DNSLint を使用して Active Directory レプリケーションに関する問題のトラブルシューティングを行う方法

文書翻訳 文書翻訳
文書番号: 321046 - 対象製品
この記事は、以前は次の ID で公開されていました: JP321046
すべて展開する | すべて折りたたむ

目次

概要

この資料では、DNSLint ユーティリティを使用して、Active Directory レプリケーションに関する問題のトラブルシューティングを行う方法について説明します。

Active Directory は分散型データベースです。Active Directory を使用して、ネットワーク上のオブジェクトに関する情報を保存し、ユーザーにその情報へのアクセスを許可します。Active Directory フォレスト内のドメイン コントローラ間でパーティションのレプリカを同期するために Active Directory レプリケーションを行います。このレプリケーション処理により、ユーザーはネットワーク上の任意の場所から情報にアクセスできるようになります。このレプリケーション処理が設計どおりに機能しないと、ドメイン ログオン、ファイルやプリンタなどのネットワーク リソースへのアクセスなどの Active Directory に格納されている情報に依存するサービスが中断されることがあります。

Active Directory レプリケーションは、DNS (Domain Name System) に依存しており、必要に応じて名前を IP アドレスに解決します。Active Directory ドメイン コントローラは、Netlogon サービスの起動時に、通常さまざまな DNS レコードを、構成された DNS サーバーに登録します。DNSLint は Windows 2000 以降のオペレーティング システムで動作する Microsoft Windows ユーティリティです。DNSLint にはいくつかの用途がありますが、このユーティリティを使用して、Active Directory レプリケーションに関する問題のトラブルシューティングを行うことができます。特に、以下の 2 つの確認に役立ちます。
  • Active Directory フォレストのルートに対する権限があると考えられるすべての DNS サーバーに、Active Directory フォレスト内のドメイン コントローラ間でパーティションのレプリカを正常に同期するために必要な DNS レコードが実際に存在するかどうかを確認する場合。DNSLint は、権限を持っている DNS サーバーごとに、欠落している DNS レコードを識別します。
  • 特定の Active Directory ドメイン コントローラが、Active Directory フォレスト内のドメイン コントローラ間でパーティションのレプリカを正常に同期するために必要なすべての DNS レコードを解決できるかどうかを確認する場合。DNSLint は、テスト中のドメイン コントローラによって解決できない DNS レコードを特定します。

トラブルシューティング

Active Directory ドメイン コントローラは、別のドメイン コントローラとの間でレプリケーションを実行する場合、DNS を使用して他のドメイン コントローラを検索します。以下にこのプロセスの流れを示します。
  1. レプリケーションを開始する側のドメイン コントローラ (DC1) が、構成されたレプリケーション パートナーの検索中に Active Directory に対してクエリを実行します。これらのレプリケーション パートナーは、通常、知識整合性チェッカー (KCC) によって定義されますが、手動で定義することもできます。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    244368 大規模なネットワークで Active Directory の複製を最適化する方法
    DC1 が認識するのはレプリケートするドメイン コントローラの名前 (DC2) のみです。DC1 は、対象のドメイン コントローラの名前 (DC2) と一致する GUID を Active Directory で検索します。フォレスト内の各ドメイン コントローラには、それぞれ一意の GUID があります。
  2. DC1 が DC2 の GUID を認識したので、DC1 がネットワークを経由して DC2 に接続できるように、DC2 の IP アドレスを検索する必要があります。DC1 は DNS を使用してこれを実行します。DC1 はローカルに構成された DNS サーバーに再帰 DNS クエリを送信し、CNAME レコードを照会します。このレコードは常に次のような形式になっています。
    guid._msdcs.root of Active Directory forest
    guid は DC1 が Active Directory で検索した GUID で、root of Active Directory forest は Active Directory フォレストのルートです。以下に例を示します。
    91f9b084-4876-4b59-be17-59e74c340221._msdcs.reskit.com
    この例では、91f9b084-4876-4b59-be17-59e74c340221 が GUID、reskit.com が Active Directory フォレストのルートです。

    DC1 のローカルに構成された DNS サーバーは CNAME のクエリに対してエイリアスを返す必要があります。このエイリアスは GUID の別名です。たとえば、GUID の 91f9b084-4876-4b59-be17-59e74c340221 は dc-02.reskit.com に解決されます。
  3. DC1 が GUID のエイリアスを取得したので、ネットワークを経由して DC2 に接続できるようにエイリアスを IP アドレスに解決する必要があります。DC1 はローカルに構成された DNS サーバーに再帰 DNS クエリを送信し、エイリアスの名前と一致するホスト (A) レコードを照会します。DNS サーバーは、そのエイリアスにマップされた IP アドレス (169.254.66.7 など) を返す必要があります。
  4. DC1 が DC2 の IP アドレスを取得したので、ネットワークを経由して DC2 に接続し、Active Directory データをレプリケートできます。
この処理が正常に完了しない場合、ドメイン コントローラ間での Active Directory レプリケーションも正常に完了せず、ドメイン コントローラ間でデータの不整合が発生する可能性があります。DNSLint は、この処理で使用される DNS レコードが適切な場所に存在し、解決できるかどうかを判断するのに役立ちます。
  1. Active Directory フォレスト内のドメイン コントローラ間で Active Directory レプリケーションに関する問題が発生した原因が、DNS であるかどうかを確認するには、次のコマンドを実行します。
    dnslint /ad 169.254.32.1 /s 169.254.10.22
    ここでは、/ad パラメータを使用して、Active Directory フォレスト内のすべてのドメイン コントローラの GUID を検索するために使用可能な Active Directory ドメイン コントローラを指定します。デフォルトでは、フォレスト内のすべてのドメイン コントローラにこの情報があります。/s オプションは、/ad 関数を使用するときに必要です。/s オプションを使用して、_msdcs.forest root ゾーンに対する権限がある DNS サーバーの IP アドレスを DNSLint に通知します。

