macOS で Active Directory とバインドするために DNS の整合性を確認する

Active Directory を統合するには、DNS を介してドメインコントローラやグローバルカタログサーバの場所を特定し、識別できる必要があります。

Active Directory をホストする DNS システムの完全性、正確性、整合性が保たれていることが必要です。Active Directory サービスレコードの整合性を確認するには、以下のターミナルコマンドを使い、DNS にクエリを送信します。

dig -t SRV _service._tcp.fqdn.example.com

このコマンドの _service にはクエリで照会するサービス (_ldap、_kerberos、_kpasswd、または _gc) を、fqdn.example.com には Active Directory ドメインの名前を指定します。

DNS のサービスレコードの完全性、整合性、正確性をテストして、場所の登録が正しいかどうかを確認してください。そのためには、以下の点を確認します。

  1. ANSWER SECTION に、サービスレコードタイプごとに少なくとも 1 件の応答がある (完全性のテスト)。
  2. HEADER SECTION で、各サービスレコードタイプに返された応答 (ANSWER) 数が同じである (整合性のテスト)。
  3. ADDITIONAL SECTION に返された各応答が、有効なサーバ名および IP アドレスである (正確性のテスト)。

サービスレコードが上記 3 つの条件に当てはまらない場合は、Active Directory に関連する DNS の問題のトラブルシューティングを行ってください。

dig コマンドは、以下のような結果を返します。

; <<>> DiG 9.4.2-P2 <<>> -t SRV _ldap._tcp.fqdn.example.com

;; global options:  printcmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53473

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2

;; QUESTION SECTION:

;_ldap._tcp.fqdn.example.com.INSRV

;; ANSWER SECTION:

_ldap._tcp.fqdn.example.com. 600 INSRV0 100 389 dc1.fqdn.example.com.

_ldap._tcp.fqdn.example.com. 600 INSRV0 100 389 dc2.fqdn.example.com.

;; ADDITIONAL SECTION:

dc1.fqdn.example.com.3600INA10.0.0.1

dc2e.fqdn.example.com.3600 INA10.0.0.2

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: