Active Directory に関わる最大値とスケーラビリティ

みなさん、こんにちは、Windows プラットフォームサポートの高田です。 今回は、Active Directory における制限事項についてまとめさせていただきます。その他に存在する制限事項については、文末の参考文献もご覧いただければと思います。   オブジェクトが保持できるサイズの最大値 Active Directory には、内部的にオブジェクトが保持できるサイズの最大値として 8KB の上限値があります。通常、この上限値にの影響を受けることはございませんが、non-linked multi-value 属性を利用している場合、制限に抵触する場合があります。  まず、Active Directory のオブジェクトにどのように情報が入るかを簡単に説明しますと、各属性にはデータが直接入るわけではなく、各属性の実データに関連づけるデータ (ポインター) が入ります。オブジェクトにデータが格納されるたびに、各属性の実データに関連づくデータがレコードの中に格納されサイズを消費するイメージです。non-linked multi-value 属性をご利用の場合、実データが 1 ライン増える度に実データに関連づけるデータがレコードの中に格納されサイズを消費することになります。 しかし、これらの情報が合計して 8KB を超過するとそれ以上情報を追加できなくなります。この結果として、non-linked multi-value 属性に値を追加した際にエラーが生じます。また、仮に non-linked multi-value 属性でなくても、今までデータが未設定だった属性にデータを入れるような処理も失敗します。 non-linked multi-value 属性の場合、おおむね 8KB は 1200 件程度に相当します。このため、他の属性に割り当てる情報量も考慮すると、現実的な上限として、1200 件を超えないよう運用ください。 なお、Active Directory レコードには複製によって更新される属性の他に、内部的に保持・管理するデータが含まれるため、同一オブジェクトであっても各ドメインコントローラで保持されるレコードサイズは全ドメインコントローラで異なります。ただし、一般的には最大 1200 行程度までは追加する事ができるとご理解ください。 この動作については、以下の技術情報が参考になりますので、こちらをご参照いただければと思います。 How the Data Store Works<http://technet.microsoft.com/en-us/library/cc772829(v=ws.10).aspx> The practical limit of 800…


497 日以上連続稼動させたときに生じる問題について

こんにちは。Windows プラットフォームサポートの進藤です。   今回はシステムの連続稼動日数が 497 日を超えた場合に生じる問題 (サポート技術情報 2553549) について取り上げます。 この問題は、閉じた環境などで、システムの定期的な再起動を実施していない環境で条件 (497 日連続稼働) を満たした場合に TCP/IP ネットワーク通信ができなくなってしまう問題です。   * Windows Server 2008 R2 では、セキュリティ更新プログラム MS12-032 (KB 2688338) にこの問題に対する修正が含まれておりますが、Windows Server 2008 では、MS12-032 を適用していても個別に修正プログラムの適用が必要ですのでご注意ください。 ただし、セキュリティ更新プログラムを定期的に適用していれば再起動も必要となってきますので、その場合には連続稼働日数が 497 日を超過するという条件には合致しなくなりますので本障害は発生しません。 詳細はサポート技術情報にも記載されておりますが、改めまして問題の概要とその対処策を整理してお伝えいたします。   1. 問題の概要 各システムでは TCP 通信を開始する際に通信するためのポート番号が自動的に割り当てられ、使用されなくなると自動的にそのポート番号は開放されます。ポート番号の数は有限ですが、数多く用意されているため、一般的な利用方法において枯渇することはありません。 しかし、Windows Vista、Windows 7、Windows Server 2008 および Windows Server 2008 R2 では、OS の再起動を行わずにシステムの稼動日数が 497 日を経過すると、一部の TCP…


Office 365における文字の制限について

こんにちは。Windows プラットフォーム サポート担当の武田です。   Office 365 をご利用いただく上で、それぞのオブジェクトでは、利用できる文字数や文字の種類などの文字の制限がございます。 今回は、それらの制限に関しての公開情報について、まとめさせていただきました。 現時点では、以下の3つの制限事項が公開されておりますので、それぞれ関連する情報として、ご紹介させていただきます。   – ユーザー名作成時 – パスワード作成時 – ディレクトリ同期実行時   – ユーザー名作成時における文字の制限事項 文書番号: 2439357 Error message when you try to create a user name that contains a special character in Office 365: “Invalid user name” Office 365 で利用するユーザー名の作成時、使用できない発生する文字に関する記載があります。 http://support.microsoft.com/kb/2439357 * 現時点では日本語サイトは存在しておりません。   一括インポートで複数のユーザーを追加する Office 365 で利用するユーザーの作成時、各ユーザー データで入力可能な文字数に関する記載があります。 http://onlinehelp.microsoft.com/ja-jp/office365-smallbusinesses/ff652567.aspx…


RRAS の VPN 構成で内部インターフェースが利用不可で不明で操作不可???

