none
ActiveDirectoryのBPAでリソースコードが解決できない。

    質問

  • 客先環境にアクティブディレクトリの構築をしています。

    以下のインストールを行い、クライアントからドメイン参加できる事は確認しましたが、

    BPAのスキャンを行ったところエラーが抽出されました。

    エラーを解決する方法をご存知でしたらご教示願いますでしょうか。

    または確認すべき観点だけでもご教示いただければ幸いです。

    ・サーバ:Windows Server 2012 R2 (客先環境の本サーバ1台のみ)

    ・クライアント数:約20台

    ・サーバーマネージャの役割と機能でインストールしたサービス:

     ①Active Directory ドメインサービス

     ②DNSサーバー

    ・サーバのLAN1のプロパティ

     TCP/IPv6:(IPアドレスを自動的に取得)

          優先DNSサーバー:「::1」

          代替DNSサーバー:ブランク

     TCP/IPv4:IPアドレス:(サーバの静的IPアドレス)

          サブネットマスク:255.255.255.0

          デフォルトゲートウェイ:(ルータのアドレス)

          優先DNSサーバー:(サーバの静的IPアドレス)

          代替DNSサーバー:ブランク

    【エラー内容】(BPAの内容)

    ①タイトル:DNS:LAN1のDNSサーバー(サーバーのIPアドレス)は、ドメインコントローラーのグローバルカタログのリソースレコードを解決する必要があります

     問題  :LAN1のDNSサーバー(サーバーのIPアドレス)は、名前 _ldap._tcp._gc._msdcs.(ドメイン名)を正常に解決できませんでした。

    ②タイトル:DNS:LAN1のDNSサーバー(サーバーのIPアドレス)は、このコンピューターの名前を解決する必要があります

     問題  :LAN1のDNSサーバー(サーバーのIPアドレス)は、このコンピューターのアドレス(A)レコードの名前を正常に解決できませんでした。

    ③タイトル:DNS:LAN1のDNSサーバー(サーバーのIPアドレス)は、ドメインコントローラーのKerberosリソースレコードを解決する必要があります

     問題  :LAN1のDNSサーバー(サーバーのIPアドレス)は、名前 _kerberos._tcp.(ドメイン名)を正常に解決できませんでした。

    ④タイトル:DNS:LAN1のDNSサーバー(サーバーのIPアドレス)は、ドメインコントローラーのLDAPリソースレコードを解決する必要があります

     問題  :LAN1のDNSサーバー(サーバーのIPアドレス)は、名前 _ldap._tcp.(ドメイン名)を正常に解決できませんでした。

    ⑤タイトル:DNS:LAN1のDNSサーバー(サーバーのIPアドレス)は、ドメインコントローラーのPDCリソースレコードを解決する必要があります

     問題  :LAN1のDNSサーバー(サーバーのIPアドレス)は、名前 _ldap._tcp.pdc._msdcs.(ドメイン名)を正常に解決できませんでした。

    ⑥タイトル:DNS:LAN1のDNSサーバー(サーバーのIPアドレス)は、フォレストルートドメイン名のゾーンで名前を解決する必要があります

     問題  :LAN1のDNSサーバー(サーバーのIPアドレス)は、コンピュータのフォレストルートドメイン名をホストするゾーンのSOA(Start of Authority)レコードの名前を正常に解決できませんでした。

    ⑦タイトル:DNS:LAN1のDNSサーバー(サーバーのIPアドレス)は、プライマリDNSドメインゾーンで名前を解決する必要があります

     問題  :LAN1のDNSサーバー(サーバーのIPアドレス)は、コンピュータのプライマリDNSドメイン名をホストするゾーンのSOA(Start of Authority)レコードの名前を正常に解決できませんでした。

    【確認した内容】

    ①サーバのコマンドプロンプトでドメイン名に対してpingをとばす

     ⇒サーバの静的IPアドレスで通信ができていることを確認

    ②上記同様にコマンドプロンプトでnslookupを発行して、ドメイン名を入力

     ⇒サーバー:localhost

      Address:「::1」

      名前:(ドメイン名)

      Address:(サーバの静的IPアドレス)

    2017年12月25日 0:32

回答

  • チャブーンです。

    DNSサーバーのSRVレコードですが、とりあえず存在することはわかりました。

    二つ、確かめた方がよい項目があります。

    1. 「プライマリDNSサフィックス」の項目
      コンピュータ名の<ホスト名>.<フォレストルートドメイン名>のフォレストルートドメイン名に当たる部分がちゃんと設定されているか、確認した方がいいと思います。[システム]のプロパティ-[コンピューター名]-[変更]-[詳細設定]で確認できます。
    2. 参照先DNSサーバを127.0.0.1にしてみる
      参照先DNSサーバですが、自分自身を指す場合ループバックアドレス(127.0.0.1)を指定すると、localhostに名前解決します。名前解決の観点からはこのほうがよいので、直してみると好転するかもしれません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク ピスコ 2018年1月15日 0:23
    2017年12月29日 9:33

すべての返信

  • チャブーンです。

    この状態だとわからないので、切り分けが必要だと思います。

    まず、以下のコマンドを打ってみて、どういう応答が返ってきますか?

