Windows 2000ネットワーク解剖
>
サイトの分割とログオンの挙動
Windows 2000クライアントのトレースとその考察
まずは,celica.active.dsl.local.というWindows 2000クライアントがログオン認証を実行する場合のトレースを示す。ただし,ログオン時には500〜1500程度のパケットが流れるため,すべてを掲載することはできない。そのため,ここではログオンプロセスで流れるパケットのうち,最初のほうで流れるものだけを示し,一部は省略および編集させていただくのでご了承いただきたい。
●自分の属するサイトのドメインコントローラが稼働している場合のログオン
まずは,クライアントが属しているサイト上でドメインコントローラが稼働している場合のログオン処理のトレース結果を示す。先述したように,条件が許せば各サイトにそれぞれドメインコントローラを配置したほうがログオン認証やオブジェクト検索のパフォーマンスが向上する。具体的にどのようにドメインコントローラが利用されているのかに注意してトレースを参照してほしい。
この例では,Windows 2000クライアントはcelica.active.dsl.local.というホスト名であり,Another-Siteに属している。List 1に,実際にactive.dsl.local.ドメインへとログオンしたときのトレースを掲載する。
クライアントであるcelicaは,最初にLDAPサーバーを探索している。この処理は,1番目の照会パケットと2番目の応答パケットに現れている。ここで,検索対象となっているサーバー名に注目してほしい。検索対象となっているサーバーは「_ldap._tcp.Another-Site._sites.dc._msdcs.active.dsl.local.」である。サーバー名には,クライアントが属している「Another-Site」というサイトの名前が含まれている。クライアントはまず,DNSを利用して,自分が属しているサイトに存在するLDAPサーバーを探しているのである。もちろん,LDAPサーバーであるドメインコントローラは,あらかじめDynamic DNSを利用して,自分が属するサイト名を含んだ上記のSRVレコードをDNSに登録している。この方法により,クライアントは自分が属するサイトのドメインコントローラを発見することができる。
次に,クライアントはICMPのエコーとリプライを利用して,サイト内のどのドメインコントローラが最もネットワーク的に近いかを判断している。ICMPは,2番目の応答パケットに含まれているすべてのサーバーに対して試行される。その結果,サイト内に複数のドメインコントローラが存在した場合でも,ネットワーク的により近いものが選択されることになる。
そのあと,SMBやRPCによって通信され,43番目のパケット以降で同一サイトのドメインコントローラに対してKerberos認証を試みている。以降,クライアントであるcelicaは,自分と同じサイトに属しているドメインコントローラ(WIN2K-2)を,LDAPサーバーおよびKDCとして利用している。
 |
9/12 |  |
