- PR -

ActiveDirectoryサーバ起動時に時間がかかる

1
投稿者投稿内容
kou
常連さん
会議室デビュー日: 2005/03/03
投稿数: 21
お住まい・勤務地: 内緒だに
投稿日時: 2006-03-06 11:09
現在以下のような構成でActiveDirectoryのサーバを構築しているのですが、サーバ起動時に「ネットワークの接続を開始しています...」の状態で5分〜6分ほどかかってから起動するようになってしまいました。
イベントログを確認した所、関連があると思われるログが幾つか吐かれていましたが、それらを手掛かりに一通り調べたのですが今のところ原因が分からず困っております。

【サーバ構成】

■サーバ1
 OS:Windows Server 2003 STD (SP1)
 ActiveDirectory
 DNS (ActiveDirectory統合)
 証明機関 (エンタープライズのルートCA)
 
 IPアドレス:192.168.0.100/24
 DNS設定:127.0.0.1

■サーバ2
 OS:Windows Server 2003 STD (SP1)
 ActiveDirectory
 DNS (ActiveDirectory統合)
 証明機関 (エンタープライズの下位CA)

 IPアドレス:192.168.0.101/24
 DNS設定:192.168.0.100

【イベントログ】

■Event ID:91 (エラー)
Active Directoryに接続できませんでした。Active Directoryへのアクセスが必要なとき、証明書サービスにより再試行されます。

■Event ID:94 (警告)
証明書サービス XXX は Active Directory の構成コンテナの CN=NTAuthCertificates,CN=Public Key Services,CN=Services にある証明書ストアを開くことができません。

■Event ID:44 (エラー)
ポリシー モジュール "Windows 既定" 方法 "Initialize" はエラーを返しました。指定されたドメインがないか、またはアクセスできません。 返された状態コードは 0x8007054b (1355) です。証明機関を含んでいる Active Directory にアクセスできませんでした。


なおこの現象はサーバ1を起動する際には必ず再現します。
サーバ2についてはサーバ1が起動している場合は再現しませんが、サーバ1が起動していない場合は(当然DNSが見えていませんので)再現します。
これらのことからDNSの名前解決の問題を疑ってはいるのですが…。

以上、もし何かご存知の方がいらっしゃいましたら宜しくお願い致します。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-03-06 12:48
こんにちわ.
引用:

kouさんの書き込み (2006-03-06 11:09) より:

なおこの現象はサーバ1を起動する際には必ず再現します。
サーバ2についてはサーバ1が起動している場合は再現しませんが、サーバ1が起動していない場合は(当然DNSが見えていませんので)再現します。
これらのことからDNSの名前解決の問題を疑ってはいるのですが…。

直接の原因は自分にもわかりませんが,
サーバ2にも DNS を構成することで緩和されませんか?
少なくともサーバ2側の問題は緩和されるように思われます.
冗長構成という意味でも,その方がよろしいかと.
その上で,それぞれのサーバn の network の設定を
優先:localhost
代替:もう一つの Domain Controller
とすると,DNS の遅延起動時に状況が改善するかもしれません.

以上,ご参考までに.
kou
常連さん
会議室デビュー日: 2005/03/03
投稿数: 21
お住まい・勤務地: 内緒だに
投稿日時: 2006-03-06 13:33
kazさんこんにちは。

早速ご回答頂きましてありがとうございますm(_ _)m
たしかにご指摘の通りですね。早速以下の対処を実施したところ遅延は発生しなくなりました。またイベントログ上のエラー及び警告も消えています。

通常の運用ではこれで良いかと思いますが、あとはサーバ1単体で動作させた場合にまたどうしても発生してしまいますのでやはり原因は知っておきたいですね…。
(単にDNSサービスと他のサービスの起動順序の問題のような気がしますが。)
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-03-06 14:05
引用:

kouさんの書き込み (2006-03-06 13:33) より:

(単にDNSサービスと他のサービスの起動順序の問題のような気がしますが。)

ここでも論じられたことがありますが,
DNS の起動が遅延するために
「Active Directory に致命的な error が検知された」といった
eventlog が logging されたことがありました.
その際,DNS を Active Directory 統合ではなく,
通常 primary - 2ndary で運用したら error が全く生じなくなったことがあります.
この程度で「致命的な error」とやらが消えるとは到底思えませんが,
このことからも「Microsoft DNS には何らかの欠陥がある」ように感じています.

以上,ご参考までに.
1

スキルアップ/キャリアアップ(JOB@IT)