[ホーム] - [Windows Server 2016 FAQ 一覧] - [ドメインコントローラ 及び AD 正常確認コマンド 10 連発]



作成日:2019/09/04
更新日:2019/11/11
対象:Windows Server 2016

ドメインコントローラ 及び AD 正常確認コマンド 10 連発




【目次】


ドメインコントローラの正常動作を確認する


Windows AD (Active Directory)環境におけるドメインコントローラ(以下DC)の正常動作を確認するコマンドを紹介します。
USNロールバックから復旧した場合など正常確認が必要な場合に利用してください。

Active Directory 正常動作確認コマンド



共有


net share で NETLOGON と SYSVOL が共有されていることを確認します。


NETLOGON C:\Windows\SYSVOL\sysvol\testdomain.local\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL\sysvol Logon server shar



SYSVOLは主にグループポリシーの複製を行います。NETLOGONは主にログオンスクリプトの複製を行います。
もしなければDC間の複製に問題が発生している可能性があります。"DFSの管理ツール"を追加して状況を確認します。


複製の状況を確認


複製の状態を確認します。

repadmin /showrepl



(*)
DCを起動した直後では以下のエラーが出る場合あります。(経験則)しばらく待ってからもう一度確認します。


******* 2019-03-01 10:00:00 以降 1 回の連続のエラー
最後のエラー: 1256 (0x4e8):リモート システムは利用できません。




USN(更新シーケンス番号)ロールバック確認


ロールバックが発生していないか確認します。(特にリストア後)

(1)net logonサービスが起動されていることを確認。
(2)repadmin /showrepl | findstr DSA
で以下が表示されれば正常。

DSA オプション: IS_GC

(3)"Dsa Not Writable"キーが存在しなければ正常


reg query "HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Dsa Not Writable"
エラー: 指定されたレジストリ キーまたは値が見つかりませんでした



(4)イベントログに以下のIDが出力されている場合はUSNロールバックの可能性
2103,2095,1113,1115

他のDCとの複製


他のDCから複製したり、他ののDCへ複製し問題ないか確認します。

他のDCから情報をPULL

C:\>repadmin /syncall



他のDCへ情報をPUSH

C:\>repadmin /syncall /P

<中略>
SyncAll はエラーなしで終了しました。



DCの状況を確認


ドメインコントローラの状況を分析します。 /a より /v の方がより詳細に表示されます。


dcdiag /v



例:

dcdiag /v | findstr "エラー error failure"



イベントログエラー、警告を確認


1日以内の警告とエラーを表示するサンプルです。


$yesterday = (get-date) - (new-timespan -day 1)

$array = @("system","application","Active Directory Web Services","DFS Replication","Directory Service","DNS Server","Internet Explorer","Windows PowerShell","Key Management Service","HardwareEvents")
foreach($a in $array){
Get-WinEvent $a | ?{$_.Level -eq 2 -or $_.Level -eq 3}| where {$_.timecreated -ge $yesterday} | Format-Table -AutoSize -Wrap

}



FSMO確認



C:\>netdom query fsmo
スキーマ マスター server1.testdomain.local
ドメイン名前付けマスター server1.testdomain.local
PDC server1.testdomain.local
RID プール マネージャー server1.testdomain.local
インフラストラクチャ マスター server1.testdomain.local
コマンドは正しく完了しました。



ドメインコントローラの解決


ドメインコントローラのアドレスが解決可能か確認します。


C:\>nslookup
DNS request timed out.
timeout was 2 seconds.
既定のサーバー: UnKnown
Address: ::1

> ping testdomain.local
サーバー: testdomain.local
Addresses: a.b.c.d
e.f.g.h

*** testdomain.local が ping を見つけられません: Non-existent domain



ドメインコントローラへの接続の確認


ドメインに参加するPCから実行します。


C:\>nltest /sc_verify:testdomain.local
フラグ: b0 HAS_IP HAS_TIMESERV
信頼された DC 名 \\server1.testdomain.local
信頼された DC 接続状態 Status = 0 0x0 NERR_Success
信頼の確認 Status = 0 0x0 NERR_Success
コマンドは正常に完了しました



ちなみにドメコン自身からは実行できません。以下のエラーが発生します。


フラグ: 80
信頼された DC 名
信頼された DC 接続状態 Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
信頼の確認 Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
コマンドは正常に完了しました



クライアントからのログオン


クライアントからログインできているか確認します。(キャッシュログインしていないかの確認)

キャッシュを使用せずに正常にドメインログインしている場合

C:\>whoami /fqdn
CN=Administrator,CN=Users,DC=testdomain,DC=local



キャッシュでログインしている場合(ドメインコントローラとの通信に問題がある可能性)

C:\>whoami /fqdn
エラー: 現在ログオンしているユーザーがドメイン ユーザーではないため、
完全修飾識別名 (FQDN) を取得できません。




ドメインコントローラの共有を確認


ドメインコントローラで正常に共有が表示されるか確認します。


ファイル名を指定して実行から

\\<ドメイン名>

を実行します。

例:
\\testdomain.local

ドメインの共有を表示する



原則として、NETLOGON や SYSVOL などが表示されるはずです。

環境や設定によっては追加で以下のような共有が表示されます。

Shared Folders,ファイル履歴のバックアップ,フォルダー リダイレクト,ユーザー,会社


グループポリシー


以下コマンドでグループポリシーが正しく表示されるか確認します。


C:\>gpresult /R







(ご注意) 本サイト内の内容を使用して発生したいかなる時間的損害、金銭的損害あるいはいかなる損害に対して、いかなる人物も一切の責任を負いません。あくまでも個人の判断で使用してください。 本ページは独自に調査をしたアンオフィシャル(非公式)な内容です。内容に誤りがあったり、仕様変更により内容が変わる可能性があります。 本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。)


Copyright(c) TOOLJP.COM 1999-2020

[Windows Server 2016 FAQ 一覧に戻る]