どんなお問い合わせが多い?

  • Article

こんにちは。そして、はじめまして。

Network & Active Directory 担当チームにて、前回の記事を担当しました 正木 と共にリーダーを務めています、三浦です。

リーダーということもあり、たま~に、どのようなお問い合わせを普段対応しているのですか ? というような質問を受けることがあります。今回は、お問い合わせが多いエリア (主にトラブル シューティング系) について、ざっくりと 5 つご紹介します。その上で、私たちから切り分けで無効にすることをお願いさせていただくことがある SNP (Scalable Networking Pack) という機能について、トラブル シューティングという観点から簡単にご紹介します。

では、早速。

1. ドメイン ログオン / ドメイン参加

ドメインへのログオンに時間がかかる、ログオンに失敗する、あるいはドメインの参加ができないなどのお問い合わせです。このような問題が発生した時には、 IP アドレスが取得できているか、 DNS への通信ができるのかなど、基本的なネットワークのトラブルシューティングと併せて、問題が発生している端末のイベント ビューアーを開き、システム イベントログに Netlogon のエラーなどが記録されていないか確認します。また、問題が発生している範囲、発生契機などを明らかにすることも重要です。私たちにお問い合わせいただきました際には、まず現象の発生状況を確認するために、前述のイベントログなどの情報を含む診断ログ、現象発生時の netlogon.log やネットワーク パケット データなどを解析させていただき、原因調査を実施しています。なお、Windows 7 におけるドメイン参加については、前回ご紹介させていただきましたので、まだご覧になっていない方は、是非ご参照ください。

2. グループ ポリシー

Active Directory を使用するメリットとして、グループ ポリシーを使用して、クライアント端末を管理する / 設定を配布することができるということが挙げられます。管理者が作成したグループ ポリシーが正常に適用されるためには、DNS を使用した名前解決が正常にできていること、ドメイン コントローラから認証されていること、そしてもちろん、ネットワーク通信が正常にできていることが必須です。グループ ポリシーの適用に失敗するというお問い合わせについては、多く寄せられるのですが、ドメイン ログオンのトラブルと同様、様々なログからどこに問題があるか調査を進めます。
グループ ポリシーについてのトラブルシューティングは、先日の 「Active Directory 10 周年イベント」 で使用しました PPT を元とした情報を本ブログに掲載することも予定しておりますので、お楽しみに!

3. ドメイン コントローラーの問題

ドメイン コントローラー (DC) は Active Directory のデータベースを持ち、クライアントからの認証要求、 LDAP 検索要求に応える役割を持ちます。DC に障害が発生すると、クライアントがドメインにログオンができなくなったり、認証を必要とするサーバーへのアクセスができなくなったりなど、業務に大きな影響を与えます。そのため、 DC は、複数台用意することを強くお勧めしています。代表的なお問い合わせとしては、DC の負荷が著しく高くなり、クライアントからのログオンに影響を与えている、あるいは、ある DC で作成したオブジェクトが別の DC に複製されない、などがあります。このような問題に対して調査を行う際には、 DC 上でパフォーマンス ログを採取し、どのプロセスが DC に負荷をかけているのか特定する、repadmin /showrepl というコマンドを実行して、複製が失敗している理由に関して確認する、あるいはパケット採取して通信の内容を解析する、などを行います。

4. PKI (証明書)

最近、 WEB サーバーの SSL 接続だけでなく、Windows 上で動作する各サービスでも証明書を使用することが一般的になってきました。例えば、 OS 標準のファイル暗号化機能である EFS でも使用されていますし、 IPSec 通信、主に企業内での Wireless 通信で使用される IEEE802.1x 認証などの他、 Windows 7 における新機能である Branch Cache や Direct Access などでも使用されています。
そのため、企業内で証明機関 (CA) を Windows で構築されているお客様も増加しており、証明書の発行がうまくいかない、証明書の失効確認に失敗してサービス / アプリケーションに問題が発生する、などの運用上でのご質問や、CA の構築手順、そもそもどのように動作するのかという仕組みについてのお問い合わせを多くいただいています。PKI の考え方については、なかなかわかりにくいと感じる方も多く、誤解もあったりするのですが、以前の記事である PKI とは? にてその概要を説明しておりますので是非ご参照ください。