今日は、 Windows Server のルーティングとリモート アクセス (RRAS) を VPN サーバーとして構築した際の、一見、不可解な表示についてご紹介いたします。RRAS を構築した直後、または RRAS を再起動した後に、 [内部] という名前のインターフェースが利用不可、不明、操作不可になっているのに気付いた方はいらっしゃいませんでしょうか。 「何か異常が発生しているのでは!?」と不安になる方もいらっしゃると思います。 実はこの [内部] というインターフェースは、 クライアントからの VPN 接続を示す仮想インターフェースです。そのため、 RRAS が開始されてからまだクライアントが 1 台も接続していない状態であれば、上の図のように利用不可、不明、操作不可と表示されます。 実際にクライアントが接続されると、下の図のように、クライアントに割り当てた IP アドレスが表示され、稼働中、接続の状態になります。 この動作は、 Windows Server 2003 から Windows Server 2012 のすべての RRAS の動作となりますので、もし、このような表示を見かけても異常なものではございませんので、ご安心ください。  


Windows Time サービスの ID 36 の警告。これって無視しても大丈夫ですか?

皆様、こんにちは。Windows プラットフォーム サポート担当の藤田です。 今回は、Windows Time サービスの警告イベント ID:36 についてご案内します。   ======================================================= [1] ID 36 の警告についての説明 ======================================================= システムログに以下のような イベントが記録されたことはありませんか? —– イベントの種類: 警告 イベントソース: W32Time イベント ID: 36 説明: 使用可能なタイムスタンプがタイム サービス プロバイダーによって提供されなかったため、タイム サービスは 86400 秒間、システム時刻を同期していません。タイムサービスは、タイム ソースと同期できるようになるまで、ローカルのシステム時刻を更新しません。ローカル システムがクライアントの時刻サーバーとして機能するように構成されている場合は、タイムソースとしてクライアントにアドバタイズすることを止めます。タイム サービスは継続してタイム ソースとの同期を試みます。詳細については、他の W32time イベントのシステム イベント ログを確認してください。’w32tm /resync’ を実行すると、時刻の同期を即座に強制実施できます。 —– 何か問題が発生しているのか、気になりますよね? この警告イベントは、主にイベントの記録対象となったクライアントが、同期先の NTP サーバーと最後に同期を行ってから 24 時間、同期が行われなかった際に記録されます。 実は、これだけでは問題が発生しているかどうかの判断ができず、無視してもいい場合とそうではない場合があります。 この記事では、無視しても良いか否か判断する方法をお伝えします。     ======================================================= [2]…


Spike 状態から抜けられない!?!?

皆様、こんにちは。Windows プラットフォーム サポート担当の藤田です。 今回は、Spike 状態についてご案内します。   システム ログに ID : 50 が記録された経験はありませんか? 下記のようなイベントですが、内容を確認すると、時刻同期が正常に行えているのか、それとも何か異常が発生しているのか、少し不安になってしまうと思います。 今回は、このイベント ID 50 がどのような場合に記録されるかについて、詳細を説明したいと思います。   ————————————————— ログの名前:        System ソース:          Microsoft-Windows-Time-Service 日付:           2013/04/01 15:33:55 イベント ID:      50 タスクのカテゴリ:     なし レベル:          警告 キーワード:        クラシック ユーザー:         N/A コンピュータ:       NTP2008R2domain.test12.com 説明: タイム サービスにより 900 秒間で 5000 ミリ秒を超える時間差が検出されました。時間差が発生した原因として、正確度の低いタイムソースと同期した、またはネットワークの状態が最適でなかったことが考えられます。タイム サービスは現在同期されておらず、他のクライアントへの時間の提供、またはシステムクロックの更新を行うことができません。タイム サービス プロバイダから有効なタイム スタンプが受信されると、タイム サービスは自動的に訂正されます。 —————————————————   このログは、Windows Time サービスの内部状態が “Spike” の状態から “Unset” の状態に遷移したことを示しています。 では、Spike 状態ってどんな状態?   まずは、w32time…


仮想マシンの通信速度遅延 – VMQ 無効化手順 –

Windows プラットフォームサポート担当の 米屋 (よねや) です。 すっかり春の陽気になって参りましたが、皆さんいかがお過ごしでしょうか。   近年では、企業ネットワーク内で仮想化プラットフォームが使用されることも一般的になってきましたが、弊社の提供している Hyper-V もおかげさまで好評で、多数のお客様に採用いただいております。 それに伴って私たち技術サポート部門宛にも、仮想環境上で発生した様々なトラブルに関するお問い合わせが寄せられる頻度が増えてきました。   その中でも最近特に多いのが、仮想マシンと外部のマシンの通信速度が大幅に遅延したり、期待するスループットが出ないというお問い合わせです。 原因は様々ですが、ホストマシンの NIC に設定されている仮想マシンキュー (VMQ: Virtual Machine Queue) の機能を無効化することで大幅に通信速度が上がったり問題の改善が見られたという報告が、多数寄せられております。   VMQ 自体は、Hyper-V の仮想スイッチの機能の一部を NIC にオフロードして、通信のパフォーマンスを向上することを目的とした機能ですが、一部のハードウェアの組み合わせにおいてはこの機能が期待通りに動作せず、逆にパフォーマンスが劣化してしまうことがあるようです。今回はこのVMQ の機能の無効化方法をご案内いたしますので、予期しない通信の遅延にお悩みの方は、是非一度、無効化することで現象に変化が見られるかをお試しいただければと思います。   ================================= VMQ の無効化手順 ================================= 1) ホストマシンに管理者権限でログオンし、コマンドプロンプトで ncpa.cpl と入力し、実行します。 2) “ネットワーク接続 “ ウィンドウが表示されますので、対象のアダプターを右クリックし、[プロパティ] を選択します。 3) [構成] をクリックします。 4) [詳細設定] のタブを選択します。 5) [プロパティ] の項目にて [Virtual Machine Queues] の項目を…


