こんにちは、今回はシリーズ第6回トラブルシューティング - よくある問題と解決方法 について解説いたします！

さて、前回（第5回）は、統合Windows認証がブラウザでどのように動作するかを解説しました。

「イントラネットゾーン」という概念を理解することで、同じサーバーでもURLの書き方（NetBIOS名、FQDN、IPアドレス）によって認証動作が変わる理由が明確になったかと思います。また、Chrome/Firefoxではデフォルトで統合認証が無効になっている理由と、グループポリシーによる一括設定方法も学びました。

しかし、設定が完璧なはずなのに「なぜかうまく動かない」という場面は、実際の現場では必ず訪れます。

「最近、ファイルサーバーへのアクセスが遅い」「金曜日は使えたのに、月曜日の朝にログインできない」「特定のサービスだけKerberosが失敗する」——これらはヘルプデスクに日々寄せられる典型的な問い合わせです。

原因はKerberosの失敗、時刻のずれ、SPNの設定ミス、DNS関連の問題など多岐にわたりますが、体系的にトラブルシューティングすることで必ず解決できます。

今回は、AD環境で頻繁に起きるトラブルをパターン別に整理し、診断コマンドを使った原因特定から具体的な解決手順まで、実践的なトラブルシューティングの流れを解説します。焦らず、一つずつ確認していくことが解決への近道です。それでは始めていきましょう！

連載の構成

• 第1章：基本概念の理解 - Active DirectoryとKerberos/NTLM認証の基礎
• 第2章：ドメイン環境の構築 - 検証環境の構築手順
• 第3章：クライアントとサーバーのドメイン参加 - ドメイン参加の詳細手順
• 第4章：プロキシサーバーと統合Windows認証
• 第5章：ブラウザ設定と認証 - 各ブラウザでの設定方法
• 【★今回です★】第6章：トラブルシューティング - よくある問題と解決方法
• 第7章：セキュリティとベストプラクティス - 本番環境での考慮事項
• 第8章：実践的な構成例 - AIセキュリティツールとの統合事例

第6章：トラブルシューティング

6.1 認証関連のトラブル

6.1.1 Kerberosが失敗してNTLMにフォールバックする原因

Kerberosは最も安全な認証方式ですが、様々な理由で失敗し、NTLMにフォールバックすることがあります。これは、パフォーマンス低下の原因にもなります。

【典型的な症状】
ユーザー：「最近、ファイルサーバーへのアクセスが遅いんです」
IT管理者：「ログを確認してみましょう」

イベントログ：
Kerberos認証に失敗しました。
NTLMにフォールバックします。

IT管理者：「Kerberosが失敗してますね。原因を調べましょう」

診断コマンドの実行を見てみましょう。

【Kerberos診断】
# 現在のチケット確認
klist

結果（正常な場合）：
キャッシュされたチケット: 2
#0> クライアント: tanaka_t @ JP.QUALITEG.COM
    サーバー: krbtgt/JP.QUALITEG.COM @ JP.QUALITEG.COM
    暗号化の種類: AES-256-CTS-HMAC-SHA1-96
    チケットの有効期限: 2024/01/20 18:00:00

結果（問題がある場合）：
キャッシュされたチケット: 0
→ チケットが取得できていない

# チケット取得のテスト
kinit tanaka_t@JP.QUALITEG.COM

よくある原因1：DNS関連の問題を見てみましょう。

【DNSが原因の場合】
状況：NetBIOS名では動くが、FQDNでは失敗

テスト：
# NetBIOS名
ping fileserver → 成功
アクセス: \\fileserver\share → 成功（NTLM）

# FQDN
ping fileserver.jp.qualiteg.com → 成功
アクセス: \\fileserver.jp.qualiteg.com\share → 遅い（Kerberos失敗→NTLM）

原因調査：
nslookup fileserver.jp.qualiteg.com
→ 正引きOK

nslookup 192.168.1.50
→ 逆引きNG！

IT管理者：「逆引きDNSレコードが missing です」

解決策：
DNSマネージャーで逆引きゾーンにPTRレコード追加
50.1.168.192.in-addr.arpa. → fileserver.jp.qualiteg.com.

