locked
ある日突然、Windows7クライアントPCが、DNSサーバーやActiveDirectoryからのクエリレスポンスを無視するようになりました RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    今まで2年以上正常に動作していたWindows7のクライアントPCが、ある時期から突然、DNSサーバーやActiveDirectoryからのクエリレスポンスを無視するようになりました。

    「急にメール等の社内システムが動作しなくなった」とエンドユーザーからの問合せがあり、送受信パケットの内容を確認しました。

    すると、クライアントPCからDNSやkerberosのクエリーを、DNSサーバーやActiveDirectoryに対して送信していて、

    宛先のサーバーからクエリーに対する回答のレスポンスパケットが送られてきています。

    ですが、なぜかクライアントPCではそのパケットを無視して、何度もクエリーを送り、クエリーは解決できなかった結果になります。

    例えば、nslookupを実行すると、名前解決クエリレスポンスをDNSサーバーから受信しているのに、

    表示されるコマンドの結果は「DNS request timed out.」なのです。

    これはnslookupの再試行の回数や待ち時間の設定を変更しても変わりません。

    こちらで調査した結果、UDPパケットのMTU値や応答待ち時間の問題はありませんでした。

    社内には数千台のクライアントPCがありますが、大別するとWindowsXPのVPN接続と、STATICのIPのLAN接続、

    Windows7のVPN接続とSTATICのIPのLAN接続になります。

    この内、この現象の発生を確認しているのは、Windows7のVPN接続のPCのみです。

    発生状態は、常時ではなく、起動毎に発生したり、しなかったりします。

    Windows7のVPN接続のPCでもこの現象が発生しないPCもありますが、かなりの数のPCで発生を繰り返しています。

    今までに以下の内容を確認又は実行しましたが、改善には至っていません。

    ・DNSキャッシュリゾルバのリフレッシュ

    ・アダプタとバインドの接続順番やインターフェースメトリックの数値の確認(問題なし)

    ・TCPのSNP設定をDisableに変更

    ・ネットワークのルートテーブルの確認(問題なし)

    何が理由でクエリレスポンスを無視するようになったのでしょうか?これ以上調査方法も判りません。

    ご教授下さい。

    2015年2月24日 8:25

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、たとえば、アンチウイルスソフト(普通の企業PCなら入っていると思います)のパーソナルFW設定等で問題がないでしょうか?問題の切り分けが困難な場合、複合的に動作するアプリケーションを止めることで、できるだけ単純化すると、原因が絞り込めることがあります。

    それと、これは重大なことですが、この件はおそらく切り分けにそれなりの手間と時間、あわせて直接システム要件をかくにんしないと解決しないケースとお見受けします。こういった無償掲示板で対応するには無理がありますので、MS有償サポートに支援を依頼されたほうがよいでしょう。ということで、そちらをあわせてお奨めしておきます。

    http://www.microsoft.com/ja-jp/services/professional.aspx

    • 回答の候補に設定 佐伯玲 2015年2月26日 1:01
    • 回答としてマーク 佐伯玲 2015年3月2日 4:02
    2015年2月24日 9:30
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    アンチウイルスソフトのたとえですが、いいたかったことは「最小構成のソフトウェア(セーフモード+ネットワーク等)」で動作させて問題の有無を確かめ、切り分けを行うことです。この状況で問題が再現すればWindowsあるいはネットワークコンポーネントのせいですし、問題が消失すればその他のソフトウェアが影響を与えている、と切り分けできます。

    その他、「問題が発生する直前に行った設定変更(更新プログラムのインストールやそふとうぇあ・ネットワーク機器の設定変更など)」が影響を与えていないかの確認、といった別の観点の切り口もあるでしょう。ご自身でのトラブルシュートが必要であれば、この方針について、ご自身で考えていただく必要があります。しかしこれは難しいことなので、有償サポートのような「プロフェッショナル」に依頼してください、という意味もあります。

    申し訳ないのですが、ご自身が考える必要があることを「コミュニティが肩代わりする」ことはできません。ご了承ください。


    2015年2月24日 22:55

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    過去に似たようなお話に答えたことがあります。以下の過去ログの状況に当てはまっていないか、ご覧になってみてください。

    https://social.technet.microsoft.com/Forums/windowsserver/ja-JP/6809f680-28c2-4ff1-93cd-0b6db60e4828/dns?forum=activedirectoryja

