¶ AD健全性チェック
¶ 🧭 このページについて
Active Directory(AD)は「動いているように見えていても」、内部で不整合が進行していることがある。
そのため、定期的な健全性チェックで問題の芽を早期に発見することが重要である。
本ページでは、Windows標準ツールを中心に 基本的なAD健全性チェック項目 を、
「どこを見るか」「正常の目安」「NGの典型」「次に疑うこと」まで含めて整理する。
(詳細な設計・復旧手順・高度な監視は別ページで扱う)
¶ 🗺 チェック全体像
¶ 🌐 1. DNSの確認(最優先)
ADはDNSに強く依存している。
まず「クライアントが AD 用DNS を参照しているか」を確認する。
¶ 🛠 実行コマンド(クライアント)
ipconfig /all
¶ ✅ どこを見るか(出力の確認箇所)
ipconfig /all の出力で、次を探す。
- DNS Servers . . . . . . . . . . . :
- Connection-specific DNS Suffix . : <ドメイン名>(表示される環境の場合)
- Primary DNS Suffix . . . . . . . : <ドメイン名>(表示される環境の場合)
¶ ✅ 正常の目安
- DNS Servers が 社内のDNS(一般的にはDC) を指している
- 複数DNSがある場合、先頭が到達可能なDNSになっている
¶ ❌ よくあるNG → 次に疑うこと
- 外部DNS(例:8.8.8.8 / 1.1.1.1)を参照している
→ SRVレコードが引けず、ドメイン参加・ログオン失敗/遅延の原因になりやすい - 存在しないDNSを参照している
→ タイムアウト待ちでログオンが遅くなる - VPN接続時だけDNSが変わる
→ VPN側のDNS配布/スプリットDNSを確認する
¶ 🖥 2. DCの状態確認(全体診断)
ドメインコントローラー(DC)の基本診断を実施する。
¶ 🛠 実行コマンド(DC)
dcdiag
¶ ✅ どこを見るか(出力の確認箇所)
Starting test: の後に、以下のいずれかが出る。
- passed test (正常)
- failed test (異常)
特に注目するテスト(環境により出力順は異なる):
- DNS
- Advertising
- NetLogons
- Services
- Replications
¶ ✅ 正常の目安
- failed test が出ていない
- DNS系の失敗がない
¶ ❌ よくあるNG → 次に疑うこと
- DNSテスト失敗
→ SRV登録不整合 / ゾーン不整合 / 名前解決失敗 - Advertising / NetLogons 失敗
→ DCとしての広告や共有(SYSVOL/NETLOGON)問題 - Services 失敗
→ AD関連サービス停止(後述「⑦ 重要サービス」)
¶ 🔁 3. レプリケーション確認(複数DC環境の要)
複数DCがある環境では、レプリケーション不整合が障害の起点になりやすい。
¶ 🛠 実行コマンド(DC)
repadmin /replsummary
repadmin /showrepl
¶ ✅ どこを見るか(出力の確認箇所)
- repadmin /replsummary
- Fails(失敗数)
- Largest Delta(最終成功からの経過)
- repadmin /showrepl
- 相手DCごとの Last attempt と Result
¶ ✅ 正常の目安
- Fails が 0(または一時的で増え続けない)
- Largest Delta が極端に長くない
¶ ❌ よくあるNG → 次に疑うこと
- 失敗が増え続ける
→ ネットワーク断 / DNS不整合 / 時刻ずれ / 認証問題 - 特定の相手DCだけ失敗
→ 相手DCの停止 / 到達性 / 名前解決 / FW / 必要ポート
¶ 📁 4. SYSVOL / NETLOGON の確認
GPO配布やログオン処理に必要な共有フォルダが正常か確認する。
¶ 🛠 実行コマンド(クライアント)
dir \\<ドメイン名>\SYSVOL
dir \\<ドメイン名>\NETLOGON
¶ ✅ 正常の目安
- 一覧表示できる(タイムアウトしない)
- 余計な資格情報入力を求められない(ドメイン参加済み前提)
¶ ❌ よくあるNG → 次に疑うこと
- パスが見つからない / タイムアウト
→ DNS不整合、DC到達不可、SMB制限 - SYSVOLが更新されない
→ レプリケーション(DFSR)不整合の可能性
¶ 🧾 5. イベントログの確認(どこを見るかを具体化)
障害の兆候はイベントログに先に出ることが多い。
ここでは「見るログ」「見る観点」を最低限に絞る。
¶ ✅ どのログを見るか(DC)
- Directory Service
- AD DS 自体の異常(DB、レプリケーション関連など)
- DNS Server
- SRV登録失敗、ゾーン関連、更新失敗など
- System
- 時刻同期、ネットワーク、サービス停止、ディスク等の基盤問題
- (環境により)DFS Replication
- SYSVOLレプリケーション不整合の兆候
¶ 🛠 PowerShell(直近50件を確認)
Get-WinEvent -LogName "Directory Service" -MaxEvents 50
Get-WinEvent -LogName "DNS Server" -MaxEvents 50
Get-WinEvent -LogName "System" -MaxEvents 50
Get-WinEvent -LogName "DFS Replication" -MaxEvents 50
¶ ✅ どう読むか(見るポイント)
- 同じエラーが繰り返し出ていないか
- 直近(今日/昨日)から急に増えていないか
- 警告よりも「エラー」「重大」優先で確認する
- 変更作業(Windows Update / 設定変更)直後に出始めたかを意識する
¶ ❌ よくあるNG → 次に疑うこと
- DNS関連が頻発
→ DNSゾーン/登録/到達性 - レプリケーション関連が頻発
→ DC間通信 / 時刻 / 認証 - DFS Replication のエラーが継続
→ SYSVOL不整合(GPO影響)
¶ ⏱ 6. 時刻同期の確認(Kerberos成立条件)
Kerberos認証は時刻に依存する。
時刻ずれはログオン失敗や認証エラーの原因になる。
¶ 🛠 実行コマンド(クライアント/サーバー)
w32tm /query /status
w32tm /query /source
¶ ✅ 正常の目安
- Source に同期元が出る(Local CMOS Clock になっていない)
- “同期していない” 状態になっていない
¶ ❌ よくあるNG → 次に疑うこと
- Local CMOS Clock
→ 同期できていない可能性 - 仮想環境でホスト同期と競合
→ ドメイン時刻体系が崩れる可能性
¶ ⚙ 7. 重要サービス(停止していないか)
最後に、AD基盤として重要なサービスが停止していないか確認する。
(停止している場合、上記の問題が連鎖しやすい)
¶ 🛠 実行コマンド(DC)
Get-Service | Where-Object { $_.Status -ne "Running" } | Select-Object -First 50
¶ ✅ 最低限の観点
- 「ADやDNSに関係するサービス」が停止していないこと
- 停止が見える場合は、意図した停止か(メンテ中か)を確認する
¶ ✅ まとめ
AD健全性チェックは、次の順で確認すると切り分けが早い。
- ① DNS(入口)
- ② DC状態(基盤)
- ③ レプリケーション(整合性)
- ④ SYSVOL/NETLOGON(運用)
- ⑤ イベントログ(兆候)
- ⑥ 時刻同期(Kerberos前提)
- ⑦ 重要サービス(基盤)
トラブル時は「DNS → 時刻 → DC診断 → レプリケーション」を先に見ると判断が早い。