Active Directoryドメイン参加のトラブルシューティング

「やっちまったゼ」
ひとことで言えば、そんな印象のトラブルシューティングを経験しました。
一部始終を実況中継しましょう。

コントロールパネルの[システム]からクライアントコンピュータからドメイン名を指定して[OK]ボタンをポチッとするのが、
Active Directoryドメインに参加する、一般的な方法だと思います。

WS08-X-2011-03-31-18-14-37
■画面1

そして、このダイアログ(画面2)が出てくれば、ドメインコントローラーへの接続は成功、
失敗すればDNSサーバーからSRVレコードをうまく引っ張ってこれてない、というのが定石の考え方ですね。

WS08-X-2011-03-31-18-14-54
■画面2

ところが、私が経験したのは画面2でユーザー名とパスワードを入れて、ポチッとすると
出てきたのが画面3。

WS08-X-2011-03-31-18-16-24
■画面3

接続できないのであれば、そもそも画面2のダイアログは出てこないはずなのに、
どういうわけか、接続できませんと言ってきます。
そこで、WireSharkを使って、一連の動作で行われるパケットをキャプチャしてみることにしました。

WS08-DCX-2011-04-04-01-19-28
■画面4

まず、画面1でドメイン名を指定して[OK]を押すと、クライアントコンピュータ(192.168.10.12)から
DNS兼ドメインコントローラー(192.168.10.10)へDNSクエリのパケットが送信されています(No51)。
そして、それに対する応答が帰ってきています(No54)。
これを見る限り、DNS兼ドメインコントローラーにはきちんと接続できていますし、DNSサーバーの構成にも
問題がないことがわかりますね。

そして、問題は画面2で[OK]を押した後のパケットの流れ。

WS08-DCX-2011-04-04-01-21-45
画面5

いくつかのパケットでドメインコントローラー(192.168.10.10)と通信できていない様子が確認できるのですが、
典型的なのはパケットNo289。ハイライトしてあるので、No289のパケットの詳細は中段、下段でも確認できますが、
TCP445のパケットをクライアント(192.168.10.12)からドメインコントローラー(192.168.10.10)に向けて
送信しています。そして、このパケットはTCPの最初の通信ですので、3ウェイ ハンドシェイクのSYNパケットとして
送信されています。
ところが、3ウェイ ハンドシェイクのSYNパケットを送ったら、相手からACK/SYNパケットが帰ってくるはずなのに
それがありません(No289以降)。

ここまでのことをまとめてみると、次のことがわかりました。

・ ドメインコントローラーとはDNS(UDP53)の通信はできた
・ ドメインコントローラーとはTCP445の通信はできない

このように同じコンピューターとの通信なのに、ポート番号によって通信できたり、できなかったり、
というのはファイアウォールに違いない!ということで、ファイアウォールの設定を確認していたら、気がついたのです。

このドメインコントローラーは仮想環境だ!」ということに。

仮想環境(今回私が使ったのはVMware Workstation)だと、
ネットワーク上のコンピューターと、仮想マシン(ゲストOS)の間で通信するためには、
ホストOSのファイアウォールとゲストOSのファイアウォールの両方でパケットの受信を許可するようになっていないと、
ブロックされてしまう
のです。
そして今回の私はホストOSで、UDP53→許可、TCP445→拒否
だったので、以上のような現象が起きたのです。

「ああ、やっちまったゼ」
この問題を解決するのに無駄に時間を使ってしまった、、と自己嫌悪に陥ったのでした。

追伸
「UDP53→許可、TCP445→拒否」というルールになっている私のテストマシン(Win7)も何か不思議な感じですね。

紹介 sophiakunii
国井 傑(株式会社ソフィアネットワーク)… インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとして、IT Pro分野全般のトレーニングを担当。また、2006年から連続してMicrosoft MVP(Directory Services)を受賞している。主な著書に「プロが教えるWindows Server 2012システム管理」(アスキーメディアワークス)、「Windows Server 2008イントラネット構築ガイド」(CQ出版)、「PowerShellによるWindowsサーバ管理術」(ソフトバンク クリエイティブ)などがある。

One Response to Active Directoryドメイン参加のトラブルシューティング

  1. ピンバック: ドメインに参加できない ~ IPv6編 ~ « Always on the clock

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中