    2015年2月24日 8:53
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様、ご回答ありがとうございます。

    ご指摘のページを確認しましたが、当てはまっておりませんでした。

    調査時に、こちらの代替DNSについての類似記事を確認していますが、該当ではありませんでした。

    こちらの環境は、ActiveDirectory兼DNSサーバーが2台あり、クライアントで其々プライマリとセカンダリのDNSに登録しています。

    2015年2月24日 9:12
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、たとえば、アンチウイルスソフト(普通の企業PCなら入っていると思います)のパーソナルFW設定等で問題がないでしょうか?問題の切り分けが困難な場合、複合的に動作するアプリケーションを止めることで、できるだけ単純化すると、原因が絞り込めることがあります。

    それと、これは重大なことですが、この件はおそらく切り分けにそれなりの手間と時間、あわせて直接システム要件をかくにんしないと解決しないケースとお見受けします。こういった無償掲示板で対応するには無理がありますので、MS有償サポートに支援を依頼されたほうがよいでしょう。ということで、そちらをあわせてお奨めしておきます。

    http://www.microsoft.com/ja-jp/services/professional.aspx

    • 回答の候補に設定 佐伯玲 2015年2月26日 1:01
    • 回答としてマーク 佐伯玲 2015年3月2日 4:02
    2015年2月24日 9:30
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様、早速の回答ありがとうございます。

    アンチウィルスソフトは全クライアントPCでインストールされていますが、パーソナルファイアウォールは設定されてありません。

    有償サポートの申し込みは、社内で相談してみます。

    やはり自力で解決は厳しいのでしょうかね・・・

    2015年2月24日 9:56
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    アンチウイルスソフトのたとえですが、いいたかったことは「最小構成のソフトウェア(セーフモード+ネットワーク等)」で動作させて問題の有無を確かめ、切り分けを行うことです。この状況で問題が再現すればWindowsあるいはネットワークコンポーネントのせいですし、問題が消失すればその他のソフトウェアが影響を与えている、と切り分けできます。

    その他、「問題が発生する直前に行った設定変更(更新プログラムのインストールやそふとうぇあ・ネットワーク機器の設定変更など)」が影響を与えていないかの確認、といった別の観点の切り口もあるでしょう。ご自身でのトラブルシュートが必要であれば、この方針について、ご自身で考えていただく必要があります。しかしこれは難しいことなので、有償サポートのような「プロフェッショナル」に依頼してください、という意味もあります。

    申し訳ないのですが、ご自身が考える必要があることを「コミュニティが肩代わりする」ことはできません。ご了承ください。


    2015年2月24日 22:55
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、yoshizawa kazumi さん
    フォーラムオペレータの佐伯 玲 です。

    ご質問についてチャブーンさんから回答が得られていると思いましたので私のほうから「回答としてマーク」とさせていただきました。
    またyoshizawa kazumiさんの返信後にもチャブーンさんから返信いただけているのでそちらもご覧くださいね。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2015年3月2日 4:02
  • Question
    サインインして投票
    0
    サインインして投票

    アドバイスありがとうございます。返答が遅くなりました事、申し訳ありませんでした。

    最後のチャブーンさんのアドバイスで、もう一度障害調査の基本に戻って、一つ一つ切り分けていこうと思い直しました。

    「クエリレスポンスを受信しているが破棄」という事象から、「パケットのMTU値や応答時間の問題、DNSの設定の他に破棄する理由は何か?」とハマッてしまい、ついネットワークコンポーネントにフォーカスして調査を行っていました。

    原因はネットワークコンポーネントに限らず、ソフトウェア構成である可能性もあるわけですね。

    その他にもAD/DNSサーバーとクライアントPC間で、スイッチの入れ替えによるネットワーク経路の変更があった事も、調査中です。

    更に、障害が発生する数日前に、497日問題対応でKB2688338をAD/DNSサーバーに実行していることも関係有るのかと調査しています。

    また調査の結果進展がありましたら、ご相談させて下さい。よろしくお願いします。

    2015年3月4日 5:28