Windows 2000ネットワーク解剖
>
サイトの分割とログオンの挙動
●自分の属するサイトのドメインコントローラが稼働していない場合のログオン
Windows 2000クライアントは,先ほどと同様にcelica.active.dsl.local.というホスト名であり,Another-Siteに属している。今度は,Another-Siteに存在するドメインコントローラWIN2K-2を意図的にシャットダウンした状態で,active.dsl.local.ドメインにログオンしてみる。この場合のトレースを,List 2に示す。
Windows 2000クライアントであるcelicaは,自分の属するサイトのドメインコントローラが稼働している場合と同様に,まずは自分が属するサイト名を含むLDAPサーバー「_ldap._tcp.Another-Site._sites.dc._msdcs.active.dsl.local.」を探索している。ネットワーク構成図に示したように,Another-Siteに属しているドメインコントローラはWIN2K-2であり,そのIPアドレスは192.168.2.23である。したがって,クライアントは3番目のパケットで192.168.2.23というIPアドレスのコンピュータを検索している。ところが,192.168.2.23が割り当てられているWIN2K-2は意図的にシャットダウンされているため,このARPに対する応答は戻ってこない。
そこでクライアントは,今度はサイト名を含まない「_ldap._tcp.dc._msdcs.active.dsl.local.」を探索している。実は,LDAPサーバーであるドメインコントローラは,サイト名を含む「_ldap._tcp.Another-Site._sites.dc._msdcs.active.dsl.local.」というSRVレコードと,サイト名を含まない「_ldap._tcp.dc._msdcs.active.dsl.local.」というSRVレコードの両方をDNSに登録している。クライアントは,自分の属するサイトでドメインコントローラを発見できなかった場合には,サイト名を含まないSRVレコードを検索し,利用可能なドメインコントローラを検索する。その結果,クライアントであるcelicaは,LDAPサーバーとして動作しているドメインコントローラの一覧をDNS応答として取得する(4番目のパケット)。
受け取ったDNSの応答からクライアントは,利用可能なドメインコントローラとしてlilyを選択し,以降の通信をlilyとのあいだで交わす。リストには掲載していないが,celicaはlilyとw2k-1の両方に対してARPを送出しているが,w2k-1からの応答は戻ってきていないため,lilyが唯一のドメインコントローラとして認識されたものと思われる。SMBやRPCで通信したあと,53番目以降のパケットでKerberos認証を試みている。クライアントはそれ以降,利用可能なドメインコントローラであるlilyを,LDAPサーバーやKDCとして用いている。
 |
10/12 |  |
