Active Directory ドメイン内に複数のサイトやドメインコントローラーが存在する環境において、現在作業しているサーバーやクライアントがどのサイト/ドメインコントローラーでログオン認証をしているのか確認したい時があります。
今回は認証先のドメインコントローラーを確認する方法について記事にしました。
ログオン認証をしたドメインコントローラーを確認する
Active Directory ドメインに参加しているクライアントは、同じサイト内に存在するドメインコントローラーでログオン認証処理が行われますが、ドメインコントローラーと通信が取れない場合は別のサイトで認証が行われます。
クライアント側で同じサイトに所属するドメインコントローラーへ認証を行っているかどうかを確認することは、ドメインコントローラーの正常性やサイト配置を確認する上で必要な観点となってきます。
ログオン認証先を確認する[nltest /dsgetdc]
実際にクライアントがどのサイトのドメインコントローラーで認証が行われているのかを確認するには、クライアント側で「nltest /dsgetdc:<ドメイン名>」の確認コマンドを使います。
コマンド例
nltest /dsgetdc:contoso.com
コマンド実行例
PS C:\Windows\Administrator> nltest /dsgetdc:contoso.com DC: \\server01.contoso.com アドレス: \\***.***.***.*** ドメイン GUID: ********-****-****-****-************ ドメイン名: contoso.com フォレスト名: contoso.com DC サイト名: Default-First-Site-Name 本サイト名: Default-First-Site-Name フラグ: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10 0x20000 コマンドは正常に完了しました PS C:\Windows\Administrator>
出力結果の “DC” および “IPアドレス” に表示されたサーバーが認証先のドメインコントローラーのとなります。
上記の確認を行い、クライアント自身が属するサブネットが割り当てられたサイトのドメインコントローラーで認証処理が行われていない場合は、サブネットの定義やサイトのドメインコントローラーの正常性を確認しましょう。