- PR -

DC2台構成なのに、マスタのDCがDownすると認証エラー

«前のページへ 1|2
投稿者投稿内容
NAO
ぬし
会議室デビュー日: 2001/10/24
投稿数: 1256
お住まい・勤務地: 神奈川のはずれから東京の下町
投稿日時: 2005-10-06 17:34
引用:

・また、メーカーでDC2台環境を作成したてテストした結果、同じProxy設定で
 DC1が落ちた場合にDC2のみで認証が行えたとのこと

これは

(1)メーカでまぁるさんと同じ環境でテスト環境を作成して実験してみたらOK

と言う意味なのか

(2)今問題が起きている環境をメーカで出荷時にテストしたらOKだった

のどちらですかね?

(1)ならばメーカにどの様に設定したか聞いてみると良いと思います。
(2)ならば納入時の情報をメーカからもらって、納入されてからいじった内容を思い出して書き出してみましょう。 


_________________
Inspired Ambitious
ISMS Assistant Auditor
dellgate
大ベテラン
会議室デビュー日: 2004/02/20
投稿数: 198
投稿日時: 2005-10-06 17:59
余計に混乱させてしまったのかもしれません。
だとしたら、すみませんでした。

引用:

まぁるさんの書き込み (2005-10-06 17:27) より:
すみません。複数DCをたてたことがないもので、情報といわれましても
どう説明すればいいのかわかってないです。

まずは理解しているところから。
・シングルドメイン、シングルフォレストで新規にドメイン作成。
・DC1の機能はDNS、FSMO、WINS、GC
・DC2の機能はDNS、WINS、GC
・ProxyサーバはNTLM認証を行う設定なので、ドメインに参加しています。
 NTLM認証を行うサーバとしてDC1,DC2のIPアドレスを設定。
・パケットを取得し認証が正常に行われてることを確認。
・Proxyサーバの設定はメーカーに確認してもらい間違いのないことを確認済み
・また、メーカーでDC2台環境を作成したてテストした結果、同じProxy設定で
 DC1が落ちた場合にDC2のみで認証が行えたとのこと

以上です。
他になにを情報として上げればよいでしょうか?

ご指摘の通り確かに
「1、はテストケース2の場合に認証を行えているため問題ないと考えております。 」
は早計ででした。DNSはインストールされていましたが、正常な動きをしているかは
確認できていません。


上記の追加情報からすると、DC1/2ともにDNSサーバということですから
 1.Proxyサーバの優先/代替DNSの設定不備
   ⇒ DC1しか登録されていないということは無いですか?

 ここに問題が無ければ、

 2.DC2のDNS構成の不備
   ⇒ DC2のDNSで名前解決はできますか?

というところを、切り分ける必要があるでしょう。
メーカーのテストでは、動作しているということですので、それらの設定と
うまくいかない環境の設定を比較できたら良いかもしれません。

実際に構築していなくても、作業に携わるにあたりどういった構成になって
いるのかはある程度確認されていると思うので、あらかじめその辺の情報も
記載していただければ良いのかと思います。
#上記に書かれているようなことですね。


[ メッセージ編集済み 編集者: dellgate 編集日時 2005-10-06 18:01 ]
まぁる
会議室デビュー日: 2004/10/04
投稿数: 8
投稿日時: 2005-10-12 14:20
皆様回答ありがとうございます。

メーカーにはProxyの設定ファイルを渡してあり、設定値に問題がないと確認を取っています。
メーカーのテスト環境DCの構成がこちらとは違うのかもしれないので、確認を取っているところです。

クライアントPCにWindowsNTを作りログインのテストを行ったところ、DC1が落ちると
ログインできなくなりましたので、BDCで認証が行えるようになっていないのでは
ないかと考えています。

Proxyサーバの設定にはどうやら問題がなさそうなので、DNSなど調べてみます。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-10-12 16:17
だいぶ遅くなっちゃいましたが、
結局どういう情報が示せればいいか、ってことについては、
DNSサーバに関する詳細な情報なわけです。
自身でDNSを確認する、って言ってるくらいだから、まあそれはいいとして、
回答する方としてもその辺の原因として怪しい箇所の情報貰って
回答一緒に考えて分かってすっきりしたいわけでして
というわけで、DNS関連の情報を詳細に書いてください。
dellgateさんから指摘のあった、Proxyが参照しているDNSにも答えてないみたいだし。

今ふと思ったんですが。
DC1を最初に構築、DC2を2番目に構築、ですよね?
DC2、ちゃんと追加ドメインコントローラとして構築しましたか?
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
まぁる
会議室デビュー日: 2004/10/04
投稿数: 8
投稿日時: 2005-10-13 09:16
DNSに関する詳細な情報と言われましてもどの情報を示せばいいのかよく
わからないのです。

dellgateさんの質問に対する回答
・Proxyサーバの参照しているDNSですが、DC1,DC2を参照しています。
それともうひとつ書き忘れていました。
DNSについてはProxyサーバにも立てています。
前方参照で外部のDNSを参照するためです。

・名前解決については別途確認します。
実は、DCサーバを構築し直し(検証内容とは関係なく機器の問題)する
ことになってしまったため名前解決などは確認が出来ない状況です。
また新たな環境で認証の確認から検証し直してみます。

Mattunさんの質問に対する回答
・DC1を最初に構築してDC2を追加のドメインコントローラとして構築
しています。





Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-10-13 10:38
引用:

DNSに関する詳細な情報と言われましてもどの情報を示せばいいのかよく
わからないのです。

サーバのオプションおよびゾーン情報のオプション、内容。
DNS管理ツールで確認できる項目を出来る限り挙げてください、ってことです。

現時点じゃ各DNSサーバにどんなゾーン情報がどんなオプションで構成されてるのか
全然書かれてないんで、DNS構成が全然分からないんです。
ActiveDirectoryDNSへの理解が低い状態だと、
トラブルシュートに必要な個所を効率よく抜粋するのは困難ですし、
こっちが指示するのも結構大変なので、全情報を書き出すつもりで書いてもらった方がありがたいです。

あと、
引用:

・Proxyサーバの参照しているDNSですが、DC1,DC2を参照しています。
それともうひとつ書き忘れていました。

については、この順番で参照してるんですよね?
DC1とDC2のDNS構成、比較してみましたか?
DC2のDNSゾーン情報自体に、ActiveDirectory利用のために必要なレコードがなければ
そりゃDCを参照しにいったりせずに認証失敗するでしょうし。


今後の流れとしては、下記を想定してます。自力で分かる部分があれば、随時試して
結果を載せてみてください。
1.DNS構成に不備があるか無いかの判断(提示されたDNS情報から判断)
2.1.に不備があるなら是正してから再検証
3.1.に不備が無いなら、ProxyにてDC1停止時にDC2への認証通信が発生してるか否かを
 ネットワークモニタなどを使って調べる
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)