none
ActiveDirectoryサーバ への一時的な接続不可事象について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    みなさま、はじめましてこんにちは。

    標記について質問させてください。

    VM上のWindowServer2019に
    NTPの時刻同期、DNSサーバ兼としたADサーバを構築しました。
    (ワークグループ・ドメイン、ドメイン名も事前設定済み)

    その後クライアントのLinux1サーバからこのADサーバへ事前にDNS参照先として設定後(再起動含)にADサーバとしての有効化を行おうとした所、接続が不可となる状態に陥りました。
    その後何度かADとしての接続有効化を行った所、接続ができるようようになりました。
    (Linux1サーバはNTPの時刻同期は取れており、ADサーバとも時刻差はありません    )

    他同様にLinux2、Linux3と数台接続試行した所、即接続可能となりました。
    (linux1,2,3共に設定全て同様で差分なしです。)

    そこで質問です。

    ADサーバ構築後にクライアントが接続できるようになる条件(必要なプロセスの起動、待ち受ける際の待機時間など)は、
    何らか存在するのでしょうか?


    2020年6月14日 11:18
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、前提として「ドメインコントローラー再起動時にすぐに認証できない」ことを問題としています。

    ↑の「外部」とはどちらを指しますでしょうか?
    LAN内の他クライアントでしょうか?インターネット全般におけるゾーン情報としてでしょうか?

    詳細は割愛しますが、ドメインコントローラーは起動時に、自分自身のDNS情報にすぐアクセスできません。ですから複製パートナー等「自分以外のドメインコントローラーが持つActive Directory DNS情報」をまず確認し、利用可能ならこれを使用します。チェックというのはこの意味になります。

    再起動を伴わないドメインコントローラー利用中に問題が起こっているというのであれば、LDAPクライアント側の設定を確認してください。とくに参照先DNSの設定として、「ドメインコントローラーDNS」とそれ以外の「ISP・社内のDNS」を併記しているような場合、名前解決にほぼ失敗しますので、ドメインコントローラー側だけを参照してください。それでも直らない場合、認証関係のデーモン(krb5.conf)のサーバー参照先をIPではなくSRVレコードで動的に引かせる方法(dns_lookup_realmやdns_lookup_kdcの有効化)に変える、なども試してみてください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク zukkie777 2020年6月27日 7:51
    2020年6月23日 4:13
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、ドメインコントローラーは「外部からAxtive Directory DNS情報を引けているか」のチェックを行ってから起動しますので、完全に動作するには時間がかかります。Linuxのデーモンのように、再起動後すぐには発動しません。

    タイミングは環境次第なので、事前予測はできません。対象のドメインコントローラーにローカルログオンまたはRDPでログオンして、デスクトップが表示されたら(認証が正常に機能しているので)問題はありません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年6月16日 1:20
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様
    お返事ありがとうございます。

    ご回答の
    >ドメインコントローラーは「外部からAxtive Directory DNS情報を引けているか」のチェックを行ってから起動
    ↑の「外部」とはどちらを指しますでしょうか?
    LAN内の他クライアントでしょうか?インターネット全般におけるゾーン情報としてでしょうか?
    こちらで構築したドメインコントローラはLAN内に建てたサーバになります。

    それと
    >タイミングは環境次第なので、事前予測はできません。
    ↑の「環境」とは具体的に何を指しますでしょうか?

    ドメインコントローラへの接続成功までのタイミングと時間差分が結構大きいので(接続試行1回~10回,5分~60分)、
    何等か対処策がないかと考えました次第です。

    お手数ですが再度ご回答頂けないでしょうか?


    • 編集済み zukkie777 2020年6月17日 11:57
    2020年6月17日 11:48
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、前提として「ドメインコントローラー再起動時にすぐに認証できない」ことを問題としています。

    ↑の「外部」とはどちらを指しますでしょうか?
    LAN内の他クライアントでしょうか?インターネット全般におけるゾーン情報としてでしょうか?

    詳細は割愛しますが、ドメインコントローラーは起動時に、自分自身のDNS情報にすぐアクセスできません。ですから複製パートナー等「自分以外のドメインコントローラーが持つActive Directory DNS情報」をまず確認し、利用可能ならこれを使用します。チェックというのはこの意味になります。

    再起動を伴わないドメインコントローラー利用中に問題が起こっているというのであれば、LDAPクライアント側の設定を確認してください。とくに参照先DNSの設定として、「ドメインコントローラーDNS」とそれ以外の「ISP・社内のDNS」を併記しているような場合、名前解決にほぼ失敗しますので、ドメインコントローラー側だけを参照してください。それでも直らない場合、認証関係のデーモン(krb5.conf)のサーバー参照先をIPではなくSRVレコードで動的に引かせる方法(dns_lookup_realmやdns_lookup_kdcの有効化)に変える、なども試してみてください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク zukkie777 2020年6月27日 7:51
    2020年6月23日 4:13
    |
    モデレータ