【Active Directory入門 Part10】SYSVOLとDFS-Rを理解する

この記事の内容

  • SYSVOLとは何か、その共有フォルダ構造と実体の場所を解説します
  • グループポリシーオブジェクト(GPO)がSYSVOLにどのように格納されているかを確認します
  • DFSレプリケーション(DFSR)によってドメインコントローラー間でファイルが自動複製される仕組みを説明します
  • スタートアップスクリプトをグループポリシーで設定する際の注意点を紹介します
  • SYSVOLの正常性チェック方法と、FRSからDFSRへの移行経緯についても触れます

SYSVOLとは

Active Directoryのドメインコントローラーには、SYSVOLNETLOGONという2つの共有フォルダが存在します。SYSVOLはグループポリシーなどのドメイン全体で共有すべき情報を格納するための重要な共有です。

ドメインコントローラー(例:DC01)の共有一覧には、次のようなパスでアクセスできます。

\aDDdCC.00l12o\\cSSaYYlSS\VVSOOYLLSVOL

ドメイン名(\\ad.local\SYSVOL)からアクセスした場合、PoliciesScriptsというフォルダが表示されます。Policiesフォルダにはグループポリシーオブジェクト(GPO)が格納されており、Scriptsフォルダはスタートアップ・シャットダウンスクリプトなどの配置に使用します。

すべてのドメインコントローラーがこのSYSVOL共有を保持しており、ドメイン名からたどることができる構造になっています。

SYSVOLの実体の場所

SYSVOLの実体は、ドメインコントローラー上のローカルディスクに存在します。net shareコマンドで確認することができます。

net share

実行結果の中にSYSVOLの共有パスが表示され、実体は以下のパスになっています。

C:\Windows\SYSVOL\sysvol

また、NETLOGONの実体はSYSVOL配下のscriptsフォルダです。

C:\Windows\SYSVOL\sysvol\ad.local\scripts

グループポリシーオブジェクト(GPO)とSYSVOLの対応

グループポリシー管理コンソールでGPOを確認すると、その数とSYSVOL内のPoliciesフォルダ内のフォルダ数が一致していることがわかります。各GPOは対応するGUID名のフォルダとしてSYSVOL上に格納されており、コンピューターポリシーやユーザーポリシーの設定内容はテキストファイルとして保存されています。

試しにGPOを新規作成すると、Policiesフォルダ内にも対応するフォルダが自動的に追加されることが確認できます。

DFSレプリケーションによる自動複製の仕組み

SYSVOLはすべてのドメインコントローラーで同一の内容を保持する必要があります。この複製を担っているのが**DFSレプリケーション(DFSR)**です。

DC01のSYSVOL上にファイルを作成すると、ほぼ即座にDC02のSYSVOLにも同じファイルが複製されます。この複製はDFSレプリケーションが自動的に処理しており、管理者が手動で操作する必要はありません。

DFSの構成はDFS管理ツールで確認できます。レプリケーションの項目を見ると、Domain System Volumeというレプリケーショングループが最初から作成されており、DC01とDC02が複製メンバーとして登録されています。このグループはドメインコントローラーの構成時に自動的に作成されます。

DFS管理ツールのインストール方法

DFS管理ツールはデフォルトではインストールされていないため、必要に応じて追加します。

管理ツールのみを追加する場合

サーバーマネージャーから役割と機能の追加を実行し、以下の順にチェックします。

DFS

DFSレプリケーションの役割を追加する場合

同様にサーバーマネージャーから役割と機能の追加を実行し、以下を選択します。

DFS/DFS

なお、ドメインコントローラーとして昇格させた場合は、この役割を個別に追加しなくてもDFSレプリケーションが動作しています。

スタートアップスクリプトの配置場所について

グループポリシーでスタートアップスクリプトやシャットダウンスクリプトを設定する際は、スクリプトファイルの配置場所に注意が必要です。

グループポリシーオブジェクトエディター上でスタートアップスクリプトを設定するとき、ファイルの表示ボタンをクリックすると、編集中のGPOに対応したスクリプトの配置先フォルダが開きます。

配置先のパスは以下のような形式になります。

\ad.local\SYSVOL\ad.local\Policies\{GPO-GUID}\Machine\Scripts\Startup\

このフォルダにスクリプトファイルを配置し、スクリプト名の設定欄にはファイル名のみを入力します(フルパスは不要です)。どのGPOに対応するフォルダなのかはファイルの表示ボタンで確認するのが確実です。

SYSVOLの正常性チェック方法

SYSVOLとDFSレプリケーションが正常に動作しているかは、dcdiagコマンドで確認できます。

dcdiag

出力の中にDFSRに関する項目があり、DFSR イベントに合格しましたと表示されれば正常です。

また、Windowsイベントビューアーの以下のパスでDFSレプリケーションのログを確認することもできます。

MicrosoftWindowsDFSReplication

ここにエラーが出ていなければ、DFSレプリケーションは正常に動作しています。エラーが発生していても、一時的な接続断の場合は自動的に回復することも多いですが、グループポリシーの新しい設定が反映されないといった問題が起きた場合はこのログを確認してください。

FRSからDFSR(DFSR)への移行について

現在のDFSレプリケーション(DFSR)が採用される以前は、**FRS(File Replication Service)**が使用されていました。DFSRはWindows Server 2016以降のバージョンで標準となりました。

古いドメインでWindows Server 2012などのドメインコントローラーがまだ存在する場合、FRSを使い続けている可能性があります。新しいOSバージョンのドメインコントローラーに移行する際は、FRSからDFSRへの切り替え手順が必要になります。新規で構築したドメイン環境であれば、最初からDFSRが使われているため、この移行作業は不要です。

まとめ

  • SYSVOLはすべてのドメインコントローラーが保持する共有フォルダで、グループポリシーオブジェクトやスクリプトが格納されています
  • SYSVOLの実体はC:\Windows\SYSVOL\sysvol以下に存在し、ドメイン名(例:\\ad.local\SYSVOL)からアクセスできます
  • ドメインコントローラー間でのSYSVOLの複製は**DFSレプリケーション(DFSR)**が自動的に処理しており、ドメイン構成時に自動で有効化されます
  • スタートアップスクリプトをグループポリシーで設定する際は、ファイルの表示ボタンで正しい配置先フォルダを確認してから配置してください
  • SYSVOLの正常性はdcdiagコマンドやDFSレプリケーションのイベントログで監視できます
  • 普段はSYSVOLを意識する必要はほとんどありませんが、グループポリシーが反映されない際などのトラブルシューティングでこの知識が役立ちます

次回は、Active Directoryのドメイン間の**信頼関係(トラスト)**について解説予定です。