Windows管理者のためのネットワークコマンド実践テクニック

Command-2 Active Directoryドメインログオンに時間がかかる

この記事を読むのに必要な時間:およそ 3 分

つぎに,実際にDNSベースでドメインコントローラの検索ができているかを,nslookup -q=all _ldap._tcp.dc._msdcs.example.com コマンドの結果から,SRVレコードを検索します図7⁠。SRVレコードが引けない場合,図4のipconfigコマンドの"DNS Servers"を確認し,ドメインコントローラ(のDNS⁠⁠ 以外のDNSサーバが指定されていたら修正します。問題ないはずなのにSRVレコードが検索できないときには,udp/53やtcp/53のフィルタリングを疑います。

図7 nslookup -q=all _ldap._tcp.dc._msdcs.example.com コマンド

C:\>nslookup -q=all _ldap._tcp.dc._msdcs.example.com
Server:  dom1.example.com
Address:  192.168.10.28

_ldap._tcp.dc._msdcs.example.com        SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          srv hostname   = dom1.example.com
dom1.example.com        internet address = 192.168.10.28
※)
設計によりドメインコントローラ以外のDNSサーバに配置されていることもあります

フィルタリング設定の確認

ログオンが遅くなる原因に,ネットワーク間で不要なフィルタリングが行われていることがあります。たとえばMS-RPCと呼ばれる,動的なサービス(リソース)の生成などが,ログオン時には実行されますが,これは動的にポートが決まるため,ファイアウォールなどでフィルタされていると,動作できないことがあり,このためログオンが遅くなります。

図8 MS-RPCサーバとクライアント

図8 MS-RPCサーバとクライアント

ポートのフィルタリングは,netsh diag connect iphost dom1 [ポート番号] コマンドを使ってある程度確認できます。netsh diag connectコマンドは接続先のポートリスン状態を確認するものですが,リスンしているはずのものが確認できない場合,ネットワーク間でのフィルタリングを疑うことができます。

図9 相手先ポートへの接続が成功した場合

C:\>netsh diag connect iphost dom1 1025

IPHost (dom1)
    IPHost = dom1
    Port = 1025
    サーバーは次のポートで実行中と思われます [1025]


C:\>

図10 相手先ポートへの接続が失敗した場合

C:\>netsh diag connect iphost dom1 1025

IPHost (dom1)
    IPHost = dom1
    Port = 1025
    サーバーは次のポートで実行中と思われます [なし]


C:\>

確認するポート番号については,たとえば以下のようになります(影響の大きいものを挙げていますので,ファイアウォールで必要なポートとは一致しません⁠⁠。切り分けで問題ないことがわかっているもの ⁠ここではDNS⁠⁠ は省いてよいでしょう。ただし,netsh diag connect iphostコマンドではTCPポートのリスンしか確認できず,UDPはできません。あくまでも「当たりをつける」切り分けとなるので,注意してください。

DNS53
kerberos88
MSRPC エンドポイントマッパ135
LDAP389
CIFS445
MSRPC 1024-5000
(※小さい番号から任意に埋まっていくため,実際に調べるときには若い方から5~6個でよいでしょう)

これ以上の内容については,やはりパケットキャプチャを取るなどの方法で,ネットワークの細かいやりとりを調べる必要があります。

著者プロフィール

小鮒通成(こぶなみちなり)

Active DirectoryおよびWindows Serverに関するコンサルタント。あわせて各種コミュニティ活動や執筆活動を行っており,Microsoft Most Valuable Professional (Windows Server System - Directory Services) 表彰を5年連続で受けている。現在はNTTデータ先端技術株式会社に勤務。