Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
世界の ILM ファンの皆様御機嫌よう。ういこです。
今日は超しばれる感じですね。さてこの記事は先に Up しました AD 系 MA 作成時にコンテナ選択できなくてしょんぼりな件のフォローアップの記事です。最初一緒にしてたんですけど、なっがいので分けました。
さて、先の記事は ILM と同期先のフォレストがセグメント越えをしている条件下で、DNS で LDAP の SRV レコードが構成されていない場合に解決が出来ず、問題が発生するというしょんぼりな問題についてでした。でも、聞いても「ふーん」って感じの方もいらっしゃるのではないでしょうか。
そこで、明日は土日!(※ 今日は 2/20 金曜日です)週末は妻も子も夫も親も彼女も彼氏もとにかく全部ほっといてどっぷりと ILM …しません?今なら MSDN サブスクライバ ダウンロードから ILM が入手できて検証ができますよ?ついでに MCP 関連のお勉強も出来てお得かもです。
では書いててつらくなるくらい長いの行きます!
【はじめに – 前提事項】
※ いずれも Windows Server 2008 x64 上の Hyper-V でホストした仮想マシンです。また、いずれの OS も Windows Server 2003 x86 SP2 を使用しています。
※ 本来、 ILM **は仮想化環境上で動作することは保障されていない**製品です。あくまでも一時的な動作検証のための手順とご理解ください。詳細は下記 Knowledge Base (KB) をご覧下さい。
Article ID: 897614 - Last Review: February 13, 2009 - Revision: 12.0
Windows Server System software not supported within a Microsoft Virtual Server environment
https://support.microsoft.com/kb/897614
【環境構成】
・ ILM ( ※ 1)
⇒ Machine name : "ILM-WORKGROUP"
・ルーターマシン ( ※ 1)
⇒ Machine name : "Router"
・同期対象環境および WINS (今回は兼 WINS。WINS は別のマシンでもよいです)
⇒ Machine name : "WOONOA-DC-01" (woonoa.woocorp.woodgrovebank.com)
・ DNS (ネットワークに一ついればよいです)
⇒ Machine name : "CONNOA-DC-01" (connoa.concorp.contoso.com)
(※1) WORKGROUP 上に配置したマシン。
なお ILM と 同期対象環境が同一セグメントの場合は、DNS の前方参照ゾーン\フォレスト\_tcp 配下に ドメイン コントローラの LDAP SRV レコードが設定されていない場合でも正常に [Configure...] が呼び出せます。
【ネットワーク構成】
ネットワークも DNS を使用するため、Internal の以下の二つのネットワークを用意することであなたの会社でも検証が可能です!
VLAN A (Internal Only)
VLAN B (Internal Only)
※ ネットワークは、Hyper-V マネージャの [Action] - [Virtual Network Manager ...] をクリックし、"New Virtual Network" を左ペインで選択し、右ペインの "Create Virtual Network" の "What type of virtual network do you want to create? " を Internal にし、[Add] ボタンを押せば作成できます。
< ILM (VLAN B) >
・ドメイン : ワークグループに所属 (非ドメイン)
・インターネット プロトコル (TCP/IP) のプロパティ
---- "全般" タブ
「次の IP アドレスを使う(S):」
IP アドレス(I): 192 . 168 . 1 . 222
サブネット マスク(U): 255 . 255 . 255 . 0
デフォルト ゲートウェイ(D): 192 . 168 . 1 . 254 ★ ← ルーターマシンの VLAN B の IP を設定
「次の DNS サーバーのアドレスを使う(E)」
優先 DNS サーバー(P): 192 . 168 . 0 . 1 ★ ← DNS マシン CONNOA-DC-01 の IP を指定
---- "詳細設定" ボタン
WINS タブ
WINS アドレス(使用順)(W): 192 . 168 . 0 . 4
LMHOSTS の参照を有効にする(L) にチェック
NetBIOS 設定 : "NetBIOS over TCP/IP を有効にする(S)" を選択
< ルーターマシン ( VLAN A + VLAN B 、 Network Interface Card 二枚ざし ) >
ドメイン : ワークグループに所属 (非ドメイン)
