SNP ざっと予習
パフォーマンスのチューニングは環境構成に大きく左右される。
以下にある SNP は NIC 側が対応しているか否かで、
通信速度にも大きく変化が起きる。
要は OS の代わりに NIC がきっちり処理してくれるかどうか。
参考URL 一覧
===================
Windows Server 2008 R2 導入後に行うべき設定~Network編
http://mctjp.com/2012/02/10/windows-server-2008-r2-%E5%B0%8E%E5%85%A5%E5%BE%8C%E3%81%AB%E8%A1%8C%E3%81%86%E3%81%B9%E3%81%8D%E8%A8%AD%E5%AE%9A%EF%BD%9Enetwork%E7%B7%A8/
WindowsのHyper-Vで仮想マシンのネットワークが遅くなる問題を回避する
http://www.atmarkit.co.jp/ait/articles/1201/20/news145.html
===================
Receive Segment Coalescing (RSC)
https://technet.microsoft.com/ja-jp/library/hh997024.aspx
Receive Side Scaling (RSS)
https://technet.microsoft.com/ja-jp/library/hh997036.aspx
===================
予期せぬ挙動が!? 新機能 Scalable Networking Pack をご存知ですか?
https://blogs.technet.microsoft.com/jpntsblog/2010/03/22/scalable-networking-pack/
SNP (Scalable Networking Pack) 機能に関する最新情報
https://blogs.technet.microsoft.com/jpntsblog/2013/03/05/snp-scalable-networking-pack/
RSS や実装などの高度なネットワーク パフォーマンスの機能をトラブルシューティングする方法
https://support.microsoft.com/ja-jp/kb/2643970
どんなお問い合わせが多い?
https://blogs.technet.microsoft.com/jpntsblog/2010/03/15/234/
===================
TCP 受信ウィンドウ自動チューニング
https://technet.microsoft.com/ja-jp/magazine/2007.01.cableguy.aspx
===================
NTP
Windows はドメインコントローラに昇格すると自動的に NTP サーバとなります。
そして、ワークグループ端末はドメイン参加時(DCへ昇格する場合も)に自動的にドメインコントローラと同期するようになります(第 2 回で紹介している Type レジストリ値が NT5DSになる)。
ちなみに事前にデフォルト以外の同期先設定を行っている場合は Type = Allsyc (NT5DS + NTP)となります。
NTP サーバとしては下記レジストリ値 Enabled = 1 の場合に NTP サーバとなります。
------------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
名前: Enabled
種類: REG_DWORD
データ: 1
------------------------------------------------------------------------------------
上位に同期先がある中間の NTP サーバとして設定する場合や、ワークグループ環境を NTP サーバとする場合は AnnounceFlags = 5 も設定変更します。
--------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
名前: AnnounceFlags
種類: REG_DWORD
データ: 5
--------------------------------------------------------------------
値には次の設定が利用できます。
デフォルトの 10 は 2 + 8 を示しており、動作は自動的に決まります。
5 = 1 + 4 であり、常に権原のある NTP サーバとなります。
-----
0 時刻サーバとして公開しない
1 時刻サーバとして公開する
→外部と同期していないと同期できない
2 他のマシンとの兼ね合いで、時刻サーバとなるか決定される
4 権限があるサーバとして公開される
8 他のマシンとの兼ね合いで、権限があるサーバとなるか決定される
-----
1 は NTPサーバとして公開する設定、4 は権限がある設定であり、5 にすることで、権限があるNTPサーバとして公開する設定となります。
権限がないと、他のサーバの状況次第で NTP サーバになったりならなかったりするので、5 にしておくと確実といえます。
(5 でないと、上位のNTPサーバと同期ができていない場合にはクライアントに時刻データの提供を停止(アドバタイズを停止)する動作となる)
なお、複数のドメインコントローラ構成で、外部の NTP サーバと同期する DC サーバが 1 台のみで他はドメイン階層に従った同期(Type=NT5DS)の場合は 外部の NTP サーバと同期する DC を PDCエミュレータ(通常は FSMO) とし、AnnounceFlags = 5 としますが、それ以外はデフォルトの 10 のままとします。
これは同一ドメイン階層では PDC エミュレータ の役割を持つ DC が最上位となりますが、それ以外の AnnounceFlags = 5 があるとそのサーバは自信を最上位とするため、PDC エミュレータ の役割を持つ DC と同期を行えなくなる場合があるためです。
<参考情報>
Windows Server で権限のあるタイム サーバーを構成する方法
https://support.microsoft.com/ja-jp/kb/816042
セキュアなチャネルの確立に失敗するケース