    このコマンドを実行すると、DNSLint はまず /ad スイッチの後に指定された Active Directory ドメイン コントローラ (169.254.32.1) にアクセスします。このコマンドにより、DNSLint がこのドメイン コントローラの Active Directory で Active Directory フォレスト内のすべての GUID を照会します。具体的には、Active Directory の次の場所を照会します。
    CN=NTDS Settings, CN=Sites,CN=Configuration,DC=reskit,DC=com
    DC=reskit,DC=com は Active Directory フォレストのルートです。

    この種の LDAP (Lightweight Directory Access Protocol) クエリには、Active Directory に対する権限が必要です。通常、DNSLint はそのコマンドを実行したユーザーのセキュリティ コンテキストに基づいて実行されます。このユーザーの資格情報を使用して、LDAP バインド操作中に Active Directory で認証を行います。その資格情報が有効で、ユーザーが Active Directory でこの情報へのアクセス許可を持っている場合、バインドは成功し、Active Directory で GUID が検索されます。バインドが成功しない場合、検索は実行されず、操作全体が失敗します。このような場合は、DNSLint からユーザーにエラーが返されます。

    指定したドメイン コントローラから GUID の一覧が返されると、DNSLint は /s オプションで指定された DNS サーバーに DNS クエリを送信します。この手順の前半に示した例では、DNS クエリが 169.254.10.22 に送信されます。_msdcs.root of Active Directory forest に対する権限がこの DNS サーバーにない場合、上記で検索された GUID の DNS レコードが検索されずに操作が終了する場合があります。このため、/s オプションでは、_msdcs.root of Active Directory forest サブドメインに対して権限がある DNS サーバーの IP アドレスを指定する必要があります。

    動的更新を許可しない DNS サーバーがルート ゾーンをホストする場合など、環境によっては、Active Directory フォレストのルートに対して権限がない DNS サーバーに _msdcs ゾーンが委任されていることがあります。DNSLint は、次の DNS クエリを送信する前に、この委任状況を確認します。これにより、テストする必要のない DNS サーバーに DNS クエリを送信しないようにすることができます。

    DNSLint は、DNS クエリを処理する際に、Active Directory フォレストのルートに対して権限がある DNS サーバーを検出しようとします。Active Directory フォレストのルートに対して権限のある DNS サーバーを DNSLint が検出すると、その DNS サーバーで、Active Directory で検索された CNAME レコードを照会します。各 CNAME レコードをエイリアスに解決する際に、DNSLint は各エイリアスの glue (A) レコードも解決しようとします。前述のように、Active Directory レプリケーションには、これらの DNS レコードが必要です。

    DNSLint は、次に HTML 形式でレポートを作成します (オプションでテキスト レポートも作成できます)。このレポートには、Active Directory で検索されたすべての GUID、Active Directory フォレストのルートに対して権限があることが確認された DNS サーバー、それらのサーバーに対するすべての CNAME および glue (A) レコード クエリの結果が示されます。また、各 DNS サーバーで欠落している CNAME レコードと glue (A) レコードも報告されます。このレポートを使用して、DNS レコードの欠落や不適切な DNS レコードなど、Active Directory レプリケーションに関する問題の原因となる DNS の問題を解決することができます。
  2. 特定の Active Directory ドメイン コントローラが、Active Directory フォレスト内のドメイン コントローラ間でパーティションのレプリカを正常に同期するために必要なすべての DNS レコードを解決できるかどうかを判断するには、テストするドメイン コントローラで次のコマンドを実行します。
    dnslint /ad /s localhost
    /ad オプションの後に IP アドレスが指定されていないので、127.0.0.1 が使用されます。これは、ドメイン コントローラが自分自身に対して GUID レコードの一覧を照会することを意味します。必要に応じて別のドメイン コントローラ LDAP サーバーを指定できます。/s オプションの後に localhost を指定すると、Active Directory レプリケーションに使用される CNAME レコードと glue (A) レコードの解決に、テスト中のドメイン コントローラで構成された DNS サーバーを使用することを DNSLint に通知します。この指定によって、ドメイン コントローラがローカルに構成した DNS サーバーに再帰 DNS クエリが送信され、そのドメイン コントローラが必要なレコードを解決できるかどうかを判断します。この場合、これらのレコードに対して、ローカル ドメイン コントローラが構成したすべての DNS サーバーがチェックされるわけではありません。ドメイン コントローラが使用する DNS サーバーの一覧は、デフォルトの動作に応じて管理されます。つまり、一覧に示された最初の DNS サーバーが応答しない場合のみ、2 番目の DNS サーバーが使用されます。このテストでは、Active Directory レプリケーションに使用される DNS レコードをドメイン コントローラが解決できるかどうかのみが確認されます。特定の DNS サーバーがテストされることはありません。

    DNSLint によって作成されるレポートを使用して、DNS レコードの欠落や不適切な DNS レコードなど、Active Directory レプリケーションに関する問題の原因となる DNS の問題を解決することができます。

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
元に戻す画像を拡大する
ダウンロード
dnslint.v204.exe パッケージ

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

DNSLint ユーティリティの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
321045 DNSLint ユーティリティについて

プロパティ

文書番号: 321046 - 最終更新日: 2007年12月3日 - リビジョン: 9.4
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
キーワード:?
kbhowtomaster kbdownload kbnetwork KB321046
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com