none
eventcreateコマンド実行時の通信(仕様)について RRS feed

  • 質問

  • 以下の問題事象、調査結果から、以下に質問をさせていただきます。
    ご存知の方いらっしゃいましたら、恐れ入りますがご教示願います。

    質問1:eventcreateコマンドは、指定したIPアドレス(/S オプション)に直接接続せず、DNSサーバへ名前解決しに行くことは、Windowsの仕様なのでしょうか。

    質問2:上記パターン以外にeventcreaateで時間が掛かることはあるのでしょうか?(NW障害等の問題は除外します)

    質問3:DNSサーバに要求しないで、サーバのイベントログにログを出力させる方法はございませんか?
         現行コマンド:eventcreate.exe /S 192.168.124.133 /T ERROR /ID 1 /L APPLICATION /u ***** /p ***** /SO "test" /D "test"


    ■問題事象:
    サーバのイベントログに、端末からeventcreateコマンドを利用してログを出力したところ、
    コマンド実行からイベントログへの書込みまでに約40秒以上掛かりました。

    ■調査内容/結果:
    通信パケットを調査したところ、
    DNSサーバに対し、イベントログ出力先サーバのIPアドレスから名前解決するための通信(dns)が発生していることが分かりました。

    調査を引き続き実施したところ、以下のパターンで書込みに時間が掛かることが判明しました。
    ・DNSサーバが停止
    ・DNSサーバの逆引き参照ゾーンにリモート先サーバのIPアドレスが未登録
      ⇒ DNSサーバからは「Server failure」の応答が返却されますが、端末側は要求し続けています。

    なお、以下の環境にて調査を実施しました。

    ●端末
     ・Windows7 Professional SP1 32bit
     ・ネットワーク接続に「DNSサーバのIPアドレスを設定」
     ・hostsファイルには、イベントログ出力先サーバのIPアドレス(192.168.124.133)は設定していない(未設定)。
     ・IPアドレスは「192.168.125.162」
     ・「192.168.124.XX」とはルーティング設定している

    ●DNSサーバ
     ・Windows2008 R2 Standartd
     ・DNSマネージャには、イベントログ出力先サーバ(192.168.124.133)を登録していない。(存在しない)
     ・IPアドレスは「192.168.125.84」
     ・「192.168.124.XX」とはルーティング設定している

    ●イベントログ出力先サーバ
     ・Windows2012 R2 Standard
     ・IPアドレスは「192.168.124.133」(上記機器とセグメントが異なる)
     ・「192.168.125.XX」とはルーティング設定している


    - 以上 -

    2016年9月7日 9:38

回答

  • チャブーンです。

    この件なのですが、eventcreate コマンドを実行しているクライアント?マシンは、「ドメイン参加」しているのでしょうか?

    eventcreate コマンドとは無関係に、ドメイン参加しているクライアントは他サーバへの接続時には「Kerberos認証」で接続を試行します。この際、接続先をIPアドレスで指定すると、逆引きでホスト名(FQDN)を得たうえ、これを基にKerberos認証を行う動作をするのだと思います。

    上記の想定(ドメイン参加している)が正しければ、IPアドレスのままではKerberos認証はできないため、Windowsの仕様上こうなっているという理解です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年9月9日 2:38
    • 回答としてマーク Tak1234567890 2016年9月26日 5:18
    2016年9月8日 2:22

すべての返信

  • チャブーンです。

    この件なのですが、eventcreate コマンドを実行しているクライアント?マシンは、「ドメイン参加」しているのでしょうか?

    eventcreate コマンドとは無関係に、ドメイン参加しているクライアントは他サーバへの接続時には「Kerberos認証」で接続を試行します。この際、接続先をIPアドレスで指定すると、逆引きでホスト名(FQDN)を得たうえ、これを基にKerberos認証を行う動作をするのだと思います。

    上記の想定(ドメイン参加している)が正しければ、IPアドレスのままではKerberos認証はできないため、Windowsの仕様上こうなっているという理解です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年9月9日 2:38
    • 回答としてマーク Tak1234567890 2016年9月26日 5:18
    2016年9月8日 2:22
  • チャブーンさん。

    詳細なご説明ありがとうございます。

    現在調査している環境が準備できないため、

    説明頂きました内容が一致しているかは確認ができ次第

    追って返信させていただきます。

    2016年9月8日 11:29
  • 調査環境が用意でき確認したところ、
    ドメイン参加有無にかかわらず、
    同事象は発生しました。

    ご回答いただいた内容は、
    ドメイン参加という事でしたが、
    ドメイン参加していなくても、
    eventcreateの仕様上「Kerberos認証」が実装されてしまう認識で良いのでしょうか。
    # IPアドレスのままではKerberos認証はできないため、Windowsの仕様上こうなっているという理解です。

    ご存知の方いらっしゃいましたら、恐れ入りますがご教示願います。
    2016年9月26日 5:24