仮想マシン上でドメインに参加する前にスナップショットを複数取得しておき、
それぞれにおいてドメインに参加させる場合
この場合、同一仮想マシン上のスナップショットであるため、ドメインコントローラ上に登録されるコンピュータアカウントの SID は同一のものとなる。
また、ドメインに参加しているメンバサーバは既定で 30 日に一度、
コンピュータアカウントのパスワードが更新される。
この動作はバックグラウンドで動作しており、ドメイン参加の際にも変更が行われる。
そのため、スナップショットそれぞれの環境でドメインに参加するたびに、
コンピュータアカウントのパスワードが更新が行われる動作となるため、
セキュアチャネルの破損が発生すると予想される。
ドメインログオンの際に、メンバサーバが保持しているパスワードと
ドメインコントローラーが保持しているパスワードと一致しない場合は、
セキュアチャネルの確立ができず、ドメインログオンに失敗する仕組みになっている。
従って、スナップショットを切り替える度に、パスワードの不一致によりログオンできない事象が発生する。
対処としてはドメインの再参加や PowerShell で後述のコマンドレッドを実行する必要がでてくる。
<参考情報>
ドメインにログオンできない ~ セキュア チャネルの破損 ~
https://blogs.technet.microsoft.com/jpntsblog/2009/06/05/256/
NTFS ID:55
NTFS のダーティビットが立っていると、
起動時に chkdsk が走る。
ダーティシャットダウンを初めてとして起きる契機は様々あるが、
一例が以下のmsブログにまとっている。
基本的に原因特定は難しいが、対処としては、
chkdsk にオプションをつけて修復を試行してみる。
治らなければハード観点での問題も疑われる。
ソース : NTFS、ID: 55 のイベント
https://blogs.technet.microsoft.com/askcorejp/2014/09/08/ntfsid-55/
Windows Server 2008 R2 における、ソース : NTFS、ID: 55 エラーについて (KB 2885209)
https://blogs.technet.microsoft.com/askcorejp/2013/11/28/windows-server-2008-r2-ntfsid-55-kb-2885209/
イベント ID 55 が Windows 7 または Windows Server 2008 R2 でログに記録され、Windows がクラッシュすることがある
https://support.microsoft.com/ja-jp/kb/2885209
高速ログオン
Windows Server 2012 では、高速ログオンの最適化機能は有効ではございません。
OS 起動後にはネットワークの初期化が待機される。
高速ログオンの最適化機能については、公開情報にもクライアント OS においては既定で有効になっていると記述されている。
サーバ OS に関しましては、以下ポリシーのヘルプ欄にて説明がある。
○該当ポリシー
[コンピュータの構成] - [管理用テンプレート] - [システム] - [ログオン]
[コンピュータの起動およびログオンで常にネットワークを待つ]
<一部抜粋>
=============================
既定では、クライアント コンピューターでは、グループ ポリシーの処理は同期されません。
クライアント コンピューターは、通常、起動時およびログオン時にネットワークが完全に初期化されるのを待ちません。
既存のユーザーはキャッシュされた資格情報を使ってログオンするため、ログオンにかかる時間が短くなります。
ネットワークが利用可能になると、グループ ポリシーはバックグラウンドで適用されます。
=============================
<一部抜粋>
=============================
Windows Server 2008 以降を実行するサーバーでは、このポリシー設定はコンピューターの起動時におけるグループ ポリシーの処理で無視され、
グループ ポリシーの処理は同期されます (これらのサーバーは、コンピューターの起動時にネットワークが初期化されるのを待ちます)。
サーバーが以下のように構成されている場合、このポリシー設定はユーザー ログオン時におけるグループ ポリシーの処理で有効になります。
・サーバーがターミナル サーバーとして構成されている (つまり、ターミナル サーバーの役割サービスがサーバーにインストールされて構成されている)。
・[ターミナル サービス経由でのログオン時に、ユーザーのグループ ポリシーを非同期に処理できるようにする] ポリシー設定が有効になっている。
このポリシー設定は、コンピューターの構成\ポリシー\管理用テンプレート\システム\グループ ポリシー\ にあります。
この構成がサーバーに実装されていない場合、このポリシー設定は無視されます。
この場合、ユーザー ログオン時におけるグループ ポリシーの処理は同期されます
(これらのサーバーは、ユーザー ログオン時にネットワークが初期化されるのを待ちます)。
=============================
Windows の高速ログオン最適化機能の説明
https://support.microsoft.com/ja-jp/kb/305293
高速ログオンの最適化と高速スタートアップのグループ ポリシーに対する影響について
https://technet.microsoft.com/ja-jp/library/jj573586.aspx
フォレストの信頼
W2012R2ADMIGGUIDE_v1.2.docx
Windows Server 2012 R2 の Active Directory ドメイン サービスは、
[Windows Server 2003] 以上のフォレストおよびドメインの機能レベルをサポートしているため、
Windows Server 2003 の Active Directory フォレスト/ドメインからの段階的なアップグレードが可能です。
アップグレード後にフォレストおよびドメインの機能レベルを[Windows Server 2012 R2]に昇格することで、