よくある原因2：SPN（Service Principal Name）の問題を見てみましょう。

【SPNが原因の場合】
症状：特定のサービスだけKerberosが失敗

確認コマンド：
setspn -L fileserver

結果（問題なし）：
登録されたSPN:
    HOST/fileserver
    HOST/fileserver.jp.qualiteg.com

結果（問題あり）：
登録されたSPN:
    （空）

または重複エラー：
setspn -X
重複したSPNが見つかりました：
    HTTP/intranet.jp.qualiteg.com
    → サーバーAとサーバーBの両方に登録

解決策：
# SPN追加
setspn -A HOST/fileserver.jp.qualiteg.com FILESERVER$

# 重複削除
setspn -D HTTP/intranet.jp.qualiteg.com サーバーB

暗号化方式の不一致も見てみましょう。

【暗号化の非互換性】
Windows Server 2019管理者：「新しいDCを追加したら認証が遅くなった」

調査：
# サポートされる暗号化方式の確認
グループポリシー：
ネットワークセキュリティ: Kerberos で許可された暗号化方式の構成

古いサーバー：RC4-HMAC（非推奨）
新しいサーバー：AES256-CTS-HMAC-SHA1-96

問題：
古いアプリ：「RC4しか話せません」
新DC：「RC4は無効化されています」
結果：Kerberos失敗

解決策：
1. 一時的にRC4を有効化（セキュリティリスクあり）
2. アプリケーションのアップデート（推奨）

6.1.2 時刻同期の重要性

Kerberos認証において、時刻同期は極めて重要です。5分以上のずれがあると認証が失敗します。

【時刻ずれによる認証失敗】
月曜日の朝：
田中：「金曜日は使えたのに、ログインできません！」
エラー：「現在、ログオン要求を処理できるログオンサーバーはありません」

IT管理者：「時刻を確認してみましょう」

クライアントPC：2024/01/20 09:00:00
DC：2024/01/20 09:07:00
差：7分

IT管理者：「5分以上ずれてます。これが原因です」

時刻同期の仕組みを理解しましょう。

【Windows時刻同期の階層】
正しい構成：
インターネット時刻サーバー（time.windows.com）
    ↓
PDCエミュレーター（DC01）
    ↓
その他のDC（DC02, DC03）
    ↓
メンバーサーバー、クライアントPC

確認コマンド：
# 時刻源の確認
w32tm /query /source

正常：DC01.jp.qualiteg.com
問題：Local CMOS Clock → 同期していない

# 詳細状態
w32tm /query /status

時刻同期の修正方法を見てみましょう。

【時刻同期の設定】
PDCエミュレーターでの設定：
# 外部時刻源の設定
w32tm /config /manualpeerlist:"time.windows.com,0x9 ntp.nict.jp,0x9" /syncfromflags:manual /reliable:yes /update

# サービス再起動
net stop w32time && net start w32time

# 即座に同期
w32tm /resync /rediscover

その他のDCでの設定：
# PDCエミュレーターから同期
w32tm /config /syncfromflags:domhier /update

クライアントPCでの設定：
# 通常は自動だが、手動設定も可能
w32tm /config /syncfromflags:domhier /update

時刻同期のトラブルシューティングを行いましょう。

【よくある時刻同期の問題】
問題1：ファイアウォールでNTPがブロック
症状：
w32tm /stripchart /computer:time.windows.com
エラー: 0x800705B4 - タイムアウト

解決：
UDP 123番ポートを開放

問題2：仮想マシンの時刻同期競合
症状：
VM：「ホストと同期します」
DC：「いや、NTPと同期して」
結果：時刻が安定しない

解決：
VMware: VMware Toolsの時刻同期を無効化
Hyper-V: 統合サービスの時刻同期を無効化

問題3：大幅な時刻ずれ
症状：
w32tm /resync
コンピューターの再同期コマンドがコンピューターに送信されましたが、
時刻データが利用できなかったためにエラーが発生しました。

原因：差が大きすぎて自動修正を拒否（通常48時間以上）

解決：
# 手動で近い時刻に設定してから同期
net time \\DC01 /set /y

6.1.3 SPN（Service Principal Name）の設定

SPNは、Kerberos認証でサービスを一意に識別するための名前です。正しく設定されていないと、Kerberos認証が失敗します。

【SPNとは何か】
新人：「SPNって何ですか？」
IT管理者：「サービスの住所みたいなものです」

例えで説明：
田中さんの自宅 = HOST/tanaka-pc.jp.qualiteg.com
　場所：tanaka-pc.jp.qualiteg.com
　用途：HOST（コンピューター）

会社のWebサーバー = HTTP/intranet.jp.qualiteg.com
　場所：intranet.jp.qualiteg.com  
　用途：HTTP（Webサービス）