・VLAN A : "ローカル エリア接続 2" - インターネット プロトコル (TCP/IP) のプロパティ
---- "全般" タブ
「次の IP アドレスを使う(S):」
IP アドレス(I): 192 . 168 . 0 . 253
サブネット マスク(U): 255 . 255 . 255 . 0
デフォルト ゲートウェイ(D): 192 . 168 . 0 . 253 ★ ← 自分自身を設定 (VLAN A)
「次の DNS サーバーのアドレスを使う(E)」
優先 DNS サーバー(P): 192 . 168 . 0 . 1 ★ ← DNS マシン CONNOA-DC-01 の IP を指定
---- "詳細設定" ボタン
WINS タブ : 設定は全て既定値
・VLAN B : "ローカル エリア接続 3" - インターネット プロトコル (TCP/IP) のプロパティ
---- "全般" タブ
「次の IP アドレスを使う(S):」
IP アドレス(I): 192 . 168 . 1 . 254
サブネット マスク(U): 255 . 255 . 255 . 0
デフォルト ゲートウェイ(D): 192 . 168 . 1 . 254 ★ ← 自分自身を設定 (VLAN B)
「次の DNS サーバーのアドレスを使う(E)」
優先 DNS サーバー(P): 192 . 168 . 0 . 1 ★ ← DNS マシン CONNOA-DC-01 の IP を指定
---- "詳細設定" ボタン
WINS タブ : 設定は全て既定値
(※注) ローカル エリア接続 2 あるいは 3 の設定を行い [OK] を押すと、以下の情報が出ますがひるまず [ はい (Y)] を押してください。 (スクリーンショット撮っておけばよかった…)
----------------------------------------
Microsoft TCP/IP
----------------------------------------
警告 - 複数のデフォルト ゲートウェイは、単一のネットワーク (イントラネットまたはインターネットなど) に冗長を提供するために意図されています。ゲートウェイが 2 つの別々の切り離されたネットワーク (イントラネット上やインターネット上のネットワークなど) 上にある場合は、デフォルト ゲートウェイは正常に機能しません。この構成を保存しますか?
[はい(Y)] [いいえ(N)]
----------------------------------------
< 同期対象環境 (VLAN A) >
・ドメイン : woonoa.woocorp.woodgrovebank.com (NETBIOS 名 : woonoa)
・インターネット プロトコル (TCP/IP) のプロパティ
---- "全般" タブ
「次の IP アドレスを使う(S):」
IP アドレス(I): 192 . 168 . 0 . 4
サブネット マスク(U): 255 . 255 . 255 . 0
デフォルト ゲートウェイ(D): 192 . 168 . 0 . 253 ★ ← ルーターマシンの VLAN A の IP を設定
「次の DNS サーバーのアドレスを使う(E)」
優先 DNS サーバー(P): 192 . 168 . 0 . 1 ★ ← DNS マシン CONNOA-DC-01 の IP を指定
---- "詳細設定" ボタン
WINS タブ
WINS アドレス(使用順)(W): 192 . 168 . 0 . 4
LMHOSTS の参照を有効にする(L) にチェック
NetBIOS 設定 : "既定値(F):" を選択
< DNS (VLAN A) >
・ドメイン : connoa.concorp.contoso.com (NETBIOS 名 : connoa)
・インターネット プロトコル (TCP/IP) のプロパティ
---- "全般" タブ
「次の IP アドレスを使う(S):」
IP アドレス(I): 192 . 168 . 0 . 1
サブネット マスク(U): 255 . 255 . 255 . 0
デフォルト ゲートウェイ(D): 192 . 168 . 0 . 253 ★ ← ルーターマシンの VLAN A の IP を設定
「次の DNS サーバーのアドレスを使う(E)」
優先 DNS サーバー(P): 192 . 168 . 0 . 1 ★ ← 自分自身が DNS なので、自分の IP を指定
---- "詳細設定" ボタン
WINS タブ : 設定は全て既定値
※ [コントロール パネル] - [ネットワーク接続] 配下の "ローカル エリア接続XX" のプロパティの、[全般] タブの "インターネット プロトコル (TCP/IP)" の [プロパティ(R)] を見ています。
< ルーティング設定 on Router >
[管理ツール] より [ルーティングとリモートアクセス] を選択してください。
既定ではルーティングとリモート アクセスのサービスは開始されていません。
以下の通り展開し、自分のマシン名を右クリックして [ルーティングとリモート アクセスの構成と有効化(C)] を選択します。