    nslookup
    set type=srv
    _ldap._tcp.<フォレストルートドメイン名>


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年12月26日 3:15
  • チャプーンさん

    ご返信ありがとうございます。

    応答結果を記載いたします。

    ==============

    >nslookup

     既定のサーバー: localhost

     Address: ::1

    >set type=srv

    >_ldap._tcp.<フォレストルートドメイン名>

     サーバー: localhost

     Address: ::1

     _ldap._tcp.<フォレストルートドメイン名>    SRV service location:

           priority         =0

           weight          =100

           port              =389

           svr hostname =<サーバ名>.<フォレストルートドメイン名>

     <サーバ名>.<フォレストルートドメイン名> internet address = (サーバの静的IPアドレス)

    ==============

    フォーラムに関する注意点も教えていただきありがとうございます。

    無知ゆえに失礼があるかもしれませんが、その際はご指摘頂けると幸いです。

    2017年12月27日 2:31
  • チャブーンです。

    DNSサーバーのSRVレコードですが、とりあえず存在することはわかりました。

    二つ、確かめた方がよい項目があります。

    1. 「プライマリDNSサフィックス」の項目
      コンピュータ名の<ホスト名>.<フォレストルートドメイン名>のフォレストルートドメイン名に当たる部分がちゃんと設定されているか、確認した方がいいと思います。[システム]のプロパティ-[コンピューター名]-[変更]-[詳細設定]で確認できます。
    2. 参照先DNSサーバを127.0.0.1にしてみる
      参照先DNSサーバですが、自分自身を指す場合ループバックアドレス(127.0.0.1)を指定すると、localhostに名前解決します。名前解決の観点からはこのほうがよいので、直してみると好転するかもしれません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク ピスコ 2018年1月15日 0:23
    2017年12月29日 9:33
  • チャプーンさん

    ご返信ありがとうございます。

    ご指摘頂いた点について確認しました。

    1.「プライマリDNSサフィックス」の項目

     【DNSサフィックスとNetBIOSコンピュータ名】

     ・「このコンピューターのプライマリDNSサフィックス」=<フォレストルートドメイン名>

     ・「NetBIOSコンピュータ名」=<サーバ名>

    2.参照先DNSサーバを127.0.0.1にしてみる

     優先DNSサーバーを(サーバの静的IPアドレス)から「127.0.0.1」に変更したところエラーが解消されました。

     ※代替DNSサーバーはブランクにしています。

     ただし、代わりに以下のエラーが発生するようになりました。

     タイトル:DNS:LAN1のDNSサーバーにはループバックアドレスを含める必要がありますが、最初の項目にはならないようにします。

     問題  :ネットワークアダプターLAN1でローカルサーバーがDNSサーバーとして一覧に含まれていないか、このアダプターの最初のDNSサーバーとして構成されています。


     DNSサーバーの設定変更を試みましたが、優先DNSサーバーと代替DNSサーバーのどちらかに

     (サーバの静的IPアドレス)が設定されていると「リソースコードが解決できない」エラーが再発します。

     弊社の社内環境を確認したところ、上記と同様のエラーが発生していたので、特に問題ないかと考えていますが、

     放置しても問題の無いエラーなのでしょうか?

    2018年1月9日 5:29
  • チャブーンです。

    だいたい状況はわかりました。結論ですが、BPAでは参照先DNSサーバに対して、以下のように指定するのが推奨で、そうなっていないので、アラートが出ているのでしょう。

    • 優先DNSサーバ:複製パートナのドメインコントローラのIPアドレス
    • 代替DNSサーバ:自分自身を指すループバックアドレス

    多少解説しておくと、ドメインコントローラの「ベストプラクティス」では、そもそも2台構成が最小です。そして、その関係ですが、優先DNSは相手のIPアドレス、代替DNSサーバが自分自身を指します。

    相手を優先させるのは、別の記事で書きましたが、自分自身のDNSサーバを先に参照すると「デッドロック」で、中身が見られないためです。だから起動済みの「複製パートナ」のDNSを最初に見るのです。

    自分自身がループバックアドレスなのは、DNSサーバの仕様上、「自分自身の名前解決が自分でできる(特に逆引き)」ことが、セキュリティ上望ましいからです。127.0.0.1は必ず「localhost」に名前解決できるため、要件を満たします。

    どうしても、ということであれば、自分自身が逆引き名前解決できるよう、「逆引きゾーン」を自分で指定することで、ふつうのIPアドレスで逆引き解決ができるようになります。ただし、前提が「2台から」で、その要件自体を満たしていないので、別のアラートが出る可能性が引き続きあるでしょう。

    2台構成はあらゆる見地で優位性があり、可能な限り推奨します。その前提で、それでもそうしたくない、ということなら、このアラートは無視しても大丈夫です。(他者への)アラートの説明をご自身で何度でも対応できる、ということでしたら、それはそれで仕方がない、と思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年1月9日 11:31
  • チャブーンさん

    ご返信ありがとうございます。

    勉強不足でした。1台構成で作成をしています。

    前提を満たしていないので、何かしらエラーとして出てしまうのですね。

    ループバックアドレスを含めるというエラーは無視しようと思います。

    ありがとうございました。

    2018年1月15日 0:35