Kerberos：「HTTP/intranet.jp.qualiteg.comへのチケットをください」
KDC：「SPNを検索...見つかった！チケット発行」

SPNの確認と登録を行いましょう。

【SPNの管理】
# 特定のアカウントのSPN確認
setspn -L IIS_Service

# コンピューターアカウントのSPN確認  
setspn -L SERVER01$

典型的なSPN：
HOST/server01
HOST/server01.jp.qualiteg.com
TERMSRV/server01
TERMSRV/server01.jp.qualiteg.com
RestrictedKrbHost/server01
RestrictedKrbHost/server01.jp.qualiteg.com

# IISサーバーのSPN登録例
# アプリケーションプールが特定のアカウントで実行される場合
setspn -A HTTP/webapp.jp.qualiteg.com JP\webapp_svc
setspn -A HTTP/webapp JP\webapp_svc

SPN関連のトラブルを見てみましょう。

【重複SPNの問題】
症状：Webサイトにアクセスすると認証エラー

調査：
setspn -X
処理中...
重複が見つかりました：
HTTP/intranet.jp.qualiteg.com が以下に登録:
  - SERVER01$
  - intranet_svc

IT管理者：「同じSPNが2つのアカウントに！」

理由：
1. 最初、SERVER01のコンピューターアカウントで動いていた
2. 後でサービスアカウント（intranet_svc）に変更
3. 古いSPNを削除し忘れ

解決：
setspn -D HTTP/intranet.jp.qualiteg.com SERVER01$
→ 古い方を削除

アプリケーションプールとSPNの関係を見てみましょう。

【IISでの実例】
シナリオ：社内ポータルサイトの構築

構成：
- URL: http://portal.jp.qualiteg.com
- アプリケーションプール: PortalAppPool
- 実行アカウント: JP\portal_svc

必要な作業：
1. サービスアカウント作成
New-ADUser -Name "portal_svc" -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) -Enabled $true

2. SPN登録
setspn -A HTTP/portal.jp.qualiteg.com JP\portal_svc
setspn -A HTTP/portal JP\portal_svc

3. IISでの設定
- アプリケーションプール → 詳細設定 → ID → portal_svc
- 認証 → Windows認証：有効、匿名認証：無効

4. 確認
setspn -L portal_svc
→ SPNが表示されることを確認

6.1.4 DNS関連の問題

DNS設定の問題は、AD環境でのトラブルの大半を占めます。正しく設定されていないと、認証以前に名前解決で失敗します。

【典型的なDNS問題】
ユーザー：「ファイルサーバーにつながりません」
IT：「pingしてみてください」
ユーザー：「ping fileserver」
結果：ping 要求ではホスト fileserver が見つかりませんでした

IT：「DNSサフィックスを確認しましょう」
ipconfig /all
DNSサフィックス: （空）← 問題！

DNSサフィックスの設定を見てみましょう。

【DNSサフィックスの重要性】
正しい設定：
プライマリDNSサフィックス: jp.qualiteg.com
DNS サフィックス検索一覧: jp.qualiteg.com, tokyo.jp.qualiteg.com

