¶ ADとDNS
¶ 📌 1. 概要
Active Directory(AD)は、DNSの上に成り立っている。
ADは内部的に「ドメインコントローラーを自動検出する」仕組みを持っているが、その検出に使用しているのがDNSである。
DNSが正常に機能していない環境では、
- ドメイン参加ができない
- ログオンに失敗する
- レプリケーションが正常に行われない
といった問題が発生する。
本ページでは、
- なぜADはDNSに依存しているのか
- DNSには何が登録されているのか
- どの観点で確認すべきか
を整理する。
¶ 🧠 2. なぜDNSが必要なのか
ユーザーがドメインにログオンする際、クライアントは最初からドメインコントローラーのIPアドレスを知っているわけではない。
まず行われるのは、
「このドメインの認証サーバーはどこにあるのか」という問い合わせ
である。
その問い合わせ先がDNSである。
¶ 🔎 ログオンの実際の流れ
ポイントは次の通り。
- クライアントはDNSに問い合わせる
- DNSが「どのサーバーがDCか」を教える
- その後に認証が始まる
つまり、DNSが正しく応答しなければ、認証は開始すらできない。
¶ 📚 3. SRVレコードとは何か
ADで特に重要なのがSRV(Service)レコードである。
SRVレコードとは、
特定のサービスを提供しているサーバーの場所を示すDNSレコード
Active Directoryでは、例えば次のレコードが登録される。
_ldap._tcp.dc._msdcs.ドメイン名
これを分解すると、
- _ldap → LDAPサービスを提供している
- _tcp → TCP通信を使用する
- dc → ドメインコントローラー
- _msdcs → AD内部用ゾーン
という意味になる。
このレコードが存在しない、または誤っていると、クライアントはDCを発見できない。
¶ 🏗 4. AD統合DNSとは
AD環境では、多くの場合「AD統合DNS」が利用される。
これは、
DNSゾーン情報をActive Directoryデータベース内に保存する方式を意味する。
この方式の特徴は、
- DNS情報がADレプリケーションで同期される
- ゾーン転送の設定が不要
- 管理が一元化される
といった点にある。
¶ 🔁 5. なぜIP固定ではないのか
仮にクライアントがDCのIPアドレスを固定で持っていた場合、
- DCが停止したらどうするか
- DCを増設したらどうするか
- サイトが分かれたらどうするか
といった問題が発生する。
DNSを使うことで、
接続先DCを動的に決定できる
仕組みになっている。
¶ 🔎 6. よくあるトラブル
¶ ■ ドメイン参加できない
主な原因:
- クライアントのDNS設定が外部DNS(例:8.8.8.8)になっている
- SRVレコードが正しく登録されていない
¶ ■ ログオンが遅い
主な原因:
- 存在しないDNSサーバーを参照している
- 古いDCの情報が残っている
ADトラブルの多くはDNS設定の誤りに起因する。
¶ 🛠 7. 確認コマンド
¶ ■ DNS設定確認
ipconfig /all
クライアントがどのDNSサーバーを参照しているか確認する。
¶ ■ DC検出確認
nltest /dsgetdc:ドメイン名
クライアントが検出したDCを確認できる。
¶ ■ DNS診断
dcdiag /test:dns
ドメインコントローラー側のDNS状態を診断する。
¶ 🌍 8. 外部DNSとの違い
インターネット用DNSとAD用DNSは役割が異なる。
| 種類 | 役割 |
|---|---|
| 外部DNS | Webサイトなどの公開サービスの名前解決 |
| AD用DNS | ドメインコントローラーやLDAPサービスの検出 |
両者を混在させると、意図しない挙動が発生する可能性がある。
¶ 🧩 9. ADとDNSの関係まとめ
Active DirectoryはDNSの上に構築されている。
DNSが正常に動作していない場合、ADは機能しないと考えてよい。
¶ 📝 まとめ
DNSは補助的な存在ではない。
- DCの発見
- 認証開始
- レプリケーション
すべての起点がDNSである。
Active Directoryの問題を調査する際は、まずDNSから確認することが基本となる。