以下の問題事象、調査結果から、以下に質問をさせていただきます。
ご存知の方いらっしゃいましたら、恐れ入りますがご教示願います。
質問1:eventcreateコマンドは、指定したIPアドレス(/S オプション)に直接接続せず、DNSサーバへ名前解決しに行くことは、Windowsの仕様なのでしょうか。
質問2:上記パターン以外にeventcreaateで時間が掛かることはあるのでしょうか?(NW障害等の問題は除外します)
質問3:DNSサーバに要求しないで、サーバのイベントログにログを出力させる方法はございませんか?
現行コマンド:eventcreate.exe /S 192.168.124.133 /T ERROR /ID 1 /L APPLICATION /u ***** /p ***** /SO "test" /D "test"
■問題事象:
サーバのイベントログに、端末からeventcreateコマンドを利用してログを出力したところ、
コマンド実行からイベントログへの書込みまでに約40秒以上掛かりました。
■調査内容/結果:
通信パケットを調査したところ、
DNSサーバに対し、イベントログ出力先サーバのIPアドレスから名前解決するための通信(dns)が発生していることが分かりました。
調査を引き続き実施したところ、以下のパターンで書込みに時間が掛かることが判明しました。
・DNSサーバが停止
・DNSサーバの逆引き参照ゾーンにリモート先サーバのIPアドレスが未登録
⇒ DNSサーバからは「Server failure」の応答が返却されますが、端末側は要求し続けています。
なお、以下の環境にて調査を実施しました。
●端末
・Windows7 Professional SP1 32bit
・ネットワーク接続に「DNSサーバのIPアドレスを設定」
・hostsファイルには、イベントログ出力先サーバのIPアドレス(192.168.124.133)は設定していない(未設定)。
・IPアドレスは「192.168.125.162」
・「192.168.124.XX」とはルーティング設定している
●DNSサーバ
・Windows2008 R2 Standartd
・DNSマネージャには、イベントログ出力先サーバ(192.168.124.133)を登録していない。(存在しない)
・IPアドレスは「192.168.125.84」
・「192.168.124.XX」とはルーティング設定している
●イベントログ出力先サーバ
・Windows2012 R2 Standard
・IPアドレスは「192.168.124.133」(上記機器とセグメントが異なる)
・「192.168.125.XX」とはルーティング設定している
- 以上 -
