¶ ADトラブルシュート
¶ 🧭 このページについて
Active Directory(AD)の障害は、症状だけを見ると原因が分かりにくいことが多い。
しかし実際には「DNS」「時刻」「DC到達性」「レプリケーション」のどこかが崩れているケースが大半である。
本ページでは、よくある症状から最短で切り分けるための確認順と、Windows標準コマンドによる調査手順を整理する。
(復旧の最終手順や設計変更は別ページで扱う)
¶ 🗺 トラブルシュート全体像(最短ルート)
¶ 🧩 0. まず症状を整理する(最重要)
「何ができないか」を短く分けるだけで、切り分けが早くなる。
- ドメイン参加できない
- ログオンできない/ログオンが遅い
- GPOが当たらない
- 共有(SYSVOL/NETLOGON)が見れない
- 一部のPCだけおかしい
- 片方のDCだけおかしい
※ この後の確認は「DNS → 時刻 → DC検出 → レプリケーション」の順を基本とする。
¶ 🌐 1. DNS(最優先)
ADのトラブルはDNSが原因のことが多い。
¶ 🛠 クライアントのDNS確認
ipconfig /all
¶ ✅ 見るポイント
- DNS Servers が「社内のAD用DNS(通常DC)」を指している
- 外部DNS(例:8.8.8.8)になっていない
¶ 🛠 SRVレコード確認(DC検出の入口)
nslookup -type=SRV _ldap._tcp.dc._msdcs.<ドメイン名>
¶ ✅ 見るポイント
- SRV応答が返る
- DCの名前が応答に含まれる
¶ ⏱ 2. 時刻同期(Kerberos成立条件)
時刻ずれがあると、正しいパスワードでも認証が失敗する。
¶ 🛠 同期状態
w32tm /query /status
¶ 🛠 同期元
w32tm /query /source
¶ ✅ 見るポイント
- Source が想定通り
- “同期していない” 状態になっていない
¶ 🖥 3. DC検出(クライアント視点)
クライアントが「どのDCを見つけたか」を確認する。
¶ 🛠 DC検出
nltest /dsgetdc:<ドメイン名>
¶ ✅ 見るポイント
- DC名が返る
- 返ってくるまで時間がかかりすぎない
¶ 🔁 4. レプリケーション(複数DC環境)
複数DCがある場合、整合性が壊れると障害が長引く。
¶ 🛠 要約
repadmin /replsummary
¶ 🛠 詳細
repadmin /showrepl
¶ ✅ 見るポイント
- 失敗が増え続けていない
- 特定の相手DCだけ失敗していない
¶ 📁 5. SYSVOL / NETLOGON(GPO・ログオンに影響)
GPOやログオンスクリプトが使えないときはここを確認する。
¶ 🛠 共有確認
dir \\<ドメイン名>\SYSVOL
dir \\<ドメイン名>\NETLOGON
¶ ✅ 見るポイント
- タイムアウトしない
- 一覧表示できる
¶ 🧾 6. イベントログ(最後に原因を確定)
症状は似ていても、原因はログに出ることが多い。
¶ ✅ 見るログ(DC)
- Directory Service
- DNS Server
- System
- DFS Replication(環境によって)
¶ 🛠 PowerShell(直近50件)
Get-WinEvent -LogName "Directory Service" -MaxEvents 50
Get-WinEvent -LogName "DNS Server" -MaxEvents 50
Get-WinEvent -LogName "System" -MaxEvents 50
Get-WinEvent -LogName "DFS Replication" -MaxEvents 50
¶ ✅ 見るポイント
- 同じエラーが繰り返し出ていないか
- 直近で急に増えていないか
- 変更作業(Update/GPO設定変更)の直後から出始めていないか
¶ ✅ まとめ
ADトラブルは次の順で切り分けると早い。
- DNS
- 時刻同期
- DC検出
- レプリケーション
- SYSVOL/NETLOGON
- イベントログ
トラブル調査では「最初にDNSと時刻」を徹底するだけで、解決が速くなる。