最新の Active Directory のすべての機能を利用できるようになります。
フォレストおよびドメインの機能レベルは、フォレストおよびドメインでサポートされる Active Directory の機能と、
ドメイン コントローラーの最小バージョン要件を規定するものです。
Windows Server 2003 の Active Directory フォレスト/ドメインを Windows Server 2012 R2 の Active Directory フォレスト/ドメインにアップグレードするには、
アップグレードする現在のフォレストおよびドメインの機能レベルが[Windows Server 2003]以上である必要があります。
現在のフォレストおよびドメインの機能レベルは、[Active Directory ドメインと信頼関係]スナップイン (domain.msc) を使用して確認、および変更することができます。
フォレストの機能レベルは、[Active Directory ドメインと信頼関係]スナップインの最上位のコンテナ (Active Directory ドメインと信頼関係) を右クリックして
[フォレストの機能レベルを上げる] を選択すると確認および変更できます。
ドメインの機能レベルは、[Active Directory ドメインと信頼関係]スナップインでドメインのコンテナーを右クリックして
[ドメインの機能レベルを上げる] を選択すると、確認および変更できます。
~~~~~~~~~~~
現在のフォレストの機能レベルが[Windows 2000]で、ドメインの機能レベルが[Windows 2000 ネイティブ]または[Windows 2000 混在]になっている場合は、
それぞれ[Windows Server 2003]に変更して機能レベルを昇格ください。
機能レベルの昇格は、ドメイン、フォレストの順番で行います。
~~~~~~~~~~~
なお、フォレストおよびドメインの機能レベルを[Windows Server 2003]に昇格する場合は、
Windows 2000 Server のドメイン コントローラーが存在しないことを確認してから実行してください。
~~~~~~~~~~~
Windows 2000 Server のドメイン コントローラーが存在する場合は、
Windows 2000 Server のドメイン コントローラーに配置されている操作マスターを
Windows Serer 2003 以降のドメイン コントローラーに転送し、Windows 2000 Server のドメイン コントローラーをメンバー サーバーに降格する必要があります。
~~~~~~~~~~~
Windows 2000 Server のドメイン コントローラーからの操作マスターの転送とドメイン コントローラーの降格の手順については、
このあと説明する Windows Server 2003 の手順と共通です。
[Windows Server 2003]機能レベルのサポート
Windows Server 2012 R2 の Active Directory ドメイン サービスは、フォレストおよびドメインの最小の機能レベルとして
[Windows Server 2003]をサポートしていますが、新規に作成するドメインにおいて[Windows Server 2003]の機能レベルを選択することはできません。
[Windows Server 2003]の機能レベルは、既存のフォレスト/ドメインに追加するドメイン コントローラーでサポートされます。
なお、[Windows Server 2003]の機能レベルのサポートは、将来の Windows Server バージョンから削除される可能性があります。
■Windows 2000 Server に関連する機能レベル
Windows 2000 Server は混在モードとネイティブ モードのみをサポートします。また、これらのモードはドメインの機能のみに適用されます。
○Windows 2000 Server 混在 (既定)
サポートされるドメイン コントローラー: Microsoft Windows NT 4.0、Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
アクティブになる機能: ローカル グループおよびグローバル グループ、グローバル カタログ サポート。
○Windows 2000 Server ネイティブ
サポートされるドメイン コントローラー: Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
アクティブになる機能: グループの入れ子、ユニバーサル グループ、Sid 履歴、セキュリティ グループと配布グループ間の変換。フォレスト レベルの設定を上げることによってドメインのレベルを上げることができます。
Active Directory ドメインおよびフォレストの機能レベルを上げる方法
https://support.microsoft.com/ja-jp/kb/322692
○ドメインの機能レベル Windows Server 2003
認証の選択のサポート。これにより、信頼する側のフォレストのリソース サーバーで認証を受けることが許される、
信頼されている側のフォレストのユーザーおよびグループを指定できます。
○フォレストの機能レベル Windows Server 2003
既定の Active Directory の機能すべて。加えて、以下の機能が有効です。
フォレストの信頼。
ドメインとフォレストの機能レベルとは
https://technet.microsoft.com/ja-jp/library/cc771294.aspx
フォレストの信頼を作成する
https://technet.microsoft.com/ja-jp/library/cc754626.aspx
信頼を管理する
https://technet.microsoft.com/ja-jp/library/cc771568.aspx
コマンド ラインを使用して信頼を検証するには
netdom trust <TrustingDomainName> /d:<TrustedDomainName> /verify
信頼を検証する
https://technet.microsoft.com/ja-jp/library/cc753821.aspx