ADドメイン参加PC上のChromeブラウザで特定のサイトが開けない

公開 | 更新 
図09.IPv6無効レジストリキーの設定

ADドメイン ネットワークに属するWindows PCが Chrome ブラウザの場合にのみ、ある特定の サイト を 開けない 不具合が発生。調べてゆくと IPv6 が関連することが分かったので、グループポリシーを使いクライアントPCのIPv6を無効化して解決しました。

Chromeブラウザだけ開けないサイト

Windows Server 2016をDCとした、小規模なActive Directoryネットワークに属しているWindows PCユーザから、香港Yahooの検索だけが使えないと言う、不思議な不具合が報告されました(米Yahooでも同様)。

ページトップのテキストボックスに何か入れて検索すると、

図01.香港Yahoo検索ボックス

図01.香港Yahoo検索ボックス

しばらくして ERR_TIMED_OUT という結果に。

図02.検索結果ページはタイムアウト

図02.検索結果ページはタイムアウト

この現象はChromeでのみ発生し、Firefoxやサーバ機に残っていたInternet Explorerでは問題なく利用することができます。

図03.Internet Explorerでは問題なし

図03.Internet Explorerでは問題なし

ヤフートップの検索ボックスは、この search.yahoo.com へ投げる仕組みになっており、Chromeではここがタイムアウトに終わっていました。

また、DOSプロンプトで名前解決を確認してみますが、こちらにも特に問題はありません。

 

その問題が解決できないまま数日後、今度は香港政府機関である公司註冊處のサイトがChromeで開けなくなりました。

図04.公司註冊處サイトも開けず

図04.公司註冊處サイトも開けず

これも発生条件は全く同じでChrome以外のブラウザでは問題はなく、更に言うと同じネットワーク内の非ドメイン参加デバイス(PCやスマートフォン)のChromeでは発生しません。

 

Chromeの内部DNSツールを使って名前解決を確認したり、キャッシュクリアも試してみるのですが、解消には至らず。

図05.ChromeのDNSツール

図05.ChromeのDNSツール

IPv6を無効にすると解消

ここでふとした思いつきで、ネットワークインターフェイスのIPv6プロトコルを無効にしてみると、

図06.インターフェイスのプロトコル設定

図06.インターフェイスのプロトコル設定

今までタイムアウトエラーしていたサイトが、いずれもChromeで開けるようになりました。

図06.インターフェイスのプロトコル設定

図06.インターフェイスのプロトコル設定

IPv6よりIPv4を優先させてみる

調べてみるとIPv6をひとまとめに無効にせずとも、IPv4の優先順位をIPv6よりも高く設定することで、同様の現象を回避できることがあるようなので、 netsh コマンドを使って試してみます(こちらの記事を参考させていただきました)。

まず、現在の優先順位を確認します。

現在の順位で3番手の IPv4-mapped IPv6アドレス がIPv4なので、これを1番上に昇格させたいのですが、それ以外の項目の順位も明示的に設定する必要があるので、実行するコマンドは以下のように。

再び優先順位を確認すると、 IPv4-mapped IPv6アドレス が最優先になっていました。

図08.netshでIPv4優先

図08.netshでIPv4優先

この状態で再びChromeで問題のサイトを開いてみるも、残念ながら相変わらずのエラーで正常に開けず。やはり優先順位ではなく、IPv6を無効にさせる必要がありそうです。

 

ちなみにこの優先順位はシステム再起動後も活きているので、デフォルトに戻したい場合は次のnetshコマンドで初期化の上、システム再起動が必要です。

 

レジストリでIPv6を無効にする

レジストリを変更してIPv6を無効にする手段が分かれば、それをグループポリシーでドメイン参加PCへ一括適用させることが可能になり、現場で一台一台PCを設定して回る手間が省けます。

IPv6を無効にするレジストリのパスとキーはこちら。

ここへ代入する値については、Microsoft Learnに詳しい解説があります(既定値は 0x00 有効)。

様々な値を試してみましたが、まず次の値ではIPv6アドレスがインターフェイスに付与されており、Chromeでの当該サイトアクセスはエラーでした。

一方、IPv4アドレスのみが付与され、Chromeでも問題無く当該ウェブサイトを開くことができたのは、こちらの2つの設定のみでした。

 

以上より、設定値 16 (10進数)にてレジストリキーを設定します。

図09.IPv6無効レジストリキーの設定

図09.IPv6無効レジストリキーの設定

システム再起動後、インターフェイスのIPv6はアクセスなしとなるも、プロトコル一覧のIPv6はチェックの入ったままになっており、この辺りは上述のMicrosoft Learnの記述通りです。

図10.IPv6アクセス無効化もプロトコル有効

図10.IPv6アクセス無効化もプロトコル有効

グループポリシーでレジストリ一括反映

設定するレジストリキーの詳細はわかったので、早速ドメインコントローラのグループポリシー管理コンソールを開いて、新規グループポリシーオブジェクトを作成します。

次にエディタを開き、 コンピュータの構成→基本設定→Windowsの設定→レジストリ

と辿り、以下の要領でレジストリキーの更新アクションを設定します。

図11.グループポリシーの作成

図11.グループポリシーの作成

そして作成したグループポリシーオブジェクトを、ユーザグループではなく、コンピュータグループへリンクさせれば、仕込みは完了です。

図12.グループポリシーをリンク

図12.グループポリシーをリンク

 

当該コンピュータグループに属するPC上では、DOSコマンドでグループポリシーの手動更新適用を実施の上、再起動するか、単にユーザへ「PCを2度、再起動して」とお願いしても結果は同じことでしょう。

 

created by Rinker
¥3,180 (2024/02/25 15:04:59時点 Amazon調べ-詳細)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA