本手順では、Active Directory 環境における SYSVOL 共有および DFSR(Distributed File System Replication)の状態を確認し、
ファイルレプリケーションが正常に動作しているかを検証する。
Active Directory では、ユーザー情報だけでなくグループポリシー(GPO)もドメインコントローラー間で共有される。
この GPO の実体は SYSVOL に保存され、DFSR によって各ドメインコントローラーへ複製される仕組みになっている。
そのため、レプリケーション自体が正常に見えても、SYSVOL 側で不整合が発生している場合、
以下のような問題が発生する可能性がある。
本手順では、これらの問題を防ぐために、
「共有」「アクセス」「データ整合性」「ログ」「実動作」の観点から段階的に確認を行う。
確認は以下の流れで実施する。
| 項目 | 内容 |
|---|---|
| ドメイン名 | example.com |
| ドメインコントローラー | DC01(PDC エミュレーター) |
| ドメインコントローラー | DC02(追加ドメインコントローラー) |
| クライアント | CLIENTPC |
※本ページでは説明のため仮称を使用している
※実環境ではドメイン名・サーバー名を適宜読み替えること
SYSVOL
DFSR(Distributed File System Replication)
GPO(Group Policy Object)
ドメインコントローラー(DC)
SYSVOL は DFSR(Distributed File System Replication)によって複製されるため、
DFSR 機能がサーバーにインストールされていることを確認する。
DFSR が利用できない場合、SYSVOL は同期されず、
グループポリシー(GPO)がドメインコントローラー間で一致しない原因となる。
# DFSR機能のインストール状態を確認
Get-WindowsFeature FS-DFS-Replication
PS C:\> Get-WindowsFeature FS-DFS-Replication
Display Name Name Install State
------------ ---- -------------
FS-DFS-Replication Available
# DFSR機能をインストール(管理ツール含む)
Install-WindowsFeature FS-DFS-Replication -IncludeManagementTools
本結果では「Available」と表示されているため、
DFSR 機能は未インストールの状態である。
この状態では SYSVOL のレプリケーションが正常に動作しないため、
機能のインストールが必要となる。
DFSR は SYSVOL レプリケーションの基盤となる機能である。
「Installed」であることを確認したうえで、次の手順へ進む。
「Available」の場合は、本手順でインストールを実施する。
SYSVOL および NETLOGON が共有として公開されているかを確認する。
これらの共有は Active Directory の動作において必須であり、存在しない場合はグループポリシーの適用やログオン処理に影響が発生する。
# 共有一覧を確認
net share
(結果は一部抜粋)
NETLOGON C:\Windows\SYSVOL\sysvol\example.com\SCRIPTS
SYSVOL C:\Windows\SYSVOL\sysvol
これらの共有はドメインコントローラーで自動的に作成されるため、存在していること自体が正常動作の前提条件となる。
正常
DC01 において、SYSVOL および NETLOGON の共有は正常に公開されている。
ドメインコントローラーとして必要な共有機能は正常に動作している状態である。
対向のドメインコントローラーにおいても同様に共有状態を確認する。
複数のドメインコントローラーが存在する場合、すべてのサーバーで同じ共有が存在している必要がある。
# 共有一覧を確認
net share
(結果は一部抜粋)
NETLOGON C:\Windows\SYSVOL\sysvol\example.com\SCRIPTS
SYSVOL C:\Windows\SYSVOL\sysvol
ドメインコントローラー間で共有構成に差異がある場合、レプリケーションや認証処理に問題が発生する可能性がある。
正常
DC02 においても SYSVOL および NETLOGON の共有は正常に公開されている。
DC01 と構成に差異はなく、ドメインコントローラー間で共有状態は一致している。
SYSVOL 共有へ正常にアクセスできるかを確認する。
SYSVOL はグループポリシー(GPO)の実体が保存されている領域であり、アクセスできない場合はポリシーの取得やログオン処理に影響が発生する。
# DC01 の SYSVOL にアクセス
dir \\DC01\SYSVOL
# DC02 の SYSVOL にアクセス
dir \\DC02\SYSVOL
(結果は一部抜粋)
Directory: \\DC01\SYSVOL
example.com -> C:\Windows\SYSVOL\domain
Directory: \\DC02\SYSVOL
example.com -> C:\Windows\SYSVOL\domain
example.com)が表示されることを確認するここでは「見えること」が重要であり、アクセスできない場合はネットワーク・認証・共有設定のいずれかに問題がある。
正常
DC01 から見て、両ドメインコントローラーの SYSVOL に正常にアクセスできている。
共有への疎通および基本的な参照は問題なく動作している状態である。
対向のドメインコントローラーから見た SYSVOL のアクセス状態を確認する。
Active Directory は双方向で通信するため、片側だけでなく逆方向の疎通も確認することが重要である。
