none
SRVレコードが返らない(タイムアウト) RRS feed

  • 質問

  • WindowsServer2012stdを2台ドメインコントローラ(1台はファイルサーバ+DHCPサーバ兼務)として使っています。

    最近、ドメインコントローラと通信できなくなったということで調べてみると、確かに通信できておらず、

    (ドメイン認証するアプリがあって、ドメインサーバと通信できないというメッセージがでた)

    試しにドメインに参加しようと思って操作してみましたが、同一ネットワークにいても参加できないことがわかりました。参加時のエラーは

    ----------------------

    ドメイン名 ""??????"" が NetBIOS ドメイン名である可能性があります。その場合は、ドメイン名が WINS に正しく登録されていることを確認してください。

    名前が NetBIOS ドメイン名でないことが確実である場合は、次の情報が DNS 構成のトラブルシューティングに役立ちます

    ドメイン "??????" の Active Directory ドメイン コントローラー (AD DC) を検索するために使用される DNS の Service Location (SRV) リソース レコードを照会したときに、次のエラーが発生しました:

    エラー: "タイムアウト期間が経過したため、この操作は終了しました。"
    (エラー コード 0x000005B4 ERROR_TIMEOUT)

    クエリは _ldap._tcp.dc._msdcs.?????? の SRV レコードに対するものでした

    名前解決のためにこのコンピューターによって使用される DNS サーバーが応答していません。このコンピューターは、次の IP アドレスを持つ DNS サーバーを使用するように構成されています:

    192.168.0.??
    192.168.0.**

    このコンピューターがネットワークに接続されていること、これらの DNS サーバーの IP アドレスが正しいこと、および少なくとも 1 つの DNS サーバーが実行中であることを確認してください。

    ----------------------

    ※表示されたIPは2つともDCのアドレス

    ということで、ググるとよく出てくるエラーでした。

    SRVレコードが怪しいと思い、DNSの_msdcs→dc→_tcpを見てみましたが、_ldapも_kerberosも2台のDCの名前とIPで登録がされておりました。DCが2台ともDNSサーバで、両方のDNSとも記載がありました。

    しかしながら、DCサーバやクライアントPCにて、nslookupで_ldap._tcp.dc._msdcs.domain_name で調べてみるとタイムアウトしてしまいます(どちらのサーバにnslookupしてもタイムアウト)。

    ドメイン名を適当に変えると「見つけられません」と出てくるので、ちゃんとアクセスには行っているようですが、正しいドメイン名を入れた際にはタイムアウトしてしまうという状態です。

    ですので、Firewallとかが悪さをしているということも考えにくいです。

    また、タイムアウト時間を5秒ぐらいに設定しても変わらないので、タイムアウトが短いというわけではないと思います。

    考えられる原因について、心当たりがあればアドバイスいただければと思います。よろしくお願いいたします。

    2020年1月14日 6:48

回答

  • チャブーンです。

    この件ですが、前提条件がふつうではないので、普通の対応方法はムリです。以下の条件を最初に知らされず、「なんとかしてください」といわれても、だれも対応できないでしょう。私もムリです。

    現在使われているドメイン名がいわゆる単一ラベルのと言われているやつです。

    コミュニティとしていえることは、以下の「単一ラベルドメインでの運用設定」をきちんと守って運用してください、ということです。名前解決の問題にしても、単一ラベルドメインは「DNSドメインではない」ので、通常の方法では名前解決ができません。L3の設定うんぬんは無関係で、DNSではなくNBTでのブロードキャストでドメインコントローラーを探しているのでしょう。こういった場合「クライアント側での設定」で対処する必要があります。

    https://support.microsoft.com/ja-jp/help/300684/deployment-and-operation-of-active-directory-domains-that-are-configur

    うえのKBに書いていないような話しを「コミュニティで解決する」ことはムリですので、有償サポートにご依頼いただくことになります。ちなみにDNSのアンダースコアについてはRFC8553で対応している認識ですので、いまどきのBINDやActive Directoryでは全く問題にならないでしょう。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年1月15日 7:00
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、切り分けはいただいているようですが、「表現のしかた」が微妙で、わからない点があります。なので、もう一度「念のための確認」を行っていただいたほうがいいでしょう。

