サイトに関連付けされていない IP セグメントのコンピューターにドメイン コントローラーがサイト名を通知することがあります

適用対象: Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)Microsoft Windows Server 2003 R2 Standard x64 EditionMicrosoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)

現象


ドメイン メンバーが所属するサイトは、 Active Directory サイトとサービス MMC スナップインを使用して設定します。具体的にはサイトを IP サブネットと関連づけることにより設定します。
ドメイン コントローラーは、ここで設定された情報を読み込み、各ドメイン メンバーから送信される SAMLogonRequest パケットへの応答としてメンバーが所属するサイト名の情報を返します。このとき、メンバーの IP アドレスを含む IP サブネットの関連付けが存在しない場合には、サイト名の情報を返しませんが、以下の条件を満たす場合には自身のサイトをクライアントが所属するサイト名として応答します。
  • Active Directory フォレスト内にサイトが複数存在する
  • 複数のドメイン コントローラーが存在し、全てが 1 つのサイトに所属するのではなく、それぞれ別のサイトに所属している
  • IP セグメントの関連付けを、1 つのサイトにのみ行っている
  • 要求を受けたドメイン コントローラーが所属するサイトにはサブネットが関連づけられていない

例としては、 Site1、 Site2 が存在しており、それぞれのサイトにドメイン コントローラーがある環境を想定します。また、 192.168.1.0/24 の IP サブネットが Site1 に関連づけられています。

この環境で 192.168.1.0/24 以外の IP セグメントに所属するメンバーが Site2 のドメイン コントローラーに SAMLogonRequest を送信すると、実際には Site2 への関連付けがありませんが、 Site2 がメンバーが所属するサイトとして返されます。一方 Site1 のドメイン コントローラーに要求を送信した場合には、サイト名の情報は返されません。

ドメイン コントローラーからサイト名を通知されたメンバーは、自身の DynamicSiteName レジストリ値に受信したサイト名を格納します。以降は、そのサイトのドメイン コントローラーに優先的にアクセスします。

原因


この動作は想定された動作です。

回避策


以下のいずれかの構成にすることで、サイトに関連付けられていない IP セグメントのドメイン メンバーからの要求に対してサイト名を通知しなくなります。
  • 複数のサイトに IP セグメントがマッピングされた構成とする(マッピングするセグメントは、ドメイン メンバーの所属する IP セグメントに限らず任意で問題ありません)
  • どのサイトにも IP セグメントをマッピングしない構成とする
上記のいずれかを実施することで、サイトに関連付けられていない IP セグメントのドメインメンバーがサイト名の通知を受けることはなくなります。予期しないサイトのドメイン コントローラーが優先されないようにするには、この対処を行うか、ドメインメンバーの所属する IP サブネットを意図したサイトに関連付ける必要があります。


詳細


一度 DynamicSiteName レジストリ値にサイト名が格納されても、次回 SAMLogonRequest を行った際に、ドメイン コントローラーからサイト名の情報が得られなかった場合は、DynamicSiteName レジストリ値のデータも消去されます。サイト名の情報が得られず DynamicSiteName レジストリ値のデータがなければ、ドメイン メンバーはサイトに関係なくドメイン コントローラーを検索する動作となります。