メインコンテンツまでスキップ
We are redesigning the NetApp Knowledge Base site to make it easier to use and navigate. The new and improved site will be available the first week of October. Check out our video or read this KB article to know more about changes you’ll see on the site.

ドメインコントローラ検出とは

Views:
550
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
cifs
Last Updated:

すべてのとおり  

環境

  • Data ONTAP 8 7-Mode
  • clustered Data ONTAP
  • ONTAP 9

回答

  • Security Daemon ( SecD )によってトリガーされる自動プロシージャはドメインコントローラ検出( DC 検出)です。Dynamic Server Discovery は、ドメインコントローラ( DC )と、 LSA 、 Netlogon 、 Kerberos 、 LDAP などの関連サービスを検出するために ONTAP で使用されます。
  • 優先 DC を含むすべての DC 、ローカルサイト内のすべての DC 、およびすべてのリモート DC も検出します。
  • ONTAP は、新しい CIFS 接続の認証に最適な DC を決定します。環境内に多数の DC が存在する場合は、時間がかかることがあります。
  • その結果、環境によっては、共有へのアクセスや共有の列挙が著しく遅くなることがあります。
  • また、ストレージコントローラは、 WAN 経由で検出された DC など、認証に最適な DC よりも小さい DC を選択することもあります。場合によっては、ファイアウォール / ネットワーク設定が原因でリモート DC に永続的に到達できないことがあります。
  • 検出プロセスは、次の 3 つのシナリオで自動的に実行されます(ユーザによって明示的にトリガーされることはありません)。
  1. SVM の CIFS サーバをドメインに追加する。
  2. サーバまたは LIF の設定が変更されていないかどうかを確認するために、約 4 時間間隔で定期的に検出が実行されます
  3. 優先 DC の変更
この処理を実行すると検出プロセスがトリガーされ、定期的な検出のカウンタが自動的にリセットされます。
ドメイン検出コマンド 
  • コマンドツリーvserver cifs domain discovered-serversを使用すると、管理者はドメイン検出プロセスと対話できます。
  • 『コマンド・
    1. show - 検出されたサーバの情報を表示します 
    2. reset-servers - SVM のサーバをリセットして再検出します
  1. vserver cifs domain discovered-servers show

  • 対象:このコマンドは、admin権限レベルのクラスタ管理者とSVM管理者が使用できます。
  • 説明vserver cifs domain discovered-servers show:このコマンドは、 1 つ以上の SVM の CIFS ドメインで検出されたサーバに関する情報を表示します。サーバの表示はノードと Vserver でグループ化され、各グループの前にはノードと Vserver の ID が表示されます。
  • パラメータでドメインを指定した場合、指定したドメインに関連付けられているサーバだけが表示されます。このコマンドは、ワークグループ CIFS サーバではサポートされていません。
  • 現在、 SVM のローカルドメインのみが表示されています。
  • コマンドを実行すると、表形式の出力が表示されます。
  • 各列ヘッダーの詳細を次に示します。

 ::> cifs domain discovered-servers show -vserver vserver01
Node: node01
Vserver: vserver01

Domain Name Type Preference DC-Name DC-Address Status
--------------- -------- ---------- --------------- --------------- ---------
nas-deep.local KERBEROS preferred "" 10.216.29.254 undetermined
nas-deep.local KERBEROS preferred "" 10.216.29.255 undetermined
nas-deep.local KERBEROS adequate dc-2012-251 10.216.29.251 undetermined
nas-deep.local KERBEROS adequate dc-2012-251 172.16.0.251 undetermined
nas-deep.local KERBEROS preferred dc-2012-252 10.216.29.253 undetermined
nas-deep.local MS-LDAP preferred "" 10.216.29.254 undetermined
nas-deep.local MS-LDAP preferred "" 10.216.29.255 undetermined
nas-deep.local MS-LDAP adequate dc-2012-251 10.216.29.251 undetermined
nas-deep.local MS-LDAP adequate dc-2012-251 172.16.0.251 undetermined
nas-deep.local MS-LDAP preferred dc-2012-25 10.216.29.253 undetermined
nas-deep.local MS-DC preferred "" 10.216.29.254 undetermined
nas-deep.local MS-DC preferred "" 10.216.29.255 undetermined
nas-deep.local MS-DC adequate dc-2012-251 10.216.29.251 undetermined
nas-deep.local MS-DC adequate dc-2012-251 172.16.0.251 undetermined
nas-deep.local MS-DC preferred dc-2012-251 10.216.29.253 OK
15 entries were displayed.

  • ドメイン名
    • ドメインの FQDN 
    • タイプ
    • Unknown :サーバタイプが不明です
    • Kerberos Kerberos Kerberos サーバを使用します
    • MS-LDAP Microsoft Lightweight Directory Access Protocol ( LDAP )サーバ
    • MS-DC Microsoft Domain Controller の略
    • LDAP の Lightweight Directory Access Protocol ( LDAP )サーバ
    • NIS Network Information Service ( NIS ;ネットワーク情報サービス)サーバの略
  • 設定

環境設定には、 0 から 3 までのインデックスが付いている 4 つのタイプがあります。

  • Unknown = 0 このサーバのプリファレンスレベルが不明です
  • Preferred = 1 このサーバは優先サーバのリストに存在するため、管理上優先サーバとしてマークされました
  • 優遇 =2 このサーバは、サイトメンバーシップのおかげで、サーバディスカバリプロセスによって優先されたものとしてマークされました。検出プロセスで優先としてマークされている場合、検出されたドメインコントローラが Filer と同じサイトにあることを意味します。
9.1 では、このプロセスは完全に自動で実行され、「影響を受ける」ことはできません。Filer 管理者と AD 管理者がデフォルト設定の「 default-site 」を使用することにし、すべてのドメイン・コントローラが表示されている場合は、特定の状況で、 Filer が高レイテンシ / レスポンスのドメイン・コントローラを使用することも意味します。 認証負荷が高い場合、 Filer では、アクセスする共有への遅延をユーザに許可する可能性があります。

9.3 では、この動作は変更されています。

  • 十分 =3 このサーバはサーバ検出プロセスによって検出され、使用できますが、優先順位は関連付けられていません。
  • DC-Name :テーブルに表示されたドメインコントローラの NetBIOS 名
  • DC-Address :テーブルに表示されたドメインコントローラの IP アドレス
  • ステータス:表示されるステータスは次のとおりです。
    • OK - このサーバへの接続が使用可能です。
      • このステータスは、ドメインコントローラに対してアクティブ - 継続的な接続が確立されている場合に表示されます
    • 使用不可 - このサーバは現在使用できません。
      • このステータスは、以前にドメインコントローラに接続されていたが、現在アクティブなセッションがないことを示します。
  • LDAP クエリーの性質(オープンセッション、実行 1 クエリー、セッションのクローズ)を考慮すると、このステータスも正のステータスとみなされます。
    • Slow :このサーバへの接続は使用可能ですが、低速です。
    • [Expired] :このサーバへの接続は期限切れです。
    • undetermined :このサーバへの接続が試行されていません。このサーバは検出手順の実行時に検出されました。接続する必要はありません。
    • Unreachable :このサーバは現在到達不能です。このサーバは検出されました。接続できません 
特定の状況では、 EMS ログに特定のドメインコントローラが使用不可 / 使用不可としてマークされていることが表示されることがあります
  • ネットアップサポートで確認さNetrLogonSamLogonEx response, Unknown error 0xc0000413れている問題の 1 つは、「ドメイン信頼関係」に設定された「選択的認証」によって信頼できるドメインユーザに「」から返されたエラー応答が原因で、ローカルに存在しない高度に潜在的な DC を使用して認証が実行されることが原因です。  
9.3 以降では、検出動作が次のように変更されています。
  • discovery-modevserver cifs domain discovered-serversサーバの検出を制御するための新しいオプションがコマンドディレクトリの下に追加されました。
  • 新しく追加したコマンドでは、次の 3 つのオプションを使用できます。
  1. all - デフォルトオプション。は、ドメイン内のすべてのドメインコントローラを検出することで、以前と同様に動作します。
  2. ローカルサイトのサイト専用 DC が検出されます。
  3. none ●サーバ検出は実行されず、優先 DC の設定にのみ依存します。
  • 9.3 クラスタで作成された新しい Vserver の検出モードは「 All 」に設定されます。お客様の環境に基づいて、お客様のニーズに合わせて変更できます。
  • 9.3 への最後のノードアップグレードでは、クラスタ内のすべての Vserver のサーバ検出モードが「 All 」に設定されます。
  • vserver に優先 DC が設定されていない場合、「 iscovery -mode 」を「 none 」に設定すると失敗します。優先 DC を削除しているときに、 'iscovery -mode' が 'none' に設定されていると警告が表示されます。
  • vserver cifs domain preferred-dc add」コマンドを使用して、優先 DC を追加できます。
  • CIFS 構成に「 default-site 」が存在しない場合、「 iscovery -mode 」を「 Site 」に設定すると失敗します。'default-sit' 設定を削除すると、 'iscovery -mode' が 'site' に設定されている場合はブロックされます。
  • 新しい CIFS 構成では、「 default-sitevserver cifs create 」を「」コマンド自体とともに指定できます。
  • 既存の CIFS 設定では、vserver cifs modify「 default-site 」を設定するために「」コマンドを使用できます。CIFS 「 default-site 」は、何らかの理由で ONTAP がサイト情報を検出できない場合にのみフォールバックとして使用されます。 
  1. vserver cifs domain discovered-servers reset-servers

  • このコマンドは、検出されたサーバの情報を強制的に消去し、新しい再検出をトリガーします。これは通常、ドメイン設定が突然変更され、検出プロセスが発生しなかった場合に使用されます。
  • ユーザは、 ONTAP で使用可能なサーバを確保するために、再検出を強制的に実行することができます。