ドメイン コントローラーにおける リモート ダイレクト メモリ アクセス (RDMA) の利用について

こんにちは、Windows プラット フォーム サポートです。

Windows Server 2012 では、SMB ダイレクトと呼ばれる機能が搭載されました。

これにより、リモート ダイレクト メモリ アクセス (RDMA) 機能を搭載するネットワーク アダプターの使用がサポートされるようになっています。

RDMA を搭載するネットワーク アダプターは、遅延がきわめて小さく、CPU をほとんど使用しないため、リモート ファイル サーバーをローカル ストレージのように利用することができます。

このようにしてファイル サーバーのパフォーマンスを向上させることが期待できます。

(参考資料)

SMB ダイレクトを使用してファイル サーバーのパフォーマンスを向上させる

https://technet.microsoft.com/ja-jp/library/jj134210.aspx

しかし、この RDMA の機能をドメイン コントローラー上で動作させると、メンバー サーバーで利用するときに比べてファイル サーバーの性能がでないことを確認しましたので、その詳細についてお知らせします。

この RDMA の性能低下は、SMB セキュリティ署名の影響により発生します。

ドメイン コントローラーでは Default Domain Controllers Policy の中でSMB セキュリティ署名のポリシーが既定で有効となっているため、メンバー サーバーで RDMA を利用するときに比べて性能が下がります。

ポリシーの名前：

    Microsoft ネットワーク サーバー : 常に通信にデジタル署名を行う

    Microsoft ネットワーク サーバー : クライアントが同意すれば、通信にデジタル署名を行う

(参考資料)

SMB のセキュリティ署名の必要性

https://technet.microsoft.com/ja-jp/library/cc731957(v=ws.11).aspx

ドメイン コントローラー上で上記の 2 つのポリシーを「無効」にすることで、RDMA の性能は改善されますが、次の理由からドメイン コントローラー上で RDMA を利用することは推奨しておりません。

• ディスク キャッシュの無効化による性能劣化

    ドメイン コントローラーではデータベース破損を防ぐ目的のためディスク キャッシュを無効にする機能が有効となっています。

    そのため、ドメイン コントローラーではファイル サーバーとしての性能は高くはなく RDMA に適した環境ではありません。

• 認証のパフォーマンスへの影響

    ドメイン コントローラーでは、認証のパフォーマンスを高めるために、メモリや CPU を多く使用します。もしも、メモリや CPU が高負荷となった場合、認証に遅延が生じるなどの影響が出るリスクがあります。

    そのため、ドメイン コントローラー上で RDMA を利用することはパフォーマンスの観点からお勧めしません。

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。

- 変更履歴

2018 年 10 月 9 日   ドメイン コントローラーで SMB 署名を無効化したときの影響から 「Windows 10 における SMB セキュリティ署名の有効化」 を削除しました。お客様からの障害のお問い合わせを元に影響の一つとして掲載しておりましたが、その後の調査において、設定変更と報告された障害との明確な関連性が確認できなかったためです。現時点でドメイン コントローラーにおける SMB セキュリティ署名の無効化による明確な動作影響は確認できておりません。