ゆず焼酎が知りたい！

赤ら顔が幸いした。

小学校の時、人前で話したり、友達を作るのが苦手な私でしたが、赤ら顔が幸いにも友人を作ることができた。今では問題かもしれないが、当時はまだ先生との距離も近く、こんな私を見て先生が赤ら顔を利用して笑いを持っていました。多分気にしないでくれとのメッセージだと前向きに考えて、それをきっかけに友達の数積極的に言うことできるようになることができた。何でも肯定的に考えたいと思います。
ずっと茶母、自分が嫌いで、エステサロンで永久脱毛を受けてきました。 2年ほど通ってやっと少し残った程度でむだ毛の量が減っていましたが、やはりツルツルと思い、医療脱毛に行ってきました。医療脱毛はエステサロンの脱毛と似ているが、少しレーザーの量が違うようです。肌もアリ痛い感じでした。しかし、今までの問題もなく、すべすべしています。このまま私は来ないことを祈っています。
「ADInsight」は、Active Directoryへのアクセスをステップごとに追跡するツールである。Active Directoryで行われた処理を詳細に追跡できるため、トラブルの解決などに役立てることができる。今回は、ADInsightを使ったトラブルシューティング手法を紹介しよう。

【詳細画像を含む記事】

［使い倒しテク］

Active Directoryでユーザー設定を変更する際、エラーが表示されます。エラーの原因を確認するよい方法はないでしょうか？

ADInsightを使って設定変更時の処理を追跡することで、問題の原因を特定することができます

　最初に断っておかなければならないが、残念ながらADInsightは最新のサーバOSであるWindows Server 2008 R2では動作しない。筆者が確認したかぎりでは、32ビットのOS上のみで動作するようだ。そのため、32ビットOSであるWindows Server 2008またはWindows Server 2003で動作し、64ビットOSであるWindows Server 2008 R2では動作しない。

　利用できる場面は限定されるが、それでもなお、ADInsightは強力なトラブルシューティング・ツールとして役立つので今回取り上げた。

　ADInsightは、Active Directoryに対して行われる処理を記録（キャプチャ）して、その結果をリアルタイムで表示するツールである。そのため、ADInsightを実行した状態でトラブルを発生させれば、キャプチャ結果からトラブルの原因を追跡できるようになる。

　今回の質問に回答する前に、まずはADInsightの利用方法から紹介していこう。ADInsightは、SysinternalsのWebサイトからダウンロードしたファイル「ADInsight.exe」をダブルクリックするだけで実行できる。

■ADInsight（Insight for Active Directory）［URL］http://technet.microsoft.com/ja-jp/sysinternals/bb897539.aspx

　ADInsightはActive Directoryの管理ツール上で行われた処理をキャプチャするため、管理ツールを実行するコンピュータ上で実行しなければならない点に注意してほしい。ADInsightを実行すると、自動的にキャプチャが開始される（画面1）。

　処理をキャプチャした結果は画面の上部ペインに表示され、それぞれの列に表1のような内容が記録される。

　そして、画面下部ペインでは画面上部ペインで選択した行に対する「Input」と「Output」に関する詳細な情報が表示される。また、ADInsightの各種操作は画面2にあるボタンから行うことができる。

　それでは、実際にADInsightを使ったトラブルシューティング方法についてみてみよう。今回の質問のように、Active Directoryに関する設定変更を行うときにエラーが発生する場合、エラーが発生する操作を行う前にADInsightを実行して、キャプチャを開始しておく。そして、エラーが発生する操作を行う。その結果、ADInsightに表示されたのが、画面3のような情報になる。

　それでは、画面3の情報をくわしく見ていこう。ID「12」のところを見てほしい。ここでは「dsmod.exe」を使ってユーザー「kunii」が操作を行っているが、画面下部ペインには「INVALID_CREDENTIALS」と表示されていることがわかる。このことから、この操作では、認証エラーが発生していることがわかる。つまり、「dsmod.exe」の実行時に指定したユーザー名とパスワードがまちがっていたことが、今回のエラーの原因だったのだ。

