本ページでは、Active Directory 環境における監視項目を整理する。
Active Directory は、DNS、レプリケーション、SYSVOL、認証、各種サービス、ネットワーク通信など、複数の要素が連携して成立している。
そのため、単一のコマンドや単一のログだけでは判断せず、複数の観点を組み合わせて状態を確認する。
本ページは、日常運用において Active Directory の状態を確認するための監視基準をまとめたものであり、障害発生時の個別復旧手順ではなく、平常時を含めた確認観点の整理を目的とする。
SYSVOL は GPO の実体ファイルであり、DFSR によってドメインコントローラー間で複製される。
この整合性が崩れると、GPO が適用されない、または DC 間でポリシーの差異が発生するため、定期的な確認が必要となる。
AD レプリケーション確認
レプリケーション状態の確認
AD障害検証(DNS障害シナリオ)
DNS障害がADに与える影響の確認
SYSVOL / DFSR 動作確認
GPO配布領域の整合性確認
Active Directory 認証確認
認証状態の切り分け
Active Directory は以下の要素で構成される。
そのため、単一観点ではなく複数観点で監視を行う。
| 項目 | 内容 |
|---|---|
| ドメイン名 | example.com |
| ドメインコントローラー | DC01(PDC エミュレーター) |
| ドメインコントローラー | DC02(追加ドメインコントローラー) |
| クライアント | CLIENTPC |
※本ページでは説明のため仮称を使用している
※実環境ではドメイン名・サーバー名を適宜読み替えること
・イベントログで異常を検知する
・コマンドで状態を確認する
・単発ではなく継続発生を重視する
・複数観点で総合判断する
Active Directory の情報は、ドメインコントローラー間でレプリケーションされることで一貫性が保たれている。
レプリケーションに不整合が発生すると、以下のような問題が発生する。
・ユーザー情報やパスワード変更が反映されない
・GPOが適用されない
・ログオン先DCによって動作が変わる
そのため、ADの正常性はレプリケーションの成立で判断する。
repadmin /replsummary
repadmin /showrepl
PS C:\> repadmin /replsummary
ソース DSA 最大デルタ 失敗/合計 %% エラー
DC01 約1時間未満 0 / 5 0
DC02 約1時間未満 0 / 5 0
宛先 DSA 最大デルタ 失敗/合計 %% エラー
DC01 約1時間未満 0 / 5 0
DC02 約1時間未満 0 / 5 0
👉 DC01 のレプリケーションは正常と判断する
C:\>repadmin /replsummary
ソース DSA 最大デルタ 失敗/合計 %% エラー
DC01 正常 0 / 5 0
DC02 正常 0 / 5 0
宛先 DSA 最大デルタ 失敗/合計 %% エラー
DC01 正常 0 / 5 0
DC02 正常 0 / 5 0
👉 DC02 のレプリケーションは正常と判断する
👉 レプリケーションは「失敗がないこと」と「継続的に同期されていること」の両方で判断する
Active Directory は DNS に強く依存して動作する。
ドメインコントローラーの検出や認証処理は、DNS の名前解決および SRV レコードを利用して行われる。
DNS に不整合がある場合、以下のような問題が発生する。
・ドメインコントローラーを発見できない
・ログオン失敗(Kerberos エラー)
・レプリケーション失敗
・GPOが適用されない
そのため、DNSはADの前提条件として最優先で確認する。
# PowerShell
Resolve-DnsName DC02.example.com
# cmd
nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com
PS C:\> Resolve-DnsName DC02.example.com
Name Type IPAddress
---- ---- ---------
DC02 A 192.0.2.x
PS C:\> nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com
_ldap._tcp.dc._msdcs.example.com SRV service location:
port = 389
svr hostname = dc01.example.com
_ldap._tcp.dc._msdcs.example.com SRV service location:
port = 389
svr hostname = dc02.example.com
👉 DC01 から見たDNS状態は正常と判断する
# PowerShell
Resolve-DnsName DC01.example.com
# cmd
nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com
PS C:\> Resolve-DnsName DC01.example.com
Name Type IPAddress
---- ---- ---------
DC01 A 192.0.2.x
