Active Directory の認証先の指定方法

Last Update:
Active DirectoryAuthentication
feedback 共有

本記事はマイクロソフト社員によって公開されております。

こんにちは。Windows Commercial Support Directory Services チームです。

今回は、Active Directory の認証先を指定する方法をご案内します。Active Directory の認証先の指定方法は、Kerberos 認証と NTLM 認証で異なります。Kerberos 認証の場合はクライアントで設定し、NTLM 認証の場合はリソース サーバーで設定します。なお、何れも、認証先を恒久的に固定する方法ではありませんので、ご注意ください。

以下にそれぞれの指定方法をご案内いたします。

1. Kerberos 認証先の指定方法

Kerberos 認証先の指定手順:

  1. クライアントにログオンし、コマンド プロンプトを管理者として実行します。

  2. キャッシュされたドメイン コントローラーとのバインドを削除します。

    1
    klist purge_bind

  3. 対象のドメイン コントローラーに対して、バインドを行います。

    1
    klist add_bind <ドメイン名> <ドメイン コントローラー名>

  4. 複数のドメイン コントローラーを指定したい場合、上記コマンドを繰り返し実行します。

    1
    2
    3
    4
    klist add_bind contoso.com DC1.contoso.com
    klist add_bind contoso.com DC2.contoso.com
    klist add_bind fabrikam.com DC3.fabrikam.com
    klist add_bind fabrikam.com DC4.fabrikam.com

  5. ローカルにキャッシュしている Kerberos チケットを削除します。

    1
    klist purge

  6. 動作確認を行い、上記設定したドメイン コントローラーに対して Kerberos 認証を行っているか、確認します。

Kerberos 認証先の解除手順:

  1. 上記の認証先を解除して、通常のドメイン コントローラー選択方法で選択させる場合には、以下のコマンドを実行します。

    1
    klist purge_bind

制限事項:
上記手順はドメイン コントローラーとのバインド キャッシュを更新する手順であり、恒久的に認証先ドメイン コントローラーを固定化する手順ではございません。

2. NTLM 認証先の指定方法

NTLM 認証先の指定手順:

  1. クライアントからアクセスするリソース サーバーにログオンし、コマンド プロンプトを管理者として実行します。

  2. NTLM 認証はセキュア チャネルが使用されるため、セキュア チャネル接続先を対象のドメイン コントローラーに切り替えます。

    1
    nltest /sc_reset:<ドメイン名>\<対象のドメイン コントローラー ホスト名>

  3. 対象のドメイン コントローラーに指定されていることを確認します。

    1
    nltest /sc_query:<ドメイン名>

NTLM 認証先の解除手順:

  1. 上記の認証先を解除して、通常のドメイン コントローラー選択方法で選択させる場合には、以下のコマンドを実行します。

    1
    nltest /sc_reset:<ドメイン名>

制限事項:
上記手順は恒久的に認証先ドメイン コントローラーを固定化する手順ではございません。

本投稿が少しでも皆様のお役に立てば幸いです。
※ 本情報の内容 (リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。