　このようなトラブルでは、画面上部ペインを1行ずつ見ながら確認すれば、原因を容易に見つけることができる。しかし、1行ずつ内容を吟味しながらトラブル原因を発見するのは非常に大変なので、簡単にチェックできる方法をいくつか紹介しておこう。

［その1］正常な処理を行っているときと比較

　ADInsightに記録された内容は、「Ctrl」＋「S」キーで保存できる。そのため、正常な処理を行ったときと、エラーが発生するときでそれぞれキャプチャ結果を保存しておくことで、両者の比較できるようになる。

　あらかじめ保存したファイルは「Ctrl」＋「O」キーで開くことができるので、ADInsightを2度実行し、最初は正常な処理を行ったときのファイルを開き、2度目はエラーが発生したときのファイルを開く。そして、両者を比較すれば、どこに違いがあるかすぐに確認できる。前出の画面3はエラー発生時の処理だが、正常な処理を行った場合のキャプチャ結果が画面4になる。

　エラー発生時のID「12」の部分（前出の画面3参照）を見ると、画面下部ペインの「nResult」部分が「INVALID_CREDENTIALS」となっているのに対して、正常時（画面4参照）の「nResult」部分は「SUCCESS」となっていることがわかる。このような両者の比較からも、ID「12」の部分でトラブルが発生していることが簡単に発見できる。

［その2］各行を塗りつぶしている色に注目

　ADInsightによるキャプチャ結果を参照すると、行全体が塗りつぶされている個所を見つけることができる。エラーを意味する結果（Output）がシステムから返された場合、その行は赤く塗りつぶされる（前出の画面3下部を参照）。そのため、トラブルの原因を探るときは赤くマークされている部分を中心に探っていくと比較的早く原因を見つけることができるかもしれない。

　一方、処理に50ミリ秒以上要した場合、その行は青く塗りつぶされる（前出の画面4上部を参照）。青い行を見つけたならば、トラブルの原因となっている個所であるかチェックしてみよう。

［その3］初期の処理パターンに注目

　Active Directoryに対する操作を行うときは、基本的に「initialize」→「connect」→「bind」の順で初期段階の処理を行う点に注目してほしい。Request列がinitializeとconnectの部分で、Active Directoryデータベースに対する最初の接続を行う。そのため、initializeまたはconnectの部分が出てこないような状態であれば、そもそもActive Directoryに接続できていないことが考えられる。

　DNSサーバに適切なActive Directory用のレコードが保存されていない場合や、Active Directory関連のサービスが起動していない場合は、そもそもinitializeの行自体が表示されない。

　一方、Request列がbindの行でエラーが発生している場合、認証情報の内容に問題があると考えられる。この場合には前述のとおり、接続時に使用するユーザー名とパスワードを再確認しよう。

　最後に、Request列がbindの行以降の部分でエラーが発生している場合は、認証を行ったあとのトラブルになるので、接続したユーザーにActive Directoryに対するアクセス許可がない、または、Active Directoryに対する命令内容に問題があるなどの原因が考えられる。

　ADInsightでキャプチャされる内容は非常に詳細なため、内容を精査するだけでも非常に苦労する。

　今回、ADInsightを効率よく利用する方法をいくつか紹介したが、Active Directoryではさまざまなトラブルが発生することが考えられる。そのため、より効率よくADInsightを利用できるように、普段からいろいろな処理をADInsightでキャプチャし、確認しておくことをお勧めしたい。Active Directory内部で行われている処理の内容を普段から見ておくことで、トラブル発生時に感覚的に原因を見つけ出せるようになるだろう。

(国井傑


株式会社ソフィアネットワーク、Microsoft MVP)


【関連記事】
【解説】IT管理者にオススメしたいマイクロソフト純正フリーサーバツール 15選
【解説】Windows 7 大量展開シリーズ 第一弾Windows 7 SP1を効率よく社内展開するには
【解説】最新のWindows PE 3.1に完全対応！Windows PE 徹底活用バイブル〜トラブル解決活用編
【Windowsお悩み相談室】第10回 Windows Intuneを“Windows 7なし”で購入できる？
【解説】OpenLDAPからActive Directoryへ移行せよ――（1）