5. ファイル共有

Windows のファイル共有サービスは、 SMB (CIFS) と呼ばれるプロトコルを使用しています。ファイル共有と言うと、 Word や Excel などのドキュメントをファイル サーバーに格納して、皆で使用するという共有が、まず思い浮かぶかもしれませんが、それだけでなく、SQL データベースなどをネットワークを介してバックアップするときにも使用されますし、Active Directory 環境であれば、グループ ポリシーのダウンロード処理にも使用されます。具体的には、どのようなトラブルが多いかというと、やはり、ファイルを開くのに時間がかかる、ファイルをコピー (バックアップ) 中にエラーが発生するなどです。これらのトラブルシューティングには、現象発生時、未発生時 (あれば) のパケットが、役に立ちます。いつか機会がありましたら、具体的なトラブル シューティング ステップについてもご紹介したいと思います。

以上、(私たちの担当範囲はもっとずっと広いのですが) お問い合わせが多い分野について 5 点挙げました。共通して言えますが、これらの問題は、ネットワーク通信の障害に起因して発生する可能性があります。したがって、どのような問題が発生した場合でも Ping による疎通確認など基本的なネットワーク トラブルシューティングは必須となります。ここでネットワークに関してのトラブルシューティングをおこなう上でも、是非、知っておいていただきたい機能がありますので、紹介します。SNP (Scalable Networking Pack) です。

SNP (Scalable Networking Pack) とは ?

SNP は、 TCP に関しての処理を NIC に任せようという Windows Server 2003 SP2 以降の新機能です。すごく残念なことですが、この SNP の機能が影響して、予期しないネットワークの問題が発生することが数多く確認できています。そのため、ネットワークに問題があるということでお問い合わせいただいたときには、まず SNP の機能を無効化することでの切り分けをお願いさせていただく事も多くあります。
SNP は、ハードウェアの様々な機能を利用することにより、TCP に関する処理をホスト コンピューターの CPU から NIC およびシステム全体へと分散し、コンピューターとしての全体的なパフォーマンスの向上を期待するという機能です。しかし、いまだ、テクノロジーとして完全に成熟しきっていない部分もあり、特に、ハードウェアとソフトウェアが連携する部分において、完全な安定性は得られていないのが現状です。
幸い、既知のバグの修正も進んでおり、細かい点の改良の結果、Windows Server 2008 以降では SNP が原因として考えられる状況は、減少してきています。

SNP が原因で引き起こされる問題とは?

SNP が影響して問題が発生する場合、設定上は問題が無いのにも関わらず、不意に TCP リセットが送信される、急に応答をしなくなるなど、発生頻度もまちまちで、発生条件もわかりにくい事象となります。今回お問い合わせが多い分野として挙げているいずれの問題でも SNP が影響して問題が発生したことが確認できています。そのため、効率的に調査を進めるためにも SNP が有効な環境で、なにか不可解な挙動がある場合には、まず SNP を無効化して切り分けを実施していただきますことを、サポートチームとしては強くお勧めしています。 特に Windows Server 2003 を使用しているときに SP2 の適用により、ネットワークに関連するようなトラブルが発生するようになったといった場合には、まず SNP を疑うのが定石となります。

なお、 SNP の有効化により効果が期待できるような環境は、10 GbE の NIC などを搭載し、数 Gbps 程度の通信を頻繁に行うような環境となりますので、 SNP を無効化することでパフォーマンスが低下するということは通常の運用環境ではありません。

SNP とは関係ありませんが、 Windows Vista 以降では、 TCP の Window サイズを自動調整する TCP Windows サイズの Auto Tuning 機能が搭載されています。この機能も効率的にパケットの送受信ができるように、一度に送信できるサイズを環境、使用状況によって自動的に変更するというものです。しかし、古いネットワーク機器によっては、この Auto Tuning 機能が仇となって、かえってパフォーマンスがダウンするという事象が発生することもあります。SNP 共々、世の中で広く使われているものについてパフォーマンスの最適化をおこなおうとすると難しいなぁとこの事でも思います。

SNP のより詳細な情報は次回をお楽しみに!

簡単にどのようなお問い合わせが多いのかについてと SNP という機能についてほんの少しだけご紹介いたしましたが、次回は、この SNP 機能の詳細について情報をアップロードしますので、こちらもお楽しみに。

では。