ルーティングとリモート アクセス
+ サーバーの状態
+ < マシン名 > ( ローカル ) ★ ここを右クリック
セットアップ ウイザードが実行されるので、以下の通り設定します。
1. 構成
… カスタム構成(C) を選択し、[次へ] ボタンを押す
2. カスタム構成
… LAN ルーティング(L) にチェックし、[完了] ボタンを押す
< DNS の設定 on WOONOA-DC-01 >
管理ツール上で DNS を選択すると、dnsmgmt コンソールが開くので、これを以下のように展開していきます。
DNS
+ WOONOA-DC-01
+ 前方参照ゾーン
+ woonoa.woocorp.woodgrovebank.com
+ _tcp
_tcp 配下に、"_ldap"、つまり LDAP (Lightweight Directory Access Protocol) SRV レコードがある場合は問題なく解決ができます、これがない場合、SRV レコードの解決に失敗してしまいます。検証時、ためしにネットワーク キャプチャのログを取ると、接続で失敗していることがわかりますので試してみるのも良いかと思います。
再現させたい場合は、dnsmgmt の上記から _ldap を右クリックし、[削除(D)] を選択すると消えるので、これで OK、激しく再現してしまいます。
※ 参考
ドメインコントローラの SRV DNS レコードの作成を確認する
https://support.microsoft.com/kb/816587/ja
【検証手順】
Workgroup 上の ILM マシン上で以下の通り操作してみてください。なお、この手順の前に、同期対象環境で LDAP SRV レコードを削除していることが前提になります。
1. コマンド プロンプトを起動し、以下のコマンドを実行
> ipconfig /flushDNS
2. "Identity Manager" を起動する
3. [Management Agent] を選択し、[Create] を実行
4. MA を作成する。AD MA でも Galsync でも同じだが、今回は AD MA を例にとる。
5. [Create Management Agent] は以下の通りで [Next>] を押す
- Management Agent for : Active Directory
- Name : 任意
6. [Connect to Active Directory Forest] は以下の通りで [Next>] を押す
- Forest Name : woonoa.woocorp.woodgrovebank.com
- Username : administrator (※1)
- Password : 任意のパスワード
- Domain : woonoa (※2)
(※1) 同期対象ドメインの管理者権限があるユーザーアカウントでも可です
(※2) WINS がない場合には woonoa (ドメインの NETBIOS 名) だと解決できないので、その場合 FQDN (この場合 woonoa.woocorp.woodgrovebank.com) を指定すれば OK です。
7. [Configure Directory Partitions] で [Containers...] を押すと、エラー 1355 が発生します。
失敗時のネットワークキャプチャログの例
キャプチャを見ていると、DNS で LDAP の SRV レコードを見つけにいって失敗してるのがわかります。ただし、DNS サーバは Microsoft 以外にも Opensource などでもあるので、個々の環境によって設定をお客様自身で見ていただく必要があります。
・ Capture例
Frame (1)
Source : 172.168.0.11
Dest : 172.168.0.22
Protovol: DNS
Info : Standard query SRV _ldap._tcp.Default-First-Site-Name._sites.test.local
Frame (2)
Source : 172.168.0.22
Dest : 172.168.0.11
Protovol: DNS
Info : Standard query response, No such name ★ しょんぼり 1
Frame (3)
Source : 172.168.0.11
Dest : 172.168.0.22
Protovol: DNS
Info : Standard query SRV _ldap._tcp.test.local
Frame (4)
Source : 172.168.0.22
Dest : 172.168.0.11
Protovol: DNS
Info : Standard query response, No such name ★ しょんぼり 2
参考: 前の記事はこれです
[ILM] MA 作成時、1355 エラーが発生![Configure Directory Pertitions] 、[Containers…] 押してもコンテナが選択できなくてがっかり (1) / 2
~ ういこう@そんなに僕たち異色かな