ドメインコントローラーの正常性確認方法 — dcdiag と repadmin を使いこなす

この記事の内容

Active Directory を管理しているものの、「なんとなく動いているから大丈夫だろう」と感じていませんか？実際には気づかないところでエラーが発生していることは少なくありません。今回はドメインコントローラーの正常性を確認するための基本的なコマンドを紹介します。

今回の環境はドメインコントローラーが 2 台で構成されている環境を例に説明します。

コマンドプロンプトを起動し、以下のコマンドを実行します。

dcdiag /v

このコマンドは、ドメインコントローラーに対して複数の論理テストを実行します。

よくある誤解として、出力の最後の行だけを見て「合格したから問題なし」と判断してしまうパターンがあります。しかし、最後の行が示しているのは特定のテスト（コネクティビティテストなど）の結果に過ぎません。

出力は上から順に読み進めることが重要です。テストの内訳は以下のようなものが含まれます。

たとえば出力の途中に次のような結果が現れることがあります。

このような場合、DFSR のレプリケーションに問題が発生していることがわかります。一見すると最後の合格表示に目が行きがちですが、途中のエラーが実際の問題を示していることがあります。

警告が表示されながらも「合格」となるテストもありますが、失敗（Failed）と表示されているテストが一つでもあれば、そのドメインは正常に動作していないと判断する必要があります。

dcdiag /v はローカルサーバーに対してテストを実行します。リモートサーバーに対して実行するオプションも存在しますが、一部のテストがスキップされてしまいます。

そのため、複数の DC がある環境では1 台ずつログインして実行する方法が確実です。

# DC1 にログインして実行
dcdiag /v

# DC2 にログインして実行
dcdiag /v

レプリケーションに関する失敗は送信側・受信側の両方の DC で失敗として現れるため、すべての DC で確認することが大切です。

DC の正常性確認ともう一つ重要なのが、レプリケーション（複製）の確認です。以下のコマンドを実行します。

repadmin /replsummary

このコマンドでは、各ドメインコントローラー間でのレプリケーション状況を確認できます。出力にはパーティションごとの結果が表示されます。

すべてのパーティションで「成功しました」と表示されることを確認してください。一つでも失敗があった場合は、かなり致命的な状況になっている可能性があります。

こちらも複数 DC がある環境では、すべての DC で実行することを推奨します。

dcdiag と repadmin の確認は定期的に行うことが重要ですが、特に以下のタイミングでは必ず実行するようにしましょう。

「なんとなく動いているけど、ちょっとおかしい気がする」という状況では、すでにエラーが発生している場合があります。気づかないうちに問題が拡大する前に、定期的な確認を習慣にしてください。

また、これらの確認作業を自動化してエラーを収集してくれるツールやソリューションも存在します。オンプレミスサーバーで Active Directory を展開している環境では、こうした仕組みを組み合わせることも検討に値します。

今回紹介したドメインコントローラーの正常性確認は、以下の 2 つのコマンドが基本になります。

dcdiag /v
repadmin /replsummary

dcdiag /v では最後の行だけでなく、全テスト結果を上から読むことが重要です。一つでも失敗があれば対処が必要です。repadmin /replsummary ではすべてのパーティションでレプリケーションが成功していることを確認します。

複数 DC がある環境では、すべての DC でそれぞれ実行するのが確実です。

これらのコマンドをまだ実行したことがない Active Directory 管理者の方は、ぜひ一度試してみてください。意外なところでエラーが発生していることに気づくかもしれません。