検証環境

LAN内

• DC-1（仮想）
• DC-2（仮想）
• PC-1（ドメイン参加前）（物理）

ドメイン参加に必要な要件

• PC-1とDCがIPレベルで通信できること

PC-1とDC-1は、同じLAN（または適切にルーティングされたネットワーク）に接続されている必要がある。

• PC-1がDNSを正しく利用できること（まずDNSを通じてDCを見つける必要がある）

PC-1がドメイン参加するには、ADのDNSサーバ（DC兼DNS）を利用する必要があり、
PC-1のDNS設定には、DCのIPアドレス（DNSサーバのIP）を指定する必要がある。
今回は、「プライオリティをDC-1」「オルターネイティブをDC-2」に設定

ドメインのIPアドレス（DCのIPアドレス）をDNSサーバに問い合わせする方法

nslookup example.local   ←example.localのIPアドレスをDNSサーバに問い合わせ

サーバー：UnKnown
Address：192.168.200.1  ←応答したDNSサーバのIPアドレス
名前：example.local  ←問い合わせたドメイン
Adress：192.168.200.1  ←example.local に紐づくIPアドレスたち
      　192.168.200.2　←〃
     　 172.31.10.2　←〃

ドメインコントローラ（DC）のIPアドレスを確認する方法（SRVレコードの確認）
example.local に紐づく複数のIPアドレスは必ずしもDCとは限らないため、SRVレコードで確認するのが最も確実。

nslookup -type=SRV _ldap._tcp.dc._msdcs.example.local

※注意点
インターネット上では、ADのDNS情報を解決できない。
ADのドメイン名は通常 example.local のように「内部向け」であり、外部DNS（Google DNS 8.8.8.8 など）では解決できない。
インターネット経由でDCとPC-1を接続する場合、VPNや専用のトンネルを構築する必要がある。

PC-1がドメイン参加する流れ

① DNSに問い合わせ	「PC-1が example.local のDCを探す」
↓
② DCにドメイン参加リクエスト送信	「DCに認証を要求、Domain Adminsの認証情報が求められる」
↓
③ 認証 & コンピュータアカウント作成	「DCがADDBを確認し、PC-1を登録」
↓
④ 設定更新 & 再起動	「ドメインメンバーとして動作開始」

現在の検証環境

仮想

• DC-1（FSMO）
• DC-2（冗長：「レプリケーション（DC1⇔DC-2）」）

物理

• PC-1（ドメイン参加済）

PC-1がドメインに参加したことによって、PC-1上でドメインユーザにログインすることが可能となった。

PC-1からドメインユーザでログインするまでの流れ

① PC-1はDNSに問い合わせて、ログオン用のDC（KDC）を探す
   → DNSサーバ（通常はDCが兼任）から、ログオン先のDCのIPアドレスを取得
↓
② PC-1は、取得したDC（KDC）に対して、Kerberos認証のTGT（Ticket Granting Ticket）を要求
↓
③ DCはADデータベース（ADDS）を参照し、PC-1のユーザ資格情報を照合
↓
④ 照合が成功すると、DCはPC-1に対してTGTを発行
↓
⑤ PC-1は、TGTを使用してログオンプロセスを進め、ドメインユーザとしてログインが完了