none
ActiveDirectory(win2016)とドメインクライアント間のldap及びkerberosの通信間隔について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。

    ドメイン環境下において、クライアントからDNSサーバに対して、

    ldap及びkerberosに関連する問い合わせは、どのようなタイミングで実行されるのかご教授頂ければと存じます。

    ■経緯

    現在、DNSサーバ機能を有したADサーバのリプレイスを実施しております。(旧:2008R2 → 新:2016)

    旧ADサーバを降格させる前に、ドメイン配下のサーバ及びクライアントの参照先DNSを切り替える予定ですが

    この作業対象の機器に漏れがないかを確認したいと考えています。

    そこで、旧ADサーバの降格前に、旧ADサーバ上でDNSデバッグログを有効にすることで、

    DNS参照履歴をログとして取得し、旧AD同期サーバに対して名前解決しに行っている機器がなくなることを確認しようと考えました。

    実際に、検証環境のADサーバでDNSデバッグログを有効にしてみたところ、以下のログが10分サイクルぐらいで記録されました。

    -----

    ログを削除


    ドメインコントローラで提供されているサービス(ldapやkerberos)をクライアント側で利用する際に上記のログが記録される認識ですが、

    クライアントがドメインアカウントでログオン状態であれば、ldapやkerberos通信によるDNS問い合わせは定期的に実行されるものなのでしょうか?

    また、上記の問い合わせが仕様であるなら、ldapやkerberosそれぞれの通信間隔は10分なのでしょうか?

    それとも、どこかで制御されているのでしょうか?



    2019年9月25日 11:04
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、まず私が知る限りですが、「Active Directoryのクライアント認証が10分ごとに行われている」という話しは聞いたことがありません。その意味でまず、

    ドメインコントローラで提供されているサービス(ldapやkerberos)をクライアント側で利用する際に上記のログが記録される認識ですが、

    については、断定されないことをお奨めします。当たり前ですが、少なくともドメインコントローラー側で「ネットワークトレース」を行い、どこからどのようなアクセスがあるのか、確認しないと確かなことはいえないと思います。

    ムリに何かリクツを考えろ、ということであれば、SRVレコードの「TTL」が関係している可能性があります。SRVのTTL(Time To Live)は10分に設定されています。どこかの端末がSRVレコードをキャッシュした場合、10分経つとキャッシュが切れるので、何かの必要から再取得している可能性はあります。しかしそれが認証かどうかは、DNSデバッグログからは、わからないと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク HACHEnoISHI 2019年9月30日 5:01
    2019年9月27日 7:30
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。フォーラムオペレーターのFanです。

    フォーラムにご投稿くださいましてありがとうございます。


    ActiveDirectory(win2016)とドメインクライアント間のldap及びkerberosの通信間隔について

    ご存知の方おりましたら、ご意見を共有頂ければ本当に有難いです.

     

    どうぞよろしくお願いいたします。

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月27日 2:18
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、まず私が知る限りですが、「Active Directoryのクライアント認証が10分ごとに行われている」という話しは聞いたことがありません。その意味でまず、

    ドメインコントローラで提供されているサービス(ldapやkerberos)をクライアント側で利用する際に上記のログが記録される認識ですが、

    については、断定されないことをお奨めします。当たり前ですが、少なくともドメインコントローラー側で「ネットワークトレース」を行い、どこからどのようなアクセスがあるのか、確認しないと確かなことはいえないと思います。

    ムリに何かリクツを考えろ、ということであれば、SRVレコードの「TTL」が関係している可能性があります。SRVのTTL(Time To Live)は10分に設定されています。どこかの端末がSRVレコードをキャッシュした場合、10分経つとキャッシュが切れるので、何かの必要から再取得している可能性はあります。しかしそれが認証かどうかは、DNSデバッグログからは、わからないと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク HACHEnoISHI 2019年9月30日 5:01
    2019年9月27日 7:30
    |
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラムにご投稿くださいましてありがとうございます

    チャブーンさんから寄せられた投稿はお役に立ちましたか。

    参考になった投稿には「回答としてマーク」をご設定ください

    ご不明な点がございましたら、お気軽にお問い合わせください

     

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月30日 1:44
    |
    モデレータ