「社内ログインが遅い/落ちる」の正体 Active Directory で起きがちな5つの原因と即効チェックリスト

はじめに

Ndictです。
出社時に、ログインにやたら時間がかかることありませんか。
会議前に業務が止まったり、待ち時間が長いと感じてませんか。
それはもしかしたら、Active Directoryが問題かもしれません。
今回は、その原因をを特定する方法を紹介します。

現象の切り分け（ADか、ネットか、GPOか）

1) 何がいつ遅い/失敗するか

• サインイン待機が長い：ようこそ画面～デスクトップ表示までが長い（GPOやネットワーク初期化を疑う）
• 資格情報入力直後で止まる：Kerberos/NTLMの認証そのものを疑う（DNS/時刻/到達性）
• 断続的に失敗する：単一DC/レプリケーション遅延/サイト不一致/負荷偏在を疑う

2) まずはイベントログで仮説を決定

原因1：DNS と時刻同期（Kerberosの大前提）

• DNS：クライアントは 、AD統合DNSのみを優先にします。
• クライアント/メンバーサーバーの優先DNSは、社内 AD DNS を指定します。
• 外部解決は、DNSサーバー側のフォワーダー で行います。（クライアントに外部DNSを直挿ししない）。
• DC検出は、SRVレコード（例：_ldap._tcp.dc._msdcs.）を用いるため、外部DNS直指定は「DCが見つからない/遅い」を招きます。

確認コマンド

ipconfig /all
nslookup -type=SRV _ldap._tcp.dc._msdcs.<自社ドメイン>
dcdiag /test:dns

時刻同期：既定±5分の壁（Kerberos）

• KerberosはクライアントとKDC（DC）の 時刻差が既定±5分 を越えると失敗しやすいです。
• PDCエミュレータ は信頼できるNTPに同期し、他のメンバーはドメイン階層で追従します。

確認コマンド

32tm /query /status
w32tm /query /source

原因2：単一DC（1台構成）の限界

• DCが1台だと、パッチ再起動やCPUスパイク時に、 認証スループットが0 になります。
• 最低2台のDC を用意し、役割（PDC/GCなど）の偏りを避け、障害時の継続性を確保します。
• サイトとサブネット を定義し、DC Locatorが最寄りDCを選べるようにします。

補足（代表コマンド）

Install-ADDSDomainController -InstallDns -Credential (Get-Credential)

原因3：GPO の衝突・過負荷（LSDOU順・リンク順・WMI・スクリプト）

基本ルール（LSDOU）

• 適用順は、Local → Site → Domain → OU。
• リンク順・Enforced/Block Inheritance・ループバック（Replace/Merge）で最終適用が変わる。

遅延を招く典型

• WMIフィルタの過剰適用/複雑条件
• 同期ログオンスクリプト、存在しないプリンター/ドライブ割当のタイムアウト
• SYSVOL/DFS 到達不良 による gpt.ini 読み取り失敗（1030/1058）

確認コマンド

gpresult /h C:\gp.html && start C:\gp.html

※Event Viewer → Applications and Services Logs → Microsoft → Windows → GroupPolicy/Operational

原因4：LSA（lsass.exe）/ DC性能ボトルネック

• DC上の lsass.exe がCPU/メモリを使い切ると認証応答が遅延します。
• 要因：認証/LDAP急増、サードパーティ拡張の不具合、既知のリーク、インデックス/設計不足など。
• Microsoft は、AD 用データ コレクタ セット（PerfMon/ETW 等）での収集と因果切り分けを推奨しています。

観測の要点

• lsass.exe：% Processor Time / Private Bytes / Handle数
• AD/認証：Kerberos Authentications/sec, NTLM Authentications, LDAP Bind Time/Requests

原因5：レプリケーション/ SYSVOL（DFS）健康状態

• DC間の レプリケーション遅延/エラー や SYSVOL/DFS不達は、GPO適用失敗（1030/1058）を誘発します。
• %LOGONSERVER%で接続先DCを確認し、dcdiag と Directory Service / DFS Replication ログで健全性を評価します。

確認コマンド

まとめ

以上となります。
上記を修正するだけで、朝のログイン待ち時間や「落ちる」現象は軽減できる可能性があります。
まずは5分診断でご自身の端末とDCの状況を確認し、事実ベースで切り分けてください。
自分で確認できれば納得感が生まれ、高価なPCを求めたり、起動が遅いなどと、担当者へ漠然と伝える場面も減り、お互いに良いのではないでしょうか。
この小さな整備の積み重ねが、仕事始めをスムーズに、より気持ちよくします。

参考URL（Microsoft公式)

切り分け（イベントID）

• 4768 — A Kerberos authentication ticket (TGT) was requested
• 4771 — Kerberos pre-authentication failed
• 4776 — The computer attempted to validate credentials (NTLM)
• 4625 — An account failed to log on

DNS（DC検出/SRV・クライアント設定）

• Best practices for DNS client settings
• Best practices for DNS client settings
• Locating domain controllers in Windows（DC Locator）

時刻同期（Kerberos スキュー/±5分）

• Windows Time Service — Technical reference
• Security policy: Network security: Maximum tolerance for computer clock synchronization

単一DCの限界／サイト&サブネット

• Understanding Active Directory site topology
• Active Directory Domain Services overview（DC 冗長化の前提）

GPO（処理順／トラブルシュート）

• Group Policy processing for Windows（LSDOU/リンク順/ループバック）
• Applying Group Policy troubleshooting guidance（イベント 1030/1058 等）
• gpresult（RSoP レポート出力）

LSA（lsass.exe）/ DC 性能

• Troubleshoot high Lsass.exe CPU utilization

レプリケーション / SYSVOL（DFS）

• DFSR SYSVOL fails to migrate or replicate

5分診断（コマンド リファレンス）

• nltest（接続先 DC の確認など）
• dcdiag（DC ヘルスチェック）