動作の違い：
# サフィックスなし
ping fileserver
→ 「fileserver」を探す → 失敗

# サフィックスあり  
ping fileserver
→ 「fileserver.jp.qualiteg.com」を探す → 成功

設定方法：
1. DHCP経由（推奨）
   Option 015: jp.qualiteg.com

2. 手動設定
   ネットワークアダプター → プロパティ → 詳細設定 → DNS
   「この接続のDNSサフィックス」: jp.qualiteg.com

DNSの正引き・逆引き問題を見てみましょう。

【逆引きDNSの重要性】
問題の症状：
- 名前でアクセス: 成功
- IPでアクセス: 認証に時間がかかる

調査：
# 正引きテスト
nslookup server01.jp.qualiteg.com
→ 192.168.1.20

# 逆引きテスト  
nslookup 192.168.1.20
→ *** dns1.jp.qualiteg.com can't find 192.168.1.20: Non-existent domain

原因：逆引きゾーンがないか、レコードがない

解決策：
1. DNS管理ツールで逆引きゾーン作成
   - 新しいゾーン → 逆引き参照ゾーン
   - ネットワークID: 192.168.1

2. PTRレコード追加
   - 20 → server01.jp.qualiteg.com.

DNSキャッシュの問題を見てみましょう。

【古いDNS情報によるトラブル】
状況：サーバーのIPアドレスを変更した後

ユーザー：「新しいサーバーにつながらない」
IT：「DNS確認してみましょう」

# DNSサーバーに問い合わせ
nslookup server01.jp.qualiteg.com 192.168.1.10
→ 192.168.1.50（新IP）

# でもpingは古いIPに
ping server01.jp.qualiteg.com
→ 192.168.1.20（旧IP）に ping しています

原因：ローカルDNSキャッシュ

解決：
ipconfig /flushdns
→ DNSキャッシュをクリア

確認：
ipconfig /displaydns
→ キャッシュ内容を表示

条件付きフォワーダーの設定を見てみましょう。

【複数ドメイン環境でのDNS】
シナリオ：会社買収で別ドメインと連携

環境：
- 自社: jp.qualiteg.com（192.168.1.0/24）
- 買収先: acquired.local（192.168.2.0/24）

問題：
nslookup server.acquired.local
→ 見つからない

解決策：条件付きフォワーダー
DNSマネージャー → 条件付きフォワーダー → 新規
- DNSドメイン: acquired.local
- IPアドレス: 192.168.2.10（買収先のDNS）

結果：
acquired.localへの問い合わせは192.168.2.10に転送

6.2 ドメイン参加のトラブル

6.2.1 「ドメインが見つからない」エラー

ドメイン参加時の最も一般的なエラーです。原因は多岐にわたりますが、体系的にトラブルシューティングすることで解決できます。

【典型的なエラーメッセージ】
エラー：
「ドメイン "jp.qualiteg.com" に接続できませんでした。
（ドメインが存在しないか、またはアクセスできません）」

新人IT：「ドメイン名は合ってるのに...」
先輩：「順番に確認していきましょう」

ステップ1：ネットワーク接続の確認を行いましょう。

【基本的な接続確認】
# IPアドレスの確認
ipconfig /all

確認ポイント：
- IPアドレス: 169.254.x.x → DHCPサーバーに届いていない
- IPアドレス: 192.168.1.x → 正常
- DNSサーバー: 192.168.1.1 → ルーターを見ている（NG）
- DNSサーバー: 192.168.1.10 → DCを見ている（OK）

# DCへの疎通確認
ping 192.168.1.10
→ 応答があることを確認

ステップ2：DNS名前解決の確認を行いましょう。

【DNS解決のテスト】
# ドメイン名の解決
nslookup jp.qualiteg.com

正常な応答：
Server:  dc01.jp.qualiteg.com
Address: 192.168.1.10

Name:    jp.qualiteg.com
Addresses: 192.168.1.10, 192.168.1.11

問題のある応答：
*** dc01.jp.qualiteg.com can't find jp.qualiteg.com: Non-existent domain

# SRVレコードの確認（重要）
nslookup -type=srv _ldap._tcp.jp.qualiteg.com

正常な応答：
_ldap._tcp.jp.qualiteg.com    SRV service location:
    priority       = 0
    weight         = 100  
    port          = 389
    svr hostname  = dc01.jp.qualiteg.com

ステップ3：ファイアウォールの確認を行いましょう。

【必要なポートの確認】
# PowerShellでポート確認
Test-NetConnection -ComputerName dc01.jp.qualiteg.com -Port 389
Test-NetConnection -ComputerName dc01.jp.qualiteg.com -Port 445
Test-NetConnection -ComputerName dc01.jp.qualiteg.com -Port 88
Test-NetConnection -ComputerName dc01.jp.qualiteg.com -Port 135

必要なポート：
- 88 (Kerberos)
- 135 (RPC Endpoint Mapper)
- 389 (LDAP)
- 445 (SMB)
- 636 (LDAPS)
- 3268 (Global Catalog)

Windowsファイアウォールの一時無効化（テスト用）：
netsh advfirewall set allprofiles state off
※テスト後は必ず有効に戻す

6.2.2 認証エラーの対処法

ドメインは見つかるが、認証で失敗するケースの対処法です。

【認証エラーの種類】
エラー1：
「ログオンに失敗しました: ユーザー名を認識できないか、
またはパスワードが間違っています。」

エラー2：
「指定されたドメインがないか、またはコンタクトできません。」

エラー3：
「現在、ログオン要求を処理できるログオンサーバーはありません。」

ユーザー名の形式問題を見てみましょう。

【正しいユーザー名の形式】
よくある間違い：
× administrator（ドメイン指定なし）
× tanaka_t（一般ユーザー）
× admin（存在しないユーザー）

正しい形式：
○ JP\Administrator
○ Administrator@jp.qualiteg.com
○ jp.qualiteg.com\Administrator

# 現在のドメイン管理者の確認
net group "Domain Admins" /domain

アカウントの状態確認を行いましょう。

【管理者アカウントの問題】
# DCで実行（アカウント状態確認）
net user Administrator /domain

確認ポイント：
- アカウント有効: Yes
- アカウントの有効期限: 無期限
- パスワード有効期限: 無期限
- アカウントロックアウト: No

# ロックアウトされている場合
net user Administrator /active:yes /domain

# パスワードリセット（最終手段）
net user Administrator NewP@ssw0rd /domain

ドメイン参加に使用できるアカウントを確認しましょう。

【権限の確認】
# Domain Adminsグループのメンバー確認
net group "Domain Admins" /domain

# 他に使えるグループ
- Domain Admins（全権限）
- Enterprise Admins（フォレスト全体）  
- Account Operators（限定的な権限）

# 委任された権限の確認
dsacls "OU=Computers,DC=jp,DC=qualiteg,DC=com"
→ コンピューターオブジェクト作成権限を確認

6.2.3 ネットワーク設定の確認ポイント

ドメイン参加の成功には、正しいネットワーク設定が不可欠です。

【チェックリスト形式での確認】
IT管理者：「この順番で確認していけば、問題を特定できます」

□ 1. 物理接続
  - LANケーブル接続
  - リンクランプ点灯
  - 正しいVLAN

□ 2. IPアドレス設定
  - 固定 or DHCP
  - 同一サブネット内
  - 重複なし

□ 3. DNS設定
  - プライマリDNS = DC
  - セカンダリDNS = 別DC（あれば）
  - DNSサフィックス設定

□ 4. 疎通確認
  - DC へping
  - ポート確認
  - 名前解決確認

VLANをまたぐ場合の注意点を見てみましょう。

【VLAN環境での考慮事項】
構成例：
- VLAN 10: サーバーセグメント（192.168.10.0/24）
  - DC: 192.168.10.10
- VLAN 20: クライアントセグメント（192.168.20.0/24）
  - Client: 192.168.20.100

必要な設定：
1. ルーティング
   - VLAN間ルーティング有効
   - 各VLANのデフォルトゲートウェイ設定

2. ファイアウォール
   - VLAN間で必要なポート許可
   - 特に135, 445, 389等

3. DNS設定
   - クライアントのDNS: 192.168.10.10
   - DNSがVLAN越えで到達可能

確認コマンド：
tracert 192.168.10.10
→ 経路確認

プロキシ設定の影響を見てみましょう。

【プロキシが邪魔をするケース】
症状：ブラウザは使えるが、ドメイン参加できない

原因：システムプロキシの設定

確認：
netsh winhttp show proxy

現在の WinHTTP プロキシ設定:
    プロキシサーバー: proxy:8080
    バイパス一覧: （なし）

問題：DCへの通信もプロキシ経由しようとする

解決策：
netsh winhttp set proxy proxy:8080 bypass-list="*.jp.qualiteg.com;192.168.*"

または完全リセット：
netsh winhttp reset proxy

IPv6の影響を見てみましょう。

【IPv6関連の問題】
症状：名前解決が遅い、不安定

確認：
ipconfig /all
IPv6アドレス: 2001:db8::1234（有効）
IPv4アドレス: 192.168.1.100

問題：IPv6が優先されるが、DCはIPv4のみ

解決策1：IPv6を無効化（一時的）
ネットワークアダプター → プロパティ
□ インターネットプロトコルバージョン6（チェックを外す）

解決策2：IPv4を優先（推奨）
netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 46 4
→ IPv4を優先するポリシー

これらの確認ポイントを順に確認することで、ほとんどのドメイン参加問題を解決できます。重要なのは、あわてずに一つずつ確認していくことです。

次回予告

次回は「第7章 セキュリティとベストプラクティス - 本番環境での考慮事項」

灰、上記タイトルのとおり次回は、「動く」環境を「安全に動く」環境にするための話です。

システムが正常に動作することと、安全に運用されることは別の問題です。認証基盤を本番環境に展開するからこそ、セキュリティの考慮が欠かせません。「Basic認証のパスワードは実はネットワーク上で丸見えになっている」「Domain Adminsに50人も登録されている」「退職者のアカウントがそのまま残っている」——こうした問題は、気づいた時には手遅れになっていることもあります。

次回は、Basic認証が抱える根本的なリスク、パスワード管理・管理者権限の最小化といったベストプラクティス、そして監視・ログ・定期監査の具体的な実装方法まで、本番運用を見据えたセキュリティの全体像をお届けします。

それでは、第7回でお会いしましょう！