SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿
SQL Server の管理用カスタマイズレポートの作成状況を今日からすこしずつ書いていきたいと思います。
現在はトップページを小出しに作成中です。
メインページはサーバーの概要を載せたいなと思い、現在は以下の構成で作成しています。
現状は大枠だけ作成してみました。
時間がある時にサーバー情報でよく見る項目を少しずつ追加していきたいと思います。
AWE / MAX DOP だけでなく max worker threads や affinity mask も概要ページで見れると便利そうですね。
#sys.configurations で確認できる情報はこのページからリンクレポートを設定して全部見れるようにする予定です。
この手の自分の勉強用のツールを作るのは楽しくていいですね~。
パフォーマンスチューニングや運用のノウハウを補足として記載しながらレポートを作成していきたいです。
Reporting Services の勉強を兼ねて SQL Server 2008 用の管理用カスタムレポートを作成しようと思い、
BI Development Studio 2008 でまずは簡単なレポートを作成してカスタムレポート表示をしたら以下のエラーが。
SQL Server 2008 の Management Studio 用のカスタムレポートは BI Development Studio 2005 で開発する
必要があるみたいですね。
下が BIDS 2005 で作成したカスタムレポートを SSMS 2008 で表示した内容になります。
まずはサーバーダッシュボードのようなものを少しずつ作っていきたいと思います。
# 最終的には自分で Performance Dashboard Reports のようなものを作ってみたいです。
Active Directory とは依然として仲良しにはなれていないのですが、そうも言っていられない日々が続いています…。
今日はコンピュータアカウントのパスワードについて。
コンピュータアカウントのパスワードはセキュリティポリシーの
– [ドメイン メンバー: 最大コンピュータ アカウントのパスワード有効期間]
の設定値で定期的に変更され、ドメイン コントローラーでも保持しているパスワードと一致しない場合は、
セキュアチャネルの確立ができず、ドメイン ログオンに失敗する仕組みになっています。
パスワードは 1 世代前のものも保持されており、現在のパスワードと 1 世代前のパスワードの両方を使用して
セキュアチャネルが確立できないと NG になります。
Netdom.exe を使用して Windows 2000 ドメイン コントローラのコンピュータ アカウントのパスワードをリセットする方法
セキュアチャネルについては Microsoft の Network & AD サポートチームの以下の記事がとても参考になります。
ドメインにログオンできない ~ セキュア チャネルの破損 ~
パスワードを無期限にする方法に関しては Microsoft エバンジェリスト 安納さんがまとめてくださっています。
【Hyper-V】スナップショットとコンピュータアカウントパスワードの微妙な関係
ちなみに、パスワード不整合が起きたかどうかはドメイン コントローラで対象のコンピュータアカウントの
– [badPwdCount]
– [badPasswordTime]
を見るとわかります。
ドメインコントローラーのイベントビューアでイベント ID [5722] で見る方法も。
ドメインコントローラー側は Active Directory 上にパスワードを持っているとして、クライアント側の場合は
どこにパスワードを持っているのかというと [LSA (ローカル セキュリティ 機関)] に格納されています。
LSA の内容は以下のレジストリで内容を見ることができます。
– [HKEY_LOCAL_MACHINESECURITY]
デフォルトの状態ではこのレジストリには [SYSTEM] しか読み取りの権限がありませんので他のユーザーで内容を確認したい場合は、
[SECURITY] を右クリックして [アクセス許可] を選択し、読み取り権限を明示的に付与する必要があります。
Windows 2000 の場合は [regedit.exe] からはアクセス許可の設定ができないため、[regedt32.exe] を使用します。
アクセス許可を設定すると [SECURITY] が展開できるようになります。
?
コンピュータアカウントの情報は以下の場所に格納されています。
– [HKEY_LOCAL_MACHINESECURITYPolicySecret.s$MACHINE.ACC]
?
このレジストリキーを展開すると以下の階層が表示されます。
[CurVal] [OldVal] がコンピュータアカウントのパスワードの値になるようです。
# [CupdTime] [OupdTime] がそれぞれの値の変更されたタイミングになります。
ただし、世代移動のタイミングで両方の値が更新されるようで、変更されたタイミングは同じ値が入っていました。
意図的にコンピュータアカウントのパスワード不整合を発生させたい場合は、[CurVal] [OldVal] を書き換えると現象を発生させることが可能です。
あまりにも変な値を入力するとログオンできないだけでなく、ドメインからはずせなくなりますのでご利用は計画的に。
次回は意図的にパスワード不整合を発生させ、ログオンできない状態にさせてみたいと思います。
WIndows 2000 / 2003 のサポートツールに含まれている repadmin.exe を使用すると DC のレプリケートを
コマンドラインで実行することができます。
オプションを何も設定しないで実行すると同一サイト内の DC とのみレプリケートが実行されますので、
複数のサイトを作成している場合は /e オプションを指定する必要があります。
[自サイト内の DC とのみレプリケート]
| repadmin /syncall |
?
[他のサイトの DC も含めてレプリケート]
| repadmin /syncall /e |
?