    1. 「参加ドメイン名」は必ずDNSドメイン名で行ってください。NETBIOSドメイン名では現状のWindowsではドメイン参加できないと思ってください(できるできないの条件を細かく書くことはここではしません)。
    2. クライアントの参照先DNSサーバーはドメインコントローラーだけにしてください。(ここでは)3つめ以降の参照先DNSサーバーがおかしくないか、確認してください。
    3. どちらも問題がない場合、ドメインコントローラーのDNSサーバーの「DNS名」ゾーンの委任設定を確認してください。たとえば「test.local」と「_msdcs.test.local」の両方がある場合、test.localゾーン内に「委任されたドメイン」として「_msdcs」があることを確認してください。この際委任先のIPアドレスが「自分自身・パートナーのドメインコントローラー」のIPアドレスが入っていることを確認してください。
    4. DNSサーバーのプロパティで「インターフェース」設定で、(クライアントがアクセスする)対象IPアドレスをリスンしているか確認してください。これがないと、アクセスができません。
    5. どれもだめなら、DNSサーバーサービスを再起動すると治ることがあります。ゾーンが再読み込みされ、正常化するためです。

    うえのどれもだめだった場合、DNSサーバーのイベントログを始めとした情報を集め、調査する必要があります。これは簡単なことではないため、コミュニティでの対応は難しいので、有償サポートに依頼されることをお奨めします。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年1月14日 7:47
    モデレータ
  • チャブーンさんありがとうございます。

    参考にさせていただきました。

    結論から言いますと、SRVレコードは返るようになりましたが、別問題が発生しました。

    まず、ご指摘頂きました内容については確認をさせていただいたので、まずは回答させていただきます。

    1.現在使われているドメイン名がいわゆる単一ラベルのと言われているやつです。(これが原因で色々と問題も起きそうだなーとは思っていて、しかもアンダースコアも入っているということで、できれば変更したいなとは思っていますが、DCの操作自体も初心者で不慣れなので、怖くてなかなかできないのが現状)

    2.DHCPで割り当てられるDNSは2台ともDCです。

    3.申し訳ございません、ここの確認場所がよくわかりませんでした。委任されたドメインという項目はなかったので、追加が必要のかと思って新しい委任でウィザードを進めてみたのですが、サブドメインがあるわけではないので何か違う気がしたのでとりあえず保留しました。

    4.はい。これは確認済みです。リッスンしないといけないインタフェースだけを有効にしています。

    5.試してみました。

    以上の範囲で確認しましたが、変化はありませんでした。

    で、試行錯誤をした結果、DNSフォワーダーの設定を変えたらうまくいったと思われます。ドメインコントローラー兼DNSが2台あって、それぞれをDC1とDC2とした場合、DHCPではこのDC1とDC2をDNSサーバとしてクライアントに設定させていますが、

    DC1のDNSフォワーダーの設定で「DC2、自前DNS1、外部DNS1、外部DNS2」

    DC2のDNSフォワーダーの設定で「DC1、自前DNS1、外部DNS1、外部DNS2」

    となっていましたので、これを

    DC1のDNSフォワーダーの設定で「外部DNS1、外部DNS2」

    DC2のDNSフォワーダーの設定で「外部DNS1、外部DNS2」

    だけにしたらうまくいきました。(仕組みをちゃんと理解していれば当たり前のことかもしれませんが・・。)

    で、別の問題というか、以前から存在していたと思われる問題があって、DCのあるセグメントとは異なるセグメントからのドメイン参加ができないということです。

    DCと同一セグメントにあるクライアントからは参加ができて、一旦参加すれば、違うセグメントでも認証は利用可能です。

    ネットワーク的にはL3スイッチでセグメントがわかれておりますが、セグメント間にルータの類はありません。

    なのでL3の設定を疑っているのですが、どうなのでしょうか。

    2020年1月15日 3:10
  • チャブーンです。

    この件ですが、前提条件がふつうではないので、普通の対応方法はムリです。以下の条件を最初に知らされず、「なんとかしてください」といわれても、だれも対応できないでしょう。私もムリです。

    現在使われているドメイン名がいわゆる単一ラベルのと言われているやつです。

    コミュニティとしていえることは、以下の「単一ラベルドメインでの運用設定」をきちんと守って運用してください、ということです。名前解決の問題にしても、単一ラベルドメインは「DNSドメインではない」ので、通常の方法では名前解決ができません。L3の設定うんぬんは無関係で、DNSではなくNBTでのブロードキャストでドメインコントローラーを探しているのでしょう。こういった場合「クライアント側での設定」で対処する必要があります。

    https://support.microsoft.com/ja-jp/help/300684/deployment-and-operation-of-active-directory-domains-that-are-configur

    うえのKBに書いていないような話しを「コミュニティで解決する」ことはムリですので、有償サポートにご依頼いただくことになります。ちなみにDNSのアンダースコアについてはRFC8553で対応している認識ですので、いまどきのBINDやActive Directoryでは全く問題にならないでしょう。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年1月15日 7:00
    モデレータ
  • フォーラムにご投稿くださいましてありがとうございます

    チャブーンさんも、適格なアドバイスをいただきありがとうございました

    今後ご不明な点がございましたら、お気軽にお問い合わせください

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年1月22日 5:59
    モデレータ