# DC01 の SYSVOL にアクセス
dir \\DC01\SYSVOL
# DC02 の SYSVOL にアクセス
dir \\DC02\SYSVOL
(結果は一部抜粋)
Directory: \\DC01\SYSVOL
example.com -> C:\Windows\SYSVOL\domain
Directory: \\DC02\SYSVOL
example.com -> C:\Windows\SYSVOL\domain
双方向で問題がないことを確認することで、
ネットワークおよび認証経路が正常であることを判断できる。
正常
DC02 から見ても SYSVOL へのアクセスは正常である。
両ドメインコントローラー間で疎通に問題はなく、参照状態は一致している。
SYSVOL 内の GPO フォルダ構成を確認し、ドメインコントローラー間でデータが一致しているかを確認する。
GPO は Active Directory の設定そのものであり、内容が一致していない場合、端末ごとに異なる設定が適用される原因となる。
# DC01 の GPOフォルダ確認
dir \\DC01\SYSVOL\example.com\Policies
# DC02 の GPOフォルダ確認
dir \\DC02\SYSVOL\example.com\Policies
(結果は一部抜粋)
{0278DE33-B063-4450-8B84-5A5AB590E630}
{0C2F27E7-E22F-4154-A37D-B94DF873FD9D}
{146657F3-5CB2-437C-AD95-B194CEFE6AB0}
・・・
PolicyDefinitions
また、PolicyDefinitions フォルダは管理用テンプレート(ADMX)を格納する領域であり、こちらも含めて一致していることを確認する。
※ 更新日時が異なる場合があるが、これはレプリケーションのタイミングによるものであり問題とならない
正常
DC01 において、SYSVOL 内の GPO フォルダ構成は正常に維持されている。
対向ドメインコントローラーと比較しても差異はなく、レプリケーションによる整合性は保たれている。
対向ドメインコントローラーから見た GPO フォルダ構成に差異がないか確認する。
双方向で一致していることを確認することで、レプリケーションの正常性を判断する。
# DC01 の GPOフォルダ確認
dir \\DC01\SYSVOL\example.com\Policies
# DC02 の GPOフォルダ確認
dir \\DC02\SYSVOL\example.com\Policies
(結果は一部抜粋)
{0278DE33-B063-4450-8B84-5A5AB590E630}
{0C2F27E7-E22F-4154-A37D-B94DF873FD9D}
{146657F3-5CB2-437C-AD95-B194CEFE6AB0}
・・・
PolicyDefinitions
片側だけでなく両方から確認することで、一方向のみのレプリケーション異常を検知できる。
正常
DC02 においても GPO フォルダ構成に差異は確認されない。
両ドメインコントローラー間で SYSVOL データは一致しており、レプリケーションは正常に機能している。
NETLOGON 共有へアクセス可能かを確認し、ログオンスクリプト配布領域の疎通を確認する。
NETLOGON はログオン時に実行されるスクリプトを格納する共有であり、アクセスできない場合はログオン処理や初期設定に影響が発生する。
# DC01 の NETLOGON 確認
dir \\DC01\NETLOGON
# DC02 の NETLOGON 確認
dir \\DC02\NETLOGON
PS C:\> dir \\DC01\NETLOGON
PS C:\> dir \\DC02\NETLOGON
NETLOGON は必ずしもファイルが存在するとは限らず、
ログオンスクリプトを使用していない環境では空であることも一般的である。
正常
DC01 から見て、両ドメインコントローラーの NETLOGON 共有は正常にアクセス可能である。
ログオンスクリプト配布領域としての疎通に問題はなく、正常に機能している状態である。
対向ドメインコントローラーから見た NETLOGON のアクセス状態を確認する。
双方向で確認することで、一方向のみの疎通不良を検知する。
# DC01 の NETLOGON 確認
dir \\DC01\NETLOGON
# DC02 の NETLOGON 確認
dir \\DC02\NETLOGON
PS C:\> dir \\DC01\NETLOGON
PS C:\> dir \\DC02\NETLOGON
双方向で問題がないことを確認することで、
ネットワークおよび認証経路が正常であると判断できる。
正常
DC02 から見ても NETLOGON 共有は正常にアクセス可能である。
両ドメインコントローラー間で疎通に問題はなく、共有状態は一致している。
DFSR(Distributed File System Replication)のイベントログを確認し、
SYSVOL レプリケーションが正常に継続しているかを判断する。
# DFSRイベントログ確認(見やすく整形)
Get-WinEvent -LogName "DFS Replication" -MaxEvents 20 |
Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize -Wrap
(結果は一部抜粋)
1206 情報 → ドメインコントローラー接続成功
1102 情報 → レプリケーション一時停止
1104 情報 → レプリケーション再開
本ログでは、1102 → 1104 の流れが継続して確認できる。
これはバックアップやメンテナンス処理に伴う一時停止と再開の正常な挙動である。
エラーや継続的な警告は確認されておらず、
DFSR は安定して動作している状態である。
正常
DC01 において、DFSR は正常に動作している。
