none
原因不明のシャットダウンの調査について RRS feed

  • 質問

  • 先日、顧客先で原因不明でサーバが起動しな障害が発生しました。

    運用形態としては、毎日0:00にパワーチュートのスケジュールを使ってサーバをリブートする(稼動しているシステムが推奨しているので)。

    顧客側からはサーバを再起動するまで使用できなかったはずですが、起動後のイベントログには使えない時間のログが以下のように残されています。

    【エラーログを抜粋】

    なお、固有のコンピュータ名は端末名、ドメイン名はAと変更してあります。

    【1:08】
    タイム プロバイダ NtpClient: ドメイン コントローラ 端末名.A.local へのアクセスを 8 回試行し ましたが、有効な応答が得られませんでした。このドメイン コントローラは、タイム ソースとしては破棄され、NtpClient は同期先となる新しいドメイン コントローラの 発見を開始します。

    【1:08】
    1 つまたは複数のタイム ソースから時間を取得するようにタイム プロバイダ NtpClient は 構成されていますが、どのソースも現在アクセスすることはできません。 ソースへのアクセスの試行は、あと 15 分間実行されません。NtpClient が正しい時間を 参照できるソースがありません。

    【1:23】
    タイム ソースとして使うドメイン コントローラを見つけることができません でした。30 分後に再試行します。

    【1:54】
    タイム ソースとして使うドメイン コントローラを見つけることができません でした。60 分後に再試行します。

    【2:54】
    タイム ソースとして使うドメイン コントローラを見つけることができません でした。120 分後に再試行します。

    【4:54】
    タイム ソースとして使うドメイン コントローラを見つけることができません でした。240 分後に再試行します。

    【8:23】
    次の理由のためドメインA のドメイン コントローラは利用できません:
    現在、ログオン要求を処理できるログオン サーバーはありません。 。
    コンピュータがネットワークに接続されていることを確認し 再実行してください。問題が解決されない場合はドメイン管理者に問い合わせてください。

    上記、ログが出力されている間のサーバはいったいどのようになっているのでしょうか?

    原因不明の起動しなかったことと関係があるのでしょうか?

    よく似た事象を経験された方や、お聞きになったことがある方が見えましたらアドバイスをお願いします。

    2010年10月26日 4:17

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    すみません、状況がよく分からないのですが。。。

    > 「顧客側からはサーバを再起動するまで使用できなかったはずですが、起動後のイベントログには使えない時間のログが以下のように残されています。」

    使用出来なかったとはどのような状況でしょうか?
    サーバーは稼働していたがリモートでのアクセスが出来なかったという事であれば、何らかのネットワークトラブルが発生していた可能性などが考えられると思われます。
    (断言はできませんが、記載いただいたイベントも、ネットワーク関連のトラブルが推測できる内容です)


    また、"起動しなかった" とは、電源が入らなかったという事でしょうか?
    急に電源が落ちた・電源が入らない等のハード関連のトラブルであれば、OS 上のイベントにはログが残らない場合が多いと思いますので、残された情報からの調査は難しいかもしれません。


    記載いただいた内容だけで推測しますと、電源管理のアプリケーションで定期的にシャットダウン、もしくは再起動を行っているはずなのに、シャットダウンされずにそのまま稼働していた状況のように見受けられます。
    (ただし、リモートでのアクセスは出来なかった)

    サードパーティ製のアプリケーションを使用されているようですので(PowerChute でしょうか?)、可能であれば、そのアプリケーションのベンダー等へお問い合わせいただいた方が良いかもしれませんね。


    少し余計な事かもしれませんが、、、
    フォーラムを参照されている方々は、質問者さんの環境や状況を確認する事が出来ませんので、質問者さんに記載いただいた内容が唯一の情報となります。
    もし、追加のご質問がある場合には、もう少し状況を整理いただいた上でご質問を続けていただければと思います。
    (ただし、上述いたしました通り、ハード関連のトラブルなど残された情報が少ない場合は、具体的なアドバイスをいただく事が難しい場合もあります)


    それでは、少しでも Hitpoint さんのお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年10月29日 2:47
    モデレータ
  • 三沢様、ご回答とご指摘をありがとうございます。

    イベントログを改めて精査していたところ、該当の時間帯に立て続けに3回も(サーバー LDAP/S0001 に対するダウングレード アタックの試みを 検出しました。認証プロトコル Kerberos からのエラー コードは "現在、ログオン要求を処理できるログオン サーバーはありません。(0xc000005e)" でした。)出力されておりました。

    その後、System Error(エラー コード 1000008e、パラメータ1 c0000005、パラメータ2 809294a0, パラメータ3 f4acd650、パラメータ4 00000000)が出力されており、よくよく調べてみると約1年前から1日に1回出力されているようです。

    この辺りが今回の原因不明のシャットダウンとなんらかの関係があるのでしょうか?

    2010年10月29日 5:22