Windows Time サービスを使用した 時刻同期に必要なネットワーク通信について

皆様、こんにちは。Windows プラットフォーム サポート担当の藤田です。 今回は Windows Time サービスを使用した 時刻同期に必要なネットワーク通信についてご説明します。   Windows Time サービスを使用して時刻同期するためには、必ず UDP 123 番ポートを使用します。   通常、Windows Time サービスによる NTP プロトコルの時刻同期には、送信元ポート番号、宛先ポート番号の双方とも、UDP 123 番ポートを使用します。 よって、必ず Windows Time サービスが UDP 123 番ポート をバインドしなければなりません。   バインドできてるか否か確認する方法は以下の通りです。 WindowsTime サービスが起動しているにもかかわらず、あれ?と思ったら、以下のコマンドを実行して、確認してみてください。   netstat -aonb   // 実行結果の例 (こちらは、弊社の検証環境で確認した結果です。あくまでも参考としてご利用いただければと存じます。 //139 はPID を示しています。PID はプロセス起動毎に変更されますのでご留意いただければと存じます。   <IPv4> ————————————————————————— UDP   0.0.0.0:123           *:*                                   139 W32Time[svchost.exe] —————————————————————————   <IPv6> —————————————————————————…


SNP (Scalable Networking Pack) 機能に関する最新情報

こんにちは。 今日は、以前公開した下記の Blog 記事についての、最新の OS バージョンの情報をお伝えします。   予期せぬ挙動が!? 新機能 Scalable Networking Pack をご存知ですか? http://blogs.technet.com/b/jpntsblog/archive/2010/03/23/scalable-networking-pack.aspx   Windows 8 / Windows Server 2012 でも SNP の無効化の切り分けが有効な状況についての基本的な考え方については変わりはありません。 ただし、これらの OS バージョンでは、NetDMA の機能がサポートされなくなった他、既定値なども変更されています。 このため、SNP 機能に関する設定値の確認方法、既定値、無効化方法、有効化方法などを改めてご紹介します。   ======================================== Receive Side Scaling (RSS) ======================================== RSS 機能の既定値、および設定方法は、Windows Server 2008 R2 と同様です。 設定を行う際は、以下の netsh コマンドにて変更が可能となります。    // 既定値(有効) にします。 netsh int tcp set global rss=default…


絶対 step モードで時刻同期させたくない場合の設定方法について

皆様、こんにちは。Windows プラットフォーム サポート担当の藤田です。 今回は、絶対 step モードで時刻同期させたくない場合の設定方法についてご案内します。   まずは、前回のおさらいもかねて Slew モードについてちょこっと説明します。 Slew モードで時刻同期するためには以下の 2 つの条件を満たす必要がありましたよね。   条件 1. NTP Client と NTP Server の時刻の差がMaxAllowedPhaseOffset で設定されている時間より小さいこと。 条件 2. AbsoluteValueOfCurrentTimeOffset/PhaseCorrectRate/UpdateInterval < System Clock Rate/2 の不等式が満たされること。   これが満たされないと、Step モードになってしまいます。 データベースのように時刻が重要な意味を持つアプリケーションにおいては、Step モードで時刻同期が行われ、時刻が過去にさかのぼるような状況になると、システムの動作に異常が発生することが懸念されます。   そこで、時刻が遡る時刻同期が発生しないように設定するための設定例を下記にご案内いたします。 上記のように、特に時刻の情報が遡ることによる問題が懸念されるサーバー機等につきましては、下記の設定をご参考に、パラメーターの調整を頂ければと存じます。   必ず Slew モードで時刻を同期させる方法・・・は、残念ながら、ありません。 このため、「これ以上時刻が進んでいた場合は時刻同期の処理を行わないようにする閾値」を指定する、MaxNegPhaseCorrection のレジストリ値を調整することで、時刻が遡る時刻同期を発生させないようにすることが可能です。     【ドメインコントローラーの場合】 ドメインコントローラー上でデータベースが運用されているシナリオは稀ですが、ここではご紹介します。   設定対象のコンピューターがシングル プロセッサの場合 **************************************** レジストリキー…