より深い知識を求めて

スクリプトの作成は熟知した専門家（プログラマー？）のみが知っている世界である。一般の人は基本的なコマンド操作ができればよい。

 

（質問）

どのドメインコントローラで認証されるか

ドメインコントローラのログオン認証に関して質問させて頂きます。

Windows server 20008 *2台をドメインコントローラ兼DNSにして
Active Directoryドメイン環境を構築しています。

シングルドメイン構成です。

各ドメインコントローラをDC１、DC2とします。
このようにDCが2台ある場合、クライアントPCからドメインにログオンする際に
どのDCで認証をしているのでしょうか。

例えばクライアントPCが10台あったとして
DC1とDC2のどちらで、各クライアントはログオン認証をするのでしょうか。
クライアントがログオン時に、DNSから認証を受けるDCの場所を教えてもらっていると思うのですが

DNSはどのようにして、DC1で認証するクライアントPC、DC2で認証するクライアントPCの
判別をしているのでしょうか。

書籍などを確認すると
「クライアントの認証時に、適切なドメインコントローラで認証を受け」という表現が多々見受けられます。
この「適切な」とは、どこで判断しているのかを確認したくて、投稿させて頂いております。

どなたかご存知の方がいらっしゃいましたら、よろしくお願い致します。

 

――――――――――――――――――――――――――――――――――――

（回答１）

○○○さん、

ドメインメンバのコンピュータで、コマンドプロンプトを起動し、以下のコマンドを試してみてください。

>nslookup -type=SRV _ldap._tcp.dc._msdcs.%userdnsdomain%

仮にドメイン名が　sample.local　だったとすると上記コマンドは

>nslookup -type=SRV _ldap._tcp.dc._msdcs.sample.local

と等価です。
ADサイト情報がクライアント側で既に認識している場合は
>nslookup -type=SRV _ldap._tcp.<AD Site Name>._sites.dc._msdcs.%userdnsdomain%
でそのADサイトで利用すべきドメインコントローラ一覧が表示されると思います。

ＡＤサイトを何も作っていないと「Default-First-Site-Name」が既定値でマップされます。

何度かコマンドを試すと　帰ってくる情報が　やるたびに順番が変わっていると思います。
この順番が変わるのが　ラウンドロビン　という動作で、DNSサーバが　なんとなく（負荷分散のつもりで？）　同じエントリに同じ優先順位のレコードが複数情報がある場合に入れ替わりで情報を返しています。

クライアントＰＣは、帰ってきた一番最初の情報を優先的に使います。
場合によっては２番目以降の回答を無視（利用することを想定されてない事もしばしば）します。

DNSサーバの回答がくるくるすることで、クライアントは勝手にまんべんなくアクセス対象が分散されることになります。

これらから、
・クライアントＰＣが自身のIPアドレスが確定していない場合、自身のADサイトが特定できない。
※　DHCPなどでアドレスが変動する場合で、前回と別セグメントのＩＰが降られた場合には 前回認識していたADサイト情報が利用できないことになるのかしら？

・自身のADサイトが不明な場合、
_ldap._tcp.dc._msdcs.%userdnsdomain%
 　をクエリして、そもそもドメイン内のドメインコントローラを決定。
ドメイン認証を実施。

・認証が通ったら、同じくグローバルカタログ(gc)を持つサーバを　DNSクエリで見つけてきて接続し、
GCから自身のIPアドレスが所属すべきADサイトを識別します。多分。

・次回再起動時、自身のIPアドレスが確定していて、前回認識していたADサイト情報が有効だった場合、
_ldap._tcp.<AD Site Name>._sites.dc._msdcs.%userdnsdomain%
をクエリして　自身のADサイト内の有効ドメインコントローラを決定。

で動いているんじゃないですかね、、、、
サイトとサブネットは　「ADサイトと信頼関係」ツールで設定しないと関係性が示されないので ADサイト情報を特定できない事になります。

具体的な　資料を見つけたわけではないので　どこか間違っていたりする気がします。

 

――――――――――――――――――――――――――――――――――――

（回答２）

×××です。

お二方のコメントに補足します。

Active Directory でどのドメインコントローラが認証されるのか、は、したの MSKB に書いてあります。

Windows XP がドメイン コントローラを検索する方法

この資料を読めばドメインコントローラ検索の流れがわかると思うのですが、「IP/DNS 互換ロケータ」を使って、DNS ベースでドメインコントローラを検索することがわかります。これは NetLogon サービスが行なうのですが、この細かい動きについては、したの資料の「ドメインロケータ」以降、および「IP/DNS DC ロケータのアルゴリズム」の項目を読んでもらうと、わかると思います。

Windows 2000 DNS

うえを読んでもらうとわかるのですが、SRV レコードには優先順序や重み付け(どのくらいの割合で優先させるか)といったフィールドがあるため、サイト内の複数ドメインコントローラであっても「多少の制御」を行なうことはできます(いわゆる完全な決め打ちはできません)。これについては、こういう資料があるようなので、興味があればご覧ください。

DNS管理ツールでDCのウエイトを設定したのにしばらくすると元に戻ってしまう
Reducing the workload on the PDC emulator master

これも細かいことですが、「ログオンしたドメインコントローラ情報」については、Windows XP 以降については %LOGONSERVER% 変数をみるのではなく、したのようなスクリプトで ADSI ベースの情報を確認された方がいいでしょう。

ユーザーを認証したドメイン コントローラを特定する方法はありますか

経験則になりますが、Windows XP 以降では %LOGONSERVER% には直近でログオンしたとは思われないドメインコントローラが記録されることがあります。Windows XP 以降で実装された「高速ログオン」機能(キャッシュを使ってログオンする機能)のため、正確な値が入っていないのだろう、と推察しています。

（追記）
そのスクリプトのＭＳ資料のURLはしたへ変わっているので要注意。
Hey, Scripting Guy! ユーザーを認証したドメイン コントローラを特定する方法はありますか

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/a5e156e3-d7e0-4105-81ac-673289abab2d