PS C:\> nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com
_ldap._tcp.dc._msdcs.example.com SRV service location:
port = 389
svr hostname = dc01.example.com
_ldap._tcp.dc._msdcs.example.com SRV service location:
port = 389
svr hostname = dc02.example.com
👉 DC02 から見たDNS状態は正常と判断する
👉 DNSはADの基盤であり、ここに不整合がある場合は他の監視結果は信頼できないため、最初に確認する
Active Directory におけるグループポリシー(GPO)は、SYSVOL 共有に格納されたファイルとして管理され、DFSR によってドメインコントローラー間で複製される。
そのため、レプリケーション自体が正常であっても、SYSVOL 側で不整合が発生している場合は、以下のような影響が発生する。
・GPOが適用されない
・ログオンスクリプトが実行されない
・ドメインコントローラーごとに設定が異なる
このため、ADデータのレプリケーションとは別に、SYSVOL / DFSR の状態を独立して確認する必要がある。
dir \\DC01\SYSVOL
dir \\DC02\SYSVOL
dir \\DC01\SYSVOL\example.com\Policies
dir \\DC02\SYSVOL\example.com\Policies
Get-WinEvent -LogName "DFS Replication" -MaxEvents 20 | Format-Table -AutoSize -Wrap
# SYSVOL共有の確認
\\DC01\SYSVOL → 公開されている
\\DC02\SYSVOL → 公開されている
# GPOフォルダ確認
\\DC01\SYSVOL\example.com\Policies → フォルダ群あり
\\DC02\SYSVOL\example.com\Policies → 同一構成あり
# DFSRイベント
6806 / 1206 / 1104 等の情報イベント確認(接続・再開)
👉 DC01 から見た SYSVOL / DFSR は正常と判断する
# SYSVOL共有の確認
\\DC01\SYSVOL → 公開されている
\\DC02\SYSVOL → 公開されている
# GPOフォルダ確認
\\DC01\SYSVOL\example.com\Policies → フォルダ群あり
\\DC02\SYSVOL\example.com\Policies → 同一構成あり
# DFSRイベント
5004(接続確立)確認
5014(一時停止)あり(バックアップ/停止起因)
👉 DC02 は警告イベントを含むが、接続確立が確認できるため正常と判断する
👉 「共有アクセス」と「レプリケーション回復」の両方が成立していることをもって正常と判断する
Active Directory における認証は、最終的にユーザーが利用する機能に直接影響する処理である。
DNS、レプリケーション、SYSVOL などの各要素が正常でも、認証が成立しなければ利用者視点では障害となる。
そのため、認証監視では単にログオンの成否を見るのではなく、以下の流れが成立しているかを確認する。
・Kerberos チケットが取得できているか
・適切なドメインコントローラーと通信できているか
・セキュアチャネルが維持されているか
・最終的に GPO が適用されているか
👉 認証は「結果確認」であり、他の監視項目の最終到達点として確認する。
# 現在のユーザーを確認(ドメインユーザーか確認)
whoami
# ログオンしたドメインコントローラーを確認
echo %LOGONSERVER%
# セキュアチャネル(ドメイン信頼関係)を確認
nltest /sc_verify:example.com
# DC検出(DNS含む)
nltest /dsgetdc:example.com
# グループポリシー適用結果確認
gpresult /r
[Kerberosチケット確認]
klist 実行により Kerberos チケット取得を確認
[ログオンサーバー確認]
LOGONSERVER = \\DC02
[DC取得]
DC = \\DC01.example.com
[セキュアチャネル]
Status = 0x0(成功)
[GPO適用]
複数のGPOが適用されていることを確認
👉 認証は正常と判断する
👉 認証は「実際に利用できるか」を基準に判断する
Active Directory は複数のサービスが連携して動作しており、いずれかのサービスが停止した場合、ドメイン機能は成立しない。
レプリケーションや認証の結果が一時的に正常に見えても、サービスが停止している状態では継続的な運用は成立しない。
特に以下のサービスは、役割と影響範囲が明確であり、監視対象として優先度が高い。
・NTDS:ディレクトリデータベース本体
・DNS:名前解決およびDC検出
・Netlogon:ドメイン参加および認証処理
・KDC:Kerberos認証
・DFSR:SYSVOL(GPO)のレプリケーション
・W32Time:時刻同期(Kerberosの前提条件)
👉 サービス監視は、ADの前提条件が満たされているかを確認する工程となる。