一時的な停止は確認されるが、すべて正常に回復しており、
レプリケーションの継続性に問題はない。
対向ドメインコントローラーから見た DFSR の状態を確認する。
双方向で確認することで、一方向のみのレプリケーション異常を検知する。
# DFSRイベントログ確認(見やすく整形)
Get-WinEvent -LogName "DFS Replication" -MaxEvents 20 |
Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize -Wrap
(結果は一部抜粋)
5014 警告 → 通信停止
5004 情報 → 接続成功(回復)
エラーコード 9036 / 9033 を確認
本ログでは 5014 の警告が確認されているが、
エラー内容は以下の通りである。
これらはシステム処理に伴う一時的な停止であり、異常ではない。
その後に 5004(接続成功)が出力されており、レプリケーション通信が正常に回復していることが確認できる。
また、同一エラーが継続的に発生している状態ではない。
正常
DC02 において確認された警告は、バックアップ処理および再起動に伴う一時的な通信停止である。
その後の接続回復も確認されており、DFSR レプリケーションは正常に動作している状態である。
SYSVOL レプリケーションが実際に動作しているかを確認する。
これまでの手順は「状態確認」であり、
本手順では実際にファイルを作成し、レプリケーションの動作そのものを検証する。
# DC01 にテストファイル作成
echo test > \\DC01\SYSVOL\example.com\test.txt
PS C:\> echo test > \\DC01\SYSVOL\example.com\test.txt
SYSVOL は DFSR によって同期されるため、ファイル作成が他サーバーへ反映されればレプリケーションは正常と判断できる。
正常
DC01 において、SYSVOL への書き込みは正常に実行されている。
レプリケーション確認のための前提操作は問題なく完了している。
対向ドメインコントローラーへファイルが複製されているか確認する。
ファイルの存在を確認することで、レプリケーションの実動作を直接検証する。
# DC02 側で反映確認
dir \\DC02\SYSVOL\example.com
PS C:\> dir \\DC02\SYSVOL\example.com
Directory: \\DC02\SYSVOL\example.com
Policies
scripts
test.txt
ここでは「実際にファイルが存在すること」が最も重要な確認ポイントである。
正常
DC02 において、SYSVOL のファイルが正常に複製されていることを確認した。
これにより、DFSR によるレプリケーションは実動作としても正常に機能していると判断できる。
テスト用に作成したファイルを削除し、環境を元の状態に戻す。
検証用ファイルを残したままにすると、実運用時のファイルと区別がつかなくなるため、必ず削除を実施する。
# テストファイル削除
del \\DC01\SYSVOL\example.com\test.txt
PS C:\> del \\DC01\SYSVOL\example.com\test.txt
ファイル作成だけでなく削除も同期されることを確認することで、レプリケーションの整合性をより確実に判断できる。
正常
DC01 において、テストファイルの削除は正常に実行された。
環境は元の状態へ復元されている。
削除されたファイルが対向ドメインコントローラーにも反映されているか確認する。
削除が反映されない場合、レプリケーションの不整合が発生している可能性がある。
# 削除反映確認
dir \\DC02\SYSVOL\example.com
PS C:\> dir \\DC02\SYSVOL\example.com
Policies
scripts
削除が反映されていない場合、
レプリケーションの遅延または障害が疑われる。
正常
DC02 においてもテストファイルの削除が確認できた。
削除操作が正常にレプリケーションされており、SYSVOL の整合性は維持されている。
本手順で実施した各確認結果をもとに、SYSVOL および DFSR の状態を総合的に評価する。
確認観点は以下の通りである。
本手順では、SYSVOL / NETLOGON の共有、SYSVOL へのアクセス、GPO フォルダの整合性、DFSR イベントログ、実際のファイル作成・削除による動作確認を実施した。
その結果、いずれの観点においても異常は確認されなかった。
以上より、SYSVOL および DFSR レプリケーションは正常に動作していると判断する。
本確認では、単一のコマンド結果だけで判断するのではなく、複数の観点から段階的に状態を確認している。
まず、共有確認およびアクセス確認により、SYSVOL / NETLOGON が正しく公開され、実際に参照できることを確認した。
次に、GPO フォルダの比較により、ドメインコントローラー間でファイル構成に差異がないことを確認した。
さらに、DFSR イベントログからは、一時的な停止や再開の履歴は確認されたものの、継続的な障害は発生していないことを確認している。
最後に、テストファイルの作成および削除を通じて、実際にレプリケーションが機能していることを直接確認した。
これらの確認結果がすべて一致していることから、本環境における SYSVOL レプリケーションは正常に継続して動作している状態であると判断できる。
本手順により、SYSVOL および DFSR の状態を段階的に確認し、共有・疎通・整合性・ログ・実動作のすべての観点で問題がないことを確認した。
特に、ファイル作成および削除による実動作確認まで実施しているため、単なる状態確認ではなく、実際にレプリケーションが機能していることを確認できている点が重要である。
以上より、本環境の SYSVOL / DFSR は正常に運用可能な状態である。