ActiveDirectoryでドメイン参加ができなかった時に確認すること

IT、仕事

今回はActiveDirectoryを構築する際に、ドメイン参加で詰まった時に何を確認したか
を備忘録としてまとめていきます。

同じような状況になってしまった人の参考になれば幸いです。

ドメイン参加できなかった時の状況

まずは今回自分がドメイン参加出来なかったときはどんな状況なのかをまとめます。

AD DSのインストール、ドメインコントローラの昇格はすでに行なっています。

  • nslookupはWindows Server側で実行したときは正常に動作
  • クライアント側では名前解決が出来なかった
  • pingはお互いに通っている
  • AD参加を実行した時にはDNSが応答していない、もしくはアクセスできない
  • 通信の際にIPv6が優先されていた
  • 固定IPを設定しても反映されなかった

色々書きましたが、発生したエラーからDNSサーバーに問題があるのではないかと考えました。

解決するまでにやったこと

解決までにやってみたことは以下の3つです。

  • IPv6の無効化、IPv4の優先度UP
  • 固定IPの見直し
  • Aレコードの追加

IPv6の無効化、IPv4の優先度UP

まず最初に行ったのは、IPv6の無効化とIPv4の優先度を上げることです。

最初に行った理由はWindowsのデフォルト設定だとIPv6とIPv4が共存していると
IPv6の方が優先されるからです。

その場合、通信に悪影響が出ることがあり、現時点ではIPv6よりも
IPv4が多く使われていて今回はIPv6を使わないため、無効化することにしました。

この作業の手順は

ネットワーク接続プロパティで無効にする→IPv6のインターフェースを無効にする

優先度の確認→IPv4の優先度を上げる

の順番でやっています。

ネットワーク接続プロパティを無効化

1 ローカルサーバーからイーサネットを開く

2 ネットワーク接続のイーサネットをクリック

3 状態が表示されるのでプロパティをクリック

4 インターネットプロトコルバージョン6のチェックを外してOKをクリック

ネットワーク接続の設定は以上です。

IPV6のインターフェースを無効化

ここではIPv6で使うインターフェースをコマンドを使ってそれぞれ無効化します。
今回はコマンドプロンプトでやりましたが、PowerShellでも可能らしいです。

isatapの無効化

netsh interface ipv6 isatap set state disable

6to4インターフェースの無効化

netsh interface ipv6 6to4 set state disable

teredoの無効化

netsh interface teredo set state disable

それぞれのコマンド実行後に「OK」と出ていたら無効化完了。

再起動後に設定が反映されます。

IPv4の優先度を上げる

IPv6を無効化したら、次はIPv4の優先度を上げます。

IPv6を無効化したらOKだと思ったのですが、nslookupを実行した際に
IPv6で通信していたのでこの作業を入れました。

1 現在の優先度の確認

現在の優先度を確認するために「netsh interface ipv6 show prefixpolicies」を実行

実行結果は以下のようになります。 

優先順位     ラベル  プレフィックス
———-  —–  ——————————–
             50        0  ::1/128  (ループバック)
             40        1  ::/0  (IPv6通信全般)
             30        2  2002::/16  (6to4)
             20        3  ::/96  (IPv4互換)
             10        4  ::ffff:0:0/96  (IPv4マップ)
              5         5  2001::/32  (Teredo)

::ffff:0:0/96の優先度を上げることでIPv4を優先にすることができます。

これもコマンドを使って変更します。

netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 50 0
netsh interface ipv6 set prefixpolicy ::1/128 40 1
netsh interface ipv6 set prefixpolicy ::/0 30 2
netsh interface ipv6 set prefixpolicy 2002::/16 20 3
netsh interface ipv6 set prefixpolicy ::/96 10 4

コマンド実行後に「netsh interface ipv6 show prefixpolicies」でもう一度確認すると、

先順位     ラベル  プレフィックス
———-  —–  ——————————–
             50        0  ::ffff:0:0/96
             40        1  ::1/128
             30        2  ::/0
             20        3  2002::/16
             10        4  ::/96
              5         5  2001::/32

::ffff:0:0/96が一番優先度が上がっているので、IPv4が優先して使用されるようになる。

固定IPの見直し

次にやったのは固定IPの見直しです。
ネットワークの中に同じIPが存在していました。

IPの値も、「169.254~」で始まるリンクローカルアドレスというもので、
このIPだとネットワーク接続ができないらしい。

このことを知らずに同じようなIPをセットしていたのでドメイン参加ができなかった。

リンクローカルアドレスはネットワークでトラブってインターネット接続できない
時に割り振られるIPアドレスとのこと。

今回は検証だったので、インターネット接続せずに構築しようとしたために
起きてしまったと思います。

これを通常のIPアドレスに書き換えることで名前解決ができました。

Aレコードの追加

Aレコードも追加されていなかったので手動で追加を行いました。
これをやった後にドメイン参加ができるようになりましたが、

後で聞いた話だとAレコードはドメイン参加後に自動で追加されるとのこと。

なら、なんでそれまでドメイン参加ができなかったかが疑問ですが
おそらく設定が反映されるまで時間がかかったのが原因なのかなと考えます。

まとめ

今回のパターンだとAD参加できなかった一番の原因はIPアドレスの値
だったと思います。

IPアドレスも設定できる値とできない値があることを学んだので、学習した
ことを今後に活かせたらと思います。

コメント

タイトルとURLをコピーしました