### 確認コマンド
# PowerShell(主要なAD関連サービスをまとめて確認)
# ※ Status が Running であることを確認する
Get-Service NTDS,DNS,Netlogon,KDC,DFSR,W32Time
# cmd(各サービスの詳細状態を個別に確認)
# ※ STATE が RUNNING であることを確認する
# Active Directory Domain Services(ディレクトリサービス本体)
sc query NTDS
# DNSサービス(名前解決)
sc query DNS
# Netlogon(ログオン処理・SYSVOL/NETLOGON共有の公開)
sc query Netlogon
# KDC(Kerberos認証サービス)
sc query KDC
# DFS Replication(SYSVOL複製)
sc query DFSR
# Windows Time(時刻同期:Kerberos認証に必須)
sc query W32Time
[PowerShell]
主要サービス(NTDS / DNS / Netlogon / KDC / DFSR / W32Time)がすべて Running
[cmd]
各サービスとも STATE : RUNNING を確認
👉 DC01 のサービス状態は正常と判断する
[PowerShell]
主要サービス(NTDS / DNS / Netlogon / KDC / DFSR / W32Time)がすべて Running
[cmd]
各サービスとも STATE : RUNNING を確認
👉 DC02 のサービス状態は正常と判断する
サービスは PowerShell と cmd の両方で確認する
PowerShell は一覧確認、cmd は個別確認として使い分ける
sc query の結果は STATE のみを確認する
NTDS / DNS / Netlogon は AD の基盤サービスであり、停止は即影響が発生する
KDC / W32Time は Kerberos 認証に関与するため、停止するとログオン障害の原因となる
TYPE / EXIT_CODE / CHECKPOINT などの項目は監視では使用しない
👉 サービス監視は「すべての前提サービスが稼働していること」をもって正常と判断する
Active Directory の各機能は、ネットワーク通信を前提として成立している。
DNSによる名前解決、ICMPによる疎通確認、RPCによるサービス間通信が成立していなければ、レプリケーションや認証は正常に動作しない。
ネットワークに問題がある場合、以下のような影響が発生する。
・ドメインコントローラーを検出できない
・レプリケーション失敗(RPCエラー)
・ログオン失敗
・GPOが適用されない
そのため、ネットワーク監視は他のすべての監視項目の前提条件として確認する。
[PowerShell]
# ポート疎通確認(AD通信に必要なポート)
# ※ TCP接続が成功することを確認する
Test-NetConnection DC01 -Port 135
Test-NetConnection DC02 -Port 135
# LDAPポート確認(認証・ディレクトリアクセス)
Test-NetConnection DC01 -Port 389
Test-NetConnection DC02 -Port 389
# DNS名前解決確認(ドメインコントローラー検出に使用)
# ※ 正しいIPが返ることを確認する
Resolve-DnsName DC01
Resolve-DnsName DC02
[cmd]
# ICMP疎通確認(DC間の基本通信確認)
# ※ 応答が返ることを確認する
ping DC01
ping DC02
# SRVレコード確認(DC検出の要)
# ※ _ldap._tcp.dc._msdcs が引けることを確認する
nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com
名前解決:DC01 / DC02 が解決できることを確認
Ping:応答あり(パケットロスなし)
TCP135:接続成功(TcpTestSucceeded = True)
👉 クライアントから各DCへの通信は正常と判断する
名前解決:DC01 / DC02 が解決できることを確認
Ping:応答あり
TCP135:接続成功
👉 DC01 から見た通信状態は正常と判断する
名前解決:DC01 / DC02 が解決できることを確認
Ping:応答あり
TCP135:接続成功
👉 DC02 から見た通信状態は正常と判断する
ネットワークは Active Directory のすべての前提となる
ICMP疎通は基本的な通信確認として使用する
ポート疎通はサービスレベルの通信確認として実施する
DNS名前解決ができない場合、DC検出や認証に失敗する
SRVレコード(_ldap._tcp.dc._msdcs)はDC検出に必須であり、取得できない場合はDNS異常と判断する
👉 ネットワークは「疎通」と「名前解決」の両方で判断する
### 確認コマンド
# 現在の時刻同期状態を確認
# ※ 参照先(Source)と最終同期時刻を確認する
w32tm /query /status
# 時刻同期の参照元を確認
# ※ どのサーバーと同期しているかを確認する
w32tm /query /source
# 時刻同期の構成を確認
# ※ NTP設定や同期方式を確認する
w32tm /query /configuration
# 登録されている時刻同期パートナーを確認
# ※ 外部NTPまたはドメイン階層の設定確認に使用する
w32tm /query /peers
ソース: DC01.example.com
最終正常同期時刻: 更新されている
以下の項目を確認する
👉 クライアントはドメインコントローラー(DC01)と同期しているため正常と判断する
ソース: 外部NTP(例: ntp.example.net)
最終正常同期時刻: 更新されている
本サーバーは PDCエミュレーターである
以下の項目を確認する
👉 DC01 は PDCエミュレーターとして外部NTPと同期しているため正常と判断する
ソース: DC01.example.com
最終正常同期時刻: 更新されている
本サーバーは PDCエミュレーターではないドメインコントローラーである
以下の項目を確認する
👉 DC02 は PDCエミュレーター(DC01)と同期しており、正常と判断する
Active Directory の各機能は、内部的にはイベントログとして記録される。
レプリケーション、DNS、認証、SYSVOL などの異常は、コマンド結果よりも先にイベントログに現れる。
そのため、イベントログは単なる参考情報ではなく、異常検知の起点として扱う必要がある。
ただし、単発のエラーは正常動作でも発生するため、
「エラーの有無」ではなく「継続発生しているか」で判断する。
# Active Directory データベース(NTDS)の状態確認
Get-WinEvent -LogName "Directory Service" -MaxEvents 50
# DNS サービスの状態確認
Get-WinEvent -LogName "DNS Server" -MaxEvents 50
# OS および基盤サービスの状態確認
Get-WinEvent -LogName "System" -MaxEvents 50
# SYSVOL(GPO)のレプリケーション状態確認
Get-WinEvent -LogName "DFS Replication" -MaxEvents 50
# ログオン監査(認証の成否)確認
Get-WinEvent -LogName "Security" -MaxEvents 50
👉 イベントログは「点」ではなく「傾向」で判断する
※本一覧は Microsoft 公式仕様(AD DS / DNS / DFSR)に基づき整理している
※「異常」「重大」は“サービス影響の有無”で判定する
※イベントビューアのレベル表示(情報 / 警告 / エラー)とは一致しない場合がある
※最終判断はイベントの「継続性」と「影響範囲」で行う
エラー(Error)が継続して発生していない → 正常
警告(Warning)が単発で発生 → 問題なし
情報(Information)のみ、または回復イベントが確認できる → 正常
回復イベント(例:DFSR 5004)が確認できる → 正常
Securityログにおいてログオン失敗が継続して発生していない → 正常
👉 イベントログ上、継続的な異常は確認されないため正常と判断する
イベントログは「エラーの有無」ではなく「継続性」で判断する
単発のエラーや警告は、バックアップや一時的な通信断で発生するため直ちに異常とはしない
同一イベントIDが繰り返し発生している場合のみ異常と判断する
回復イベントが確認できる場合は正常と判断する
Directory Service は AD本体(レプリケーション・内部処理)を確認する
DNS Server は名前解決およびDC検出の問題を確認する
System はサービス停止やネットワーク障害を確認する
DFS Replication は SYSVOL複製の状態を確認する
Security は認証(ログオン成功・失敗)を確認する
👉 イベントログは「継続性」と「影響範囲」で判断する
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 1311 | エラー | レプリケーションパスなし | KCCがトポロジを構築できない |
| 1566 | エラー | レプリカ取得失敗 | DC検出または接続不可 |
| 1865 | エラー | トポロジ生成失敗 | レプリケーション構成破綻 |
| 1925 | エラー | レプリケーション失敗 | RPC / DNS / 接続問題 |
| 2042 | エラー | USNロールバック防止 | 長期間未同期によりレプリケーション遮断 |
| 2087 | エラー | DNS名前解決失敗 | DC間通信不可 |
【解説】
レプリケーションが成立していない状態。
特に 2042 は自動復旧しないため手動対応が必要。
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 2088 | 警告 | DNSフォールバック | DNS解決失敗時の代替通信 |
| 3079 | 警告 | LDAP未暗号化アクセス | セキュリティ要件未適用 |
| 2888 | 警告 | LDAP署名なし | LDAP署名要件未適用 |
【解説】
動作は成立しているが設計逸脱。
継続する場合は障害化の前兆。
・レプリケーション失敗イベントが継続していない