[Active Directory サイトとサービス] を使用して [今すぐレプリケート] で同期をとる場合は
対象の接続オブジェクトを選択するので別サイトでも問題はありませんが、コマンドで実行する場合は
気をつけないといけないですね。
よく忘れるのでメモ。
Scripting.FileSystemObject の ReadAll で別ファイルの内容を読み込んで、
ExecuteGlobal に読み込んだ内容を渡して別ファイルをインクルード。
Windows Server 2003 のドメインコントローラーを使用している場合にダウレベルクライアントで
影響が出そうなグループポリシーをメモ
# グループポリシーに KB823659 へのリンクが表示されていたものです。
| グループポリシー | 設定値 |
| Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う |
|
| Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う |
|
| ドメイン メンバ: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする |
|
| ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する |
|
| ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない |
|
| ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない |
|
| ネットワーク アクセス: 匿名の SID と名前の変換を許可する |
|
| ネットワーク セキュリティ: LAN Manager 認証レベル |
|
| ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント |
|
| 監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする |
|
セキュリティ的に問題ないかは別にして、これらの設定をドメインコントローラにしておけば、
95 / 98 / NT 4.0 SP3 以前がログインできないという現象は回避できそうです。
ダウンレベルクライアントがなくなったら設定を戻しましょうという但し書きをしたうえで設定しておこう。
Microsoft の方がスピーカーを担当されるテクニカルセッションのアジェンダが公開されたようです。
SQ!L Server 2008 R2 のセッションがあるので行きたいです…。
去年と比べると SQL Server のセッション数はだいぶ減りましtね。
今年も去年と同様 Post Conference DVD が一般販売されないのでしょうかね。
去年は事務局に問い合わせたところ、一般販売も予定しているといわれていたのですが、
最終的には販売されなかったので…。
tech days のように後日、全セッションの動画 / スライド一般公開されると、とてもうれしいのですが。
Windows のファイルサーバーではないのですが DNS の Ailias (CNAME) で CIFS 共有にアクセスすると
認証が発生してしまうという社内の問い合わせがあったので少し調べてみました。
とりあえず Windows のファイルサーバーだとどうなるんだろうと思い調べてみたところ、事例がありました。
Windows 2000 ベースのサーバー上の SMB 共有へのエイリアス名による接続が機能しない
Windows2000/Server2003の共有フォルダをDNSのCNAMEレコードを使用して開けない
Windows Server 2003 Service Pack 1 のインストール後に FQDN または CNAME エイリアスを使用してサーバーにローカル アクセスしようとするとエラー メッセージ "アクセスが拒否されました" または "指定されたネットワーク パスはどのネットワーク プロバイダによっても受け付けられませんでした" が表示される
ログオン ウィンドウの表示 Windows Server 2003 Service Pack 1 NLB 仮想 NLB クラスタ名を参照するとき
以下のレジストリを設定すれば CNAME でアクセスできるようになります。
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters
値の名前 : DisableStrictNameChecking
データの種類 : REG_DWORD
基数 : 10進
値 : 1
エラーの時は以下のようなメッセージが表示されます。
| ネットワークに重複した名前があるため接続されませんでした。 コントロール パネルのシステムでコンピュータ名を変更して再実行してください。 |
CNAME だけでなく、A レコードで本来のコンピュータ名の IP を登録しても同様のエラーとなりました。
NLB で Kerberos 認証をする場合もいろいろと考慮点があるみたいですね。
# NLB の仮想ホスト名も CNAME みたいなものだと思いますので。
Windows Server 2003 NLB構成で Kerberos認証を有効にする
負荷分散アーキテクチャで Kerberos 経由の認証の委任は動作しません
Kerberos authentication for load balanced web sites
Enabling Kerberos Delegation on a NLB scenario
こちらはアプリケーションプールをドメインユーザーで起動して、 NLB で負荷分散に使用するホスト名と
アプリケーションプールの起動ユーザーで SPN を登録するのがポイントみたいです。
SQL Server の Kerberos 認証もそのうち試そうと思ってなかなか手が出せていないですね~。
まだまだ勉強することが沢山です。
NT ドメインを Windows 2000 Active Directory にアップグレードした場合の、メンバーとして参加している
コンピュータのプライマリ DNS サフィックスの表示内容についてです。
[NT ドメインの時の表示内容]
以下の画像が、NT ドメインならびに、AD アップグレード直後のドメインとフルコンピュータ名の表示です。
アップグレードをしてもそのままの状態ではフルコンピュータ名とドメイン名は変更されません。
[Windows XP]
[Windows NT]
?
一度ログオン / ログオンまたは、再起動するすと以下の内容に変更となります。
[ログオン / ログオフまたは再起動後]
[Windows XP]
?
XP だと再度コンピュータにログオンし、マイコンピュータのプロパティを確認すると
[変更はコンピュータの再起動後に有効になります。]
と表示されています。
コンピュータのプロパティの再起動に関しては以下のレジストリ値の比較で表示が制御されているようです。
-[HKLMSYSTEMCurrentControlSetServicesTcpipParameters]
[Domain]
[NV Domain]
NT ドメインからのアップグレード後は [Domain] が空白、[NV Domain] が参加ドメインの値となっているようです。
この設定値が異なることによって再起動のメッセージが表示されてしまうようです。
[Windows NT]
?
[再起動