認証したドメインコントローラー（ログオンサーバー）を検索する

コンピューターが認証されているドメインコントローラーを確認したい場合があります（ Logon Server）。 これは、グループポリシーの適用に問題がある場合、またはユーザーがログオンが遅いと不満を言う場合に役立ちます。 最も近いDCが利用できない場合、ファイアウォールがアクセスをブロックしている場合、Active Directoryサイトまたはサブネットが正しく構成されていない場合、またはDNSに問題がある場合、ユーザーのコンピューターは間違ったドメインコントローラーに対して認証される可能性があります。 その結果、ユーザーは、最も近いDCではなく、他のDCからすべてのGPO設定、スクリプトなどを取得できます。 GPOの処理が遅くなったり、ソフトウェアの展開が遅くなったりする可能性があります。

コンピュータが認証されているDCを特定する方法は？

ログインしたドメインコントローラーは、次の方法で検出できます。

ローカルアカウントを使用してコンピューターにログオンした場合、ドメインコントローラー名の代わりにコンピューターの名前が表示されます。 LogonServer 変数。

ドメインコントローラを知っている場合は、ログオンDCセキュリティログからユーザー情報を取得できます（たとえば、ドメインへのユーザーのログオン履歴やその他のログ）。

Windowsはどのようにして最も近いドメインコントローラーを見つけますか？

ザ NetLogon サービスは、Windowsの起動時にLogonServerを検出する責任があります。 サービスが実行されている必要があります。

get-service netlogon

簡単に言うと、Windowsクライアントがドメインコントローラーを見つけるプロセスは次のようになります。

1. NetLogonはDNSクエリを送信して、ドメインコントローラーのリストを取得します（SVR _ldap._tcp.dc._msdcs.domain_ ）Windowsの起動時。
2. DNSは、ドメイン内のDCのリストを返します。
3. クライアントはLDAPクエリをDCに送信して、IPアドレスでADサイトを取得します。
4. DCは、クライアントのIPまたは最も近いサイトに一致するADサイトを返します（この情報はレジストリにキャッシュされます： HKLMSystemCurrentControlSetServicesNetlogonParameters 次回のログオン時に使用して、検索を高速化します）。
5. クライアントは、DNSを介してターゲットサイトのドメインコントローラーのリストを要求します（ _ tcp.sitename._sites..。）;
6. WindowsはADサイト上のすべてのDCに要求を送信し、最初に応答したDCは認証を実行するためのLogonServerとして使用されます。

Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name MUN-DC02.woshub.com
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully

I_NetLogonControl failed: Status = 1311 0x51f ERROR_NO_LOGON_SERVERS

どちらのドメインコントローラーも使用できない場合、またはコンピューターがネットワークから切断されている場合、ユーザーがログオンすると次のメッセージが表示されます。

There are currently no logon servers available to service the logon request.

ドメインユーザーがキャッシュした資格情報のみを使用して、このようなコンピューターにログオンできます。

Active Directory for PowerShellモジュールのGet-ADDomainControllerコマンドレットを使用して、サイト階層、サブネット、および重みに従って最も近いドメインコントローラーを見つけることができます。

Get-ADDomainController -Discover -NextClosestSite

これにより、コンピューターが認証する必要のあるドメインコントローラーの名前を見つけることができます。 現在のものと異なる場合は、これをトラブルシューティングする必要があります。