・同一イベントが繰り返し発生していない
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 4015 | エラー | DNSサーバー内部エラー | サービス異常 |
| 4000 | エラー | ゾーン読み込み失敗 | AD統合ゾーン異常 |
| 4007 | エラー | ゾーン更新失敗 | レプリケーション不整合 |
| 4515 | エラー | ゾーン重複 | 構成不整合 |
【解説】
DNS異常はAD全体に直接影響する。
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 4013 | 警告 | AD待機 | AD初期化未完了 |
【解説】
起動直後は正常だが継続する場合は異常。
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 5504 | 情報 | 無効なDNSパケット拒否 | 外部からの不正または異常な問い合わせ |
【解説】
外部公開環境では発生しうる。
継続増加はスキャンや攻撃の可能性。
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 5719 | エラー | ドメイン接続失敗 | DC未検出 |
| 5722 | エラー | セキュアチャネル破損 | 信頼関係崩壊 |
| 5805 | エラー | 認証拒否 | SID不整合 |
| 5774 | エラー | DNS登録失敗 | SRV未登録 |
【解説】
ログオン不能に直結する重大障害。
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 7036 | 情報 | サービス状態変更 | 状態遷移ログ |
【解説】
単体では異常判定に使用しない。
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 2213 | エラー | 自動復旧停止 | Dirty shutdownにより復旧停止 |
| 4012 | エラー | SYSVOL停止 | GPO配布停止 |
| 5002 | エラー | 接続失敗 | 通信断 |
【解説】
SYSVOL停止はユーザー影響あり。
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 5014 | 警告 | 一時停止 | レプリケーション停止 |
【解説】
・単発+回復イベントあり → 正常
・継続+回復なし → 異常
※ 5004 が回復イベント
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 5004 | 情報 | 接続成功 | 正常同期 |
【解説】
レプリケーション成立状態。
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 4771 | 監査失敗 | Kerberos失敗 | 認証不可 |
【解説】
主原因:時刻ズレ / SPN不整合 / 資格情報不正
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 4625 | 監査失敗 | ログオン失敗 | 認証失敗 |
| 4740 | 警告 | アカウントロック | 攻撃または設定不備 |
【解説】
・単発 → 操作ミス
・継続 → 異常
| イベントID | レベル | 内容 | 技術的意味 |
|---|---|---|---|
| 4624 | 情報 | ログオン成功 | 正常 |
| 4768 | 情報 | TGT発行 | Kerberos正常 |
| 4769 | 情報 | サービスチケット | 認証成功 |
【解説】
認証フロー正常。
結論:
→ ✔️ 正常(サービス影響なし)
・レプリケーション失敗イベントなし
・DNS致命的エラーなし
・DFSR回復イベントあり(5004)
・認証失敗の継続なし
・通信異常なし
・AD → 正常
・SYSVOL → 正常
・DNS → 正常
・認証 → 正常
・3079 / 2888 → LDAPセキュリティ未強制
・LDAPS / LDAP署名強制の検討余地あり
ユーザー影響なし
→ 運用上「正常」と判断可能
・Active Directory は DNS / レプリケーション / 認証 / SYSVOL に依存する複合サービスで構成される
・単一のコマンドやログでは正常性は判断できない
→ 必ず「イベントログ + 実行コマンド(repadmin / dcdiag 等)」を組み合わせて判断する
・正常判定は「エラーがないこと」ではなく以下で判断する
・レプリケーションが成功している
・SYSVOL が共有・同期されている
・認証(Kerberos / NTLM)が成立している
・DNS により DC が正しく解決できる
・最重要確認ポイント
・DNS(名前解決 / SRVレコード)
・レプリケーション(repadmin)
・SYSVOL(DFSR)
・以下の状態は即異常と判断する
・レプリケーション失敗(1311 / 1925 / 2042)
・DNS致命エラー(4015)
・SYSVOL停止(2213 / 4012)
・認証失敗の継続(4771 / 4625)
・単発ログは直ちに異常としない
→ 継続発生・増加傾向で判断する
👉 本ページは内部運用における正常性判断の基準とする