X

あなたのクライアントはActive Directoryにきちんと接続出来ていますか?

Windows Server Essentialsエクスペリエンスでは、Active Directoryが必須になります。クライアントPCも原則、Essentialsサーバーに接続するには、Active Directoryドメインに参加する必要があります。

ここで原則と書いたのは、推奨はされませんが、クライアントPCがドメインに参加するのをスキップした上で、コネクターをインストーする方法があるからです。([FAQ:WSE]Windows Server 2012 Essentials にクライアントを接続する際に、ドメインに参加させずに接続する方法/ワークグループ運用

ドメインに接続したクライアントが、ドメインコントローラーと接続できない場合、認証やサーバー/コンピューターの情報の確認が正しく行えないことから、いろいろな問題が生じてきます。

手元のWindows 10クライアントでは、コネクターをインストールしてドメインに参加していたのですが、いつからかサーバーにリモートデスクトップ接続しようとすると保存していたクレデンシャルが機能せず、「このコンピューターのIDを識別できません」といったエラーがでるようになったり、サーバーからグループポリシーを適用出来ていなかったり、サーバーで稼働しているDNSサーバーで、クライアントのIPアドレスが長い間更新されていないことなどに気がつきました。

ドメインコントローラーと接続出来ているか確認するには?

クライアントコンピューター上で管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行します。[Domain Name]には、ドメイン名を入力します。

nltest /sc_verify:[Domain Name]

[信頼されたDC 接続状態 Status]が、0x0 NERR_Success と記載されていれば問題ありません。

この確認方法は、ドメインに正常に参加できているかについてでチャブーンさんが回答されていたものです。

私の手元のWindows 10クライアントは、これがエラーになりました。クライアントにはログオンできていたものの、過去のキャッシュでログオンしていて、実際にはドメインコントローラーとセキュアチャネルが確立できていない状態でした。

ドメインコントローラーと接続するために必要なこと

Windowsクライアントは、DNSサーバーからSRVレコードを取得することでドメインコントローラーを発見します。

そのためには、

  1. DNSサーバーにSRVレコードが作成されていること
  2. クライアントからSRVレコードが引けること

が必要です。

1. DNSサーバーにSRVレコードが作成されていることの確認

大きく3つの方法があります。

  1. DNSサーバーの前方参照ゾーンにSRVレコードが作成されていることを確認する

  2. DNSサーバー上でnslookupを利用してSRVレコードが引けることを確認する
    1. DNSサーバー上でコマンドプロンプトを管理者権限で実行します。
    2. nslookup と入力してエンターを押下します。
    3. set type=all と入力してエンターを押下します。
    4. _ldap._tcp.dc._msdcs.[ドメイン名のFQDN] を入力してエンターを押下します。

  3. netlogon.dnsで確認する

詳細はHow to verify that SRV DNS records have been created for a domain controllerで解説されています。Windowsクライアントの場合は、上記の1または2を用いるのが通常かと思います。

2. クライアントからSRVレコードが引けることの確認

以下の手順で確認します。

  1. クライアントPC上で、コマンドプロンプトを管理者権限で実行します。
  2. nslookup と入力してエンターを押下します。
  3. set type=all と入力してエンターを押下します。
  4. _ldap._tcp.dc._msdcs.[ドメイン名のFQDN] を入力してエンターを押下します。

ドメイン名は上にある例では「SADA.local」のように、FQDNで入力します。出力結果が上記のように表示され、IPアドレスが表示されれば問題ありません。

.localドメインはいろいろ問題があるので本来非推奨ですが…我が家のドメインはどうしようか思案中です。

ここで結果が表示されずエラーとなる場合、クライアントPCがドメインコントローラーを発見できるように、DNSサーバーがただしく構成されていません。通常は、クライアントPCのDNSサーバーはドメインコントローラーが指定されているはずです。

ドメインコントローラー以外のDNSサーバーが指定されている場合は、ドメインコントローラーのIPアドレスを指定するか、指定したDNSサーバーからSRVレコードを引けるように構成します。

ドメインコントローラーと接続出来ない場合に、Windows 10クライアントで確認したいこと

[FAQ:Win10]Windows Server Essentials ロールにおけるグループポリシーの管理と、Windows 10 にGroup Policy を適用するための留意点で記載しましたが、手元のWindows 10クライアントコンピューターから \\サーバー名\SYSVOL に接続するとアクセスできない状態になっていました。

Windows 10では、セキュリティ強化の影響で、UNCパスの接続時にセキュリティが強化されているようです。[FAQ:Win10]Windows Server Essentials ロールにおけるグループポリシーの管理と、Windows 10 にGroup Policy を適用するための留意点を参考に、グループポリシー設定で、[強化されたUNCパス]の設定を行ってみてください。

ださっち: