ITインフラ

Active Directoryの健全性チェックガイド|情シスが定期的に確認すべき10項目

#Active Directory#ドメインコントローラー#Windows Server#ヘルスチェック#中小企業

Active Directory(AD)は、Windows環境におけるユーザー認証・グループポリシー・DNS解決の根幹を担うサービスです。ADが正常に稼働していることが当たり前すぎて、定期点検が疎かになっているケースは多くあります。しかし、ADの障害は「社員が全員ログオンできない」「メールが送れない」「ファイルサーバーにアクセスできない」といった全社的な業務停止に直結します。

本記事では、情シス担当者が定期的に確認すべきADの健全性チェック10項目を、具体的なコマンド例とともに解説します。

ADが止まると何が起きるのか

ドメインコントローラー(DC)がダウンした場合、以下の影響が発生します。

  • ドメインログオン不可:キャッシュされた資格情報で一時的にログオンできる場合がありますが、パスワード変更やロック解除は不可能です
  • GPO適用失敗:グループポリシーの更新が停止し、セキュリティ設定が古いまま放置されます
  • DNS障害:AD統合DNSを使用している場合、名前解決ができなくなり、社内の通信全般に影響します
  • 証明書発行停止:AD CSを利用している場合、証明書の自動発行・更新が止まります

こうした事態を防ぐために、以下の10項目を定期的にチェックしましょう。

チェック項目1:DCの複製状態

複数DCを運用している場合、レプリケーションの正常性は最重要確認事項です。repadmin /replsummaryで概要を確認し、failuresがあればrepadmin /showreplで詳細を調べます。

repadmin /replsummary

チェック項目2:SYSVOLレプリケーション

SYSVOLにはGPOテンプレートやログオンスクリプトが格納されています。DC間で不一致があるとGPO適用結果がDCごとに異なります。dcdiag /test:sysvolcheckdcdiag /test:netlogonsで確認してください。

チェック項目3:DNS SRVレコードの確認

ADはDNS SRVレコードでDCを検出します。欠損するとログオン失敗に直結します。

dcdiag /test:dns /v
nslookup -type=SRV _ldap._tcp.dc._msdcs.<ドメイン名>

欠損時はNetlogonサービスの再起動、またはnltest /dsregdnsで再登録を試みます。

チェック項目4:FSMO役割の所在確認

5つのFSMO役割がどのDCにあるかをnetdom query fsmoで把握しておきましょう。FSMOを持つDCが停止した場合の影響と対応手順を事前に整理しておくことが重要です。

チェック項目5:ADデータベースのサイズと断片化

ntds.ditが数十GBに達している場合はntdsutilによるオフラインデフラグを検討します。dir C:\Windows\NTDS\ntds.ditでサイズを確認してください。

チェック項目6:イベントログの重大エラー

Directory ServiceログとDNS Serverログに、重大なエラーや警告が記録されていないかを確認します。

Get-EventLog -LogName "Directory Service" -EntryType Error -Newest 20
Get-EventLog -LogName "DNS Server" -EntryType Error -Newest 20

特にイベントID 1311(レプリケーション失敗)、2042(tombstone lifetime超過)、4013(DNS読み込み待ち)などは、放置すると深刻な問題に発展するため早期対応が必要です。

チェック項目7:GPO適用状況の確認

グループポリシーが意図どおりに適用されているかを定期的に検証します。

gpresult /r
gpresult /h gpresult.html

gpresult /hでHTML形式のレポートを出力すると、適用されたGPOと拒否されたGPOを視覚的に確認できます。「適用されているはずのGPOが効いていない」場合は、OUの構成、セキュリティフィルタリング、WMIフィルターを確認してください。

チェック項目8:不要アカウントの棚卸し

退職者のアカウントや、使用されていないコンピューターアカウントが放置されていると、不正アクセスのリスクになります。

# 90日以上ログオンしていないユーザーを検索
Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 -UsersOnly | Select Name, LastLogonDate

# 90日以上ログオンしていないコンピューターを検索
Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 -ComputersOnly | Select Name, LastLogonDate

四半期に1回は棚卸しを実施し、不要なアカウントは無効化してから一定期間後に削除する運用を推奨します。

チェック項目9:証明書の有効期限

AD CSやAD FSを運用している場合、証明書の期限切れは認証障害に直結します。Get-AdfsCertificate | Select CertificateType, NotAfterで有効期限を確認し、90日以内に迫っているものがないか月次でチェックしましょう。

チェック項目10:バックアップの確認

System Stateバックアップが定期取得され、リストア可能か確認します。ADのtombstone lifetime(デフォルト180日)以内のバックアップが必須です。wbadmin get versionsで最終バックアップ日時を確認してください。

次のステップ:Entra IDへの移行

オンプレミスADの運用負荷に課題を感じている場合は、Microsoft Entra ID(旧Azure AD)への移行を検討する時期かもしれません。Entra IDに移行すれば、DCの物理管理やレプリケーションの監視から解放され、条件付きアクセスやMFAといったクラウドネイティブなセキュリティ機能を活用できます。

まずはEntra ID Connectによるハイブリッド構成から始め、段階的にクラウド移行を進めるのが現実的なアプローチです。

ADの健全性チェックは、トラブルが発生してからでは手遅れです。定期的な点検を仕組み化したい場合は、情シス365にご相談ください。

あわせて読みたい:

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談