Novell(クラウドコンピューティングのセキュリティ・仮想化ソリューションを実現)

 

NDS for NTを使っているPDCが自動的にBDCに降格

This document (10016552) is provided subject to the disclaimer at the end of this document.

●Fact

Novell NDS for NT 2.01
NDS4NT 2.01
Microsoft Windows NT Workstation 4.0 SP3

問題点

NDS for NTを実行するPDCが自動的にBDCに降格する。
ユーザはログインできない。次のエラーが表示される。

The trust relationship between this workstation and the primary domain failed.
このワークステーションと主ドメインとの信頼関係の設定に失敗しました。

Domain controller could not be found for this domain.
指定されたドメインに対するドメインコントローラが見つかりませんでした。

このエラーは、ログイン中に表示される。
サーバマネージャは、プライマリドメインコントローラ(PDC)をバックアップドメインコントローラ(BDC)として表示する。

サーバマネージャエラー:
Primary Domain Controller for this Domain could not be found.

ユーザマネージャエラー:
Primary Domain Controller for this Domain could not be found.

原因

NETLOGONサービスが要求をタイムアウトするか、ドメインユーザ/ワークステーションを解決する要求に対する失敗応答を受信するときに、この問題は起こる。
次はこの問題の確認されている原因である。

1. ドメインオブジェクトのNDSレプリカを持っているNetWareサーバからの応答が低速なことによるタイムアウト。NTドメインコントローラ(PDCまたはBDC)が接続しているNetWareで、高い利用状況が発生していると、NDS for NTは、NETLOGONサービスがタイムアウトする前に要求された情報を提供できない。

ドメインコントローラがそのSAM情報をどのNetWareサーバから読み込んでいるか決定する方法は、次の2つだけある。
1) MONITORの接続情報でNTのドメインオブジェクトとして認証された接続を探すことである。その接続のMACが、ドメインコントロールのMACである。
2) ドメインコントローラのIPXアドレス(NetWare 5サーバを使っている場合はIPのこともある)上でフィルタされたトレースを手に入れることである。トレースを見ると、NTドメインオブジェクト属性のため、またはドメインメンバーであるユーザのためのNDS要求が見られる。

2. ドメインオブジェクトのNDSレプリカを持っているNetWareサーバへの接続が低速なためのタイムアウト。NDS for NTは、NTドメインオブジェクトのNDSパーティションのレプリカを持つNetWareサーバと通信するために、Novell 4.6クライアントコードを使う。

Novell 4.6クライアントは、レプリカリング内のどのサーバが要求するステーションに「最も近い」か決定するために、RIPパケットによるホップ数を使う。
この問題を経験している会社は、そのリモートサイトを接続するWANリンクをブリッジで接続した。これにより、たとえ2つの遅いWANのリンクを超えていたとしても、各NetWareサーバが1ホップしか離れていないかのように応答するようになる。なぜならそれはルータで接続されたのではなくブリッジで接続されたからである。
NETLOGONの処理は、要求に失敗する前にそれがどれくらい待つか固定されたタイムアウトを持っている。Novellクライアントがいくつかの低速なWANリンクを超えてNetWareサーバに接続しているとき、NETLOGON要求のなかにはタイムアウトが発生する前に完了できないことが発生する。このような事態が起こると、NETLOGONサービスは停止する。それによって、NETLOGONは自身をログインサーバとして削除し、ブラウザマスタはPDCをBDCとして表示する。これ以降の、ドメインにログインしようとするような、さらなるNETLOGON要求は失敗する。
3. NDSレプリカリングは、NTドメインオブジェクトのレビジョン属性に対して異なる値を持つ。NDS for NTは、NTドメインオブジェクトのレビジョン属性が増加したことを検出すると、そのキャッシュを更新する。

NTドメインオブジェクトの別のレプリカが、異なった値であると報告すると、NTドメインコントローラは連続するキャッシュ更新状態に陥る。これにより、通常は、NTドメインコントローラと同様にNTドメインコントローラが情報を読み込んでいるNDSサーバ上でも、高い利用状況が発生する。
忙しくなるにつれて、ついにはNETLOGONサービスのタイムアウトより前にNETLOGONが要求した情報に応答できなくなる。続いてNETLOGONサービスを停止して、さらにNETLOGON要求も失敗するようになる。
NovellはCHKATTR.EXEユーティリティを開発した。そのCHKATTR.EXEユーティリティは、NTドメインオブジェクトのレプリカを持つ各サーバのレビジョンの値を表示する。すべてのサーバは同じ値を持つ必要がある。同じでない場合、NDS同期化問題またはNDS内の値が破壊される問題が発生する。
4. NTドメインオブジェクトは、ドメインのメンバー(IWSメンバー属性にリストされる)であるNDSユーザオブジェクトに対して必要な権利を持っていない。NTの管理者がドメインにユーザ/グループを追加するか、あるいは既存のユーザ/グループを修正しようとすると、NTドメインオブジェクトに与えられた権利を使ってNDS内で変更しようとする。NTドメインオブジェクトが、要求された操作に必要な権利を持っていな場合、NT for NDSはNETLOGONに失敗コードを返す。

