先日からどうも、Windows 10 クライアントマシンに限ってグループ ポリシーが適用されなくて困っていたので重い腰を上げてみた。
ドメインに参加・離脱はできるのに、nslookup コマンドとかが出来なかったんだよね…。この時点でDNS参照エラーだと気づく笑
--------------------------------------------------------
1.現在のドメイン コントローラー側ネットワーク情報から。
- DNS サーバーの完全修飾ドメイン名<FQDN>とIP アドレスを調べる
- ドメイン コントローラーの完全修飾ドメイン名<FQDN>とIP アドレスを調べる
(ドメイン コントローラーでDNS サーバーを起動していれば2つの情報は同一のはず…)
- Net View コマンドで共有リソースの確認
例)Net View \\<ドメイン コントローラー名>
- 撤去したドメインコントローラーがあれば、その metadata が残っていないか。
※残っていれば ntdsutil コマンドで metadata cleanup を行う。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/88.html
--------------------------------------------------------
2.ネットワーク接続設定の確認(基本が大事)
- 優先DNS サーバーと代替DNS サーバーアドレスは正しいか
- ドメイン コントローラーのIP アドレスは正しいか
- dcdiag コマンドで DNS サーバーのテスト
dcdiag /test:dns
※ このコマンドでDNS サーバーの設定が正常であるかが確認できる。
パーティション テストを実行しています: ForestDnsZones
パーティション テストを実行しています: DomainDnsZones
パーティション テストを実行しています: Schema
パーティション テストを実行しています: Configuration
パーティション テストを実行しています: nekoprint
エンタープライズ テストを実行しています: nekoprint.mobi
テストを開始しています: DNS
......................... nekoprint.mobi はテスト DNS に合格しました
と出ればよい。
--------------------------------------------------------
3.ネットワーク接続の確認
- Ping でDNS サーバー宛に送信テスト
- Ping でドメイン コントローラー 宛に送信テスト
※それぞれ NETBIOS名とIP アドレスを送信してみる
- エイリアス名(CNAME)でもPing 疎通が出来るかの確認。
※5.でエイリアス名を確認する方法を書いています。
--------------------------------------------------------
4.DNS サーバーサービスが開始されているかを確認
- コマンドで net start "dns server"
※開始していれば、【要求したサービスは、既に開始しています】と表示される。
--------------------------------------------------------
5.リソース レコードが登録されているかを確認
- DNS 管理コンソールを開いたら【_msdcs.nekoprint.mobi】をクリックし、
CNAME<xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.nekoprint.mobi>が存在しているかを確認。(プロパティ)
- CNAME に対して、DNS サーバーの A(Host)レコードが存在しているか
ついでにCNAMEを使ってPing を飛ばしてみるとよい。
例)Ping xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.nekoprint.mobi
--------------------------------------------------------
6.DNS サーバーで、動的更新を許可しているかを確認
- 対象ドメイン名の全般タブで【Active Directory 統合】になっているかを確認
- 【動的更新】ボックスが【セキュリティ保護のみ】になっているかを確認
--------------------------------------------------------
7.DNS リソース レコードを登録(コマンド プロンプトで操作)
- net stop netlogon
- net start netlogon
- ipconfig /registerdns
--------------------------------------------------------
8.リソース レコードが登録されたかを確認
※ 5.と同じことを行う
--------------------------------------------------------
9.レプリケーションの実行
- Active Directory サイトとサービスからでもコマンドからでも15分程度待っていてもいい、とにかくレプリケーション!笑
※コマンドからレプリケートする場合。(大文字・小文字区別あり)
repadmin /syncall /d /e /P <レプリケーション元ドメインコントローラー>
※※コマンドの説明※※
repadmin /SyncAll [/adehijpPsS] <宛先 DSA> [<名前付けコンテキスト>]
/a: サーバーのいずれかが利用不可能な場合は中止する
/A: <宛先 DSA> の NC すべてについて /SyncAll を実行する
(<名前付けコンテキスト> を無視する)
/d: (GUID DNS ではなく) メッセージの DN でサーバーを識別する
/e: エンタープライズ、クロス サイト (既定: ホーム サイトのみ)
/h: このヘルプ画面を表示する
/i: 無限に繰り返す
/I: サーバーのペアそれぞれについて、同期する代わりに showreps を実行する
/j: 隣接したサーバーのみ同期する
/p: メッセージの後にユーザーによる中止に備えて一時停止する
/P: 変更をホーム サーバーから外へプッシュする (既定: プル)
/q: 無人モード: コールバック メッセージを表示しない
/Q: 無人モード: 致命的なエラーのみ表示する
/s: 同期しない (トポロジを解析してメッセージを生成)
/S: 初めのサーバー応答チェックをスキップする
(サーバーがすべて利用可能であると想定)
<名前付けコンテキスト> を省略すると、DsReplicaSyncAll には既定で構成 NC が指定されます。
--------------------------------------------------------
ここまででとりあえずグループポリシーは適用されるようになった。
結局なにが原因でDNS参照が出来なくなってたんだろう。
どこかで変な設定したんだろうか…レプリケーション恐るべしwww