Table 3. ドメイン コントローラの最少数

ドメインごとのユーザー数	ドメインごとの最小のドメイン コントローラ数
1–499	One – Single Processor
500–999	One – Dual Processor
1,000–2,999	Two – Dual Processor
3,000–10,000	Two – Quad Processor

サイト内に 1万人以上のユーザーがいる場合には、追加ハードウェアの必要性を決定するために、そのユーザー負荷について追加のテストを実施すべきです。 以前のガイダンスでは、5千人のユーザーに対して必要以上の Quad プロセッサ システムを規定しましたが、認証の負荷だけであれば、大半の環境において過剰となるでしょう。

@see https://technet.microsoft.com/ja-jp/library/cc268208.aspx

 

• 小規模：2CPU 2～4GB
• 中規模～：4CPU 4GB
• １台のDCが認証できるのは5,000人程度
• 台数はPDC1台, BDC1～2台を基本

上記が私の結論。
公式で私見が特に間違っていないのを確認出来て良かった。

 

ADの障害対応について

• チェックポイント1. クライアントのTCP/IPでDNSサーバのアドレスが指定されていない。
• チェックポイント2. クライアントのIPv6が有効になっていないか確認する。
• DNSサーバのSRVレコードが正しく設定されているか。SRVレコードの作り直しはドメインコントローラのPowerShellで『Restart-Service netlogon』コマンドレットを実行する。
  ※また自動作成されたSRVレコードが正しいかの確認は正常時に予めDNSサーバーの「_msdcs.＜ドメイン名＞」の部分と＜ドメイン名＞ゾーン配下の「_sites,_tcp,_udp,DomainDNSZones,ForestDNSZones」を展開して、それぞれの画面をキャプチャしておく。

参考：DNSサーバーはなぜ必要なのか
http://www.atmarkit.co.jp/ait/articles/1408/07/news015.html

 

グループポリシーのトラブルを解決

Active Directory最強の指南書P128ページあたりを参照しよう。

gpresult /r, gpresult /Zで切り分けする。

クライアントパソコンにグループポリシーオブジェクト(GPO)が適用されているか確認する。
『GPOが適用されていないからクライアントに管理者の意図が反映されないのか』、『GPOが適用されているにも関わらず何らかの理由で反映されないのか』を区別する。

適用されていない場合

1.  GPOの適用に必要な時間が経過していない。
   ⇒ドメインコントローラ間でグループポリシーを複製、『gpupdate /force』コマンドでクラインとパソコン側でグループポリシーを最新の状態に更新する。
2. GPOの設定漏れ
   ⇒リンクの状態、OUなど管理単位の中身をチェック。リンク忘れや、ユーザ/コンピュータの移動忘れを修正
3. 『ユーザの構成』と『コンピュータの構成』の間違い
   ⇒『ユーザの構成』と『コンピュータの構成』の設定を見直し、間違いを修正。

 

↓解決しない場合は適用されている場合を試そう。

適用されている場合

 

1. クライアントパソコン側でログオフ/再起動をしていない。
   ⇒ログオフや(再ログオン)や再起動を実施
2. 個々のグループポリシーの設定ミス
   ⇒『有効』、『無効』、『未構成』などグループポリシー設定の内容を確認して修正する。
3. 他のGPOのグループポリシー設定と競合している。
   ⇒優先順位の高い管理単位に競合するGPOがリンクされていないか、優先順位の低い管理単位にリンクされたGPOが『強制』されていないか確認して修正する。

ドメインにログオンできない。セキュアチャネルの破損

クライアントパソコンのローカル管理者アカウントのPowerShellで下記を実行する。

Test-ComputerSecureChannel -credential administrator -repair

 

@see http://activedirectoryzoe.hatenablog.com/entry/2015/01/28/171017