そのとき、NETLOGONサービスはそれ自身を停止し、さらなるNETLOGONの要求はすべて失敗する。Novellは、USRRIGHT.EXEユーティリティを開発した。それは、NTドメインのメンバーであるすべてのNDSユーザの完全識別名を読み込むNTドメインオブジェクトがこれらの各NDSユーザに対して必要な権利を持っているかチェックする。これはより大きなドメインのための重要なプロセスとなる可能性があるので、あらかじめ重大な問題がない限り、実稼動中に試してはならない。
5. 使用中のNETWIN32.DLLはマルチプロセスライブラリ修正を持たない。4.6 NTクライアントとクライアントSP1で出荷されたNETWIN32.DLLには問題があった。複数のSamrLookupNamesInDomain()要求が発行されたとき、SAMSRVは、どの応答がどの要求に対応するか識別できなかった。SAMSRVデバッグログには、次のような行が記録される。

[SAMSRV] - WARNING !!! Found NULL name

この問題は、NETWIN32.DLL[1999/09/02]を持つ4.6 NT ClientむけのSP2の適用により解決される。
6. PDC用ワークステーションオブジェクトが、NDSで削除されてきた。これにより、ドメインコントローラはドメインにアクセスできない。

解決方法

NDS for NTを実行しているドメインコントローラが、次の状態にあることを確認する。

1. ドメインオブジェクトのレプリカおよびドメインのメンバーであるユーザを持つ隣接のNetWareサーバへの速く安定した接続があること。
2. ローカルセグメント中のサーバとWANリンクを超えたサーバを識別する能力。これはサイト間をブリッジでの接続を避けることで達成できる。
3. NTドメインオブジェクトのレビジョン属性が、すべてのレプリカにとって同じである。
問題を確認するために、NDS for NTツールキット(NDS4NTUT.EXE)内のCHKATTRユーティリティを使う。レビジョン番号が同期していない場合、マスタを除くすべてのレプリカを削除してから、レプリカを再度追加する。別法として、ダイアルインを実行してもよい。問題が再発生するのを防ぐために、すべてのNetWare 4.11サーバがDS.NLM v 6.06より新しいバージョンを実行していることを確認する。
4. NDS内のNTドメインオブジェクトが、NTドメインのメンバーであるNDSユーザに対して必要な権利を持つこと。
問題を確認するために、NDS for NTツールキット(NDS4NTUT.EXE)内に含まれるUSRRIGHT.EXEユーティリティを使う。続いて、権利を失ったオブジェクトにドメインをスーパバイザのトラスティとして追加する。
5. 単一プロセッサかマルチプロセッサかに関係なく、すべてのドメインコントローラ上でSP2を適用する。
この点は、[コントロールパネル]>[ネットワーク]にあるNTクライアントのプロパティで確認する。またはWINDOWS¥SYSTEMディレクトリ内のNETWIN32.DLLが1999/9/2以降であることを確認する。
6. PDCのためのワークステーションオブジェクトが、NDSのドメインの下にあることを確認する。それがない場合、NetWareアドミニストレータ(NWADMN32)かサーバマネージャを使って再び追加する。そのとき、PDCステーションオブジェクトとしてログインするようにPDCを再起動する。

イベントID: 3096
ソース: NETLOGON
種類: エラー
説明: このドメインのためのWindows NTドメインコントローラがない。

イベントログには、次のエラーが記録されている。

イベントID: 5719
ソース: NETLOGON
種類: エラー
説明: Windows NTドメインコントローラはドメインUPS_NJC1で使用できない。このイベントは予期されており、ハードウェアプロファイル「No Net」で起動するときは無視できる。

次のエラーが起こる。

There are currently no login servers available to service the login request.

イベントログには、次のエラーが記録されている。

イベントID: 5722
ソース: NETLOGON
種類: エラー
説明: コンピュータ[NetBIOS Computer name]からのセッションのセットアップは認証に失敗した。セキュリティデータベース内で参照されるアカウント名は[NetBIOS Computer Name]$である。
次のエラーが起こった。

Access is denied.
アクセスできませんでした。

イベントログには、次のエラーが記録されている。

イベントID: 5723
ソース: NETLOGON
種類: エラー
説明: このコンピュータのためのセキュリティデータベース内に信頼関係を持つアカウントがなかったので、コンピュータ[NetBIOS Computer name]からのセッションのセットアップは失敗した。セキュリティデータベース内で参照されるアカウント名は、[NetBIOS Computer Name]$である。

このドキュメントで問題が解決した場合、ここをクリックしてください。

Disclaimer

この情報は、米国Novell, Inc.およびノベル株式会社の内外から発生したものです。本文書の内容または本文書を使用した結果について、いかなる保証、表明または約束も行っていません。また、本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。

本文書に記載されている会社名、製品名はそれぞれ各社の商品、商標または登録商標です。

  • ドキュメントID: TID10016552
  • 作成年月日: 14-SEP-1999
  • 修正年月日: 28-JAN-2000
  • ドキュメントリビジョン:
  • 分類:
  • 対象NOVELL製品およびバージョン: NDS for NT 2.0
    NDS for NT 2.01
  • カテゴリ: