を右クリックし、[すべてのタスク] - [レプリケーション トポロジの確認] をクリックします。
  4.  右ペインにて [最新の情報に更新] し、降格させた DC とのオブジェクトが削除されていることを確認します。
  5.  2. から 4. までの手順を [Sites] - [<サイト名>] - [Servers] のすべての DC について実行します。
  6.  左ペインにて [Sites] - [<降格させた DC のサイト名>] - [Servers] - [<降格させた DC>] が存在しないことを確認します。

 

----------------------------------------

(2) DC のコンピュータ オブジェクト

----------------------------------------

[Active Directory ユーザーとコンピュータ] MMC スナップインを開き、 [Domain Controllers] 配下に降格させた DC が削除されているか確認します。

 

----------------------------------------

(3) FRS または DFSR のオブジェクト

----------------------------------------

  1. [スタート] - [ファイル名を指定して実行] を選択し、adsiedit.msc と入力して [OK] をクリックします。
  2. [ADSI エディタ] を右クリックして表示されるメニューから "接続" をクリックします。
  3.  接続の設定画面で "名前" 欄に "Domain NC" と入力し、他は既定の状態で [OK] をクリックします。
  4.  以下のオブジェクトを展開します (Windows Server 2008 ネイティブ以降の機能レベルで SYSVOL の複製に DFSR を使用している場合には 4. 5. を飛ばして 6. に進みます)。 [Domain NC [Domain Name]] - [DC=・・・(Domain Name)] - [CN=System] - [CN=File Replication Service] - [CN=Domain System Volume (SYSVOL share)]
  5.  [CN=<降格させた DC>] が存在しないことを確認します。
  6.  以下のオブジェクトを展開します。 [Domain NC [Domain Name]] - [DC=・・・(Domain Name)] - [CN=System] - [CN=DFSR-GlobalSettings] - [CN=Domain System Volume] - [CN=Topology]
  7.  [CN=<降格させた DC>] が存在しないことを確認します。

 

----------------------------------------

(4) DNS レコード

----------------------------------------

  1. [スタート] - [管理ツール] - [DNS] を起動します。
  2.  [前方参照ゾーン] - [_msdcs.<フォレスト ルート ドメイン>] 配下に "データ" が降格させた DC となっている CNAME レコードが存在しないことを確認します。
  3.  [前方参照ゾーン] - [<降格させた DC が所属するドメイン>] ゾーン配下の NS レコードのプロパティを開きます。
  4.  [ネーム サーバー] タブで降格させた DC の FQDN が表示されていないことを確認します。
  5.  [前方参照ゾーン] - [<降格させた DC が所属するドメイン>] ゾーン配下に "名前" が降格させた DC となっている A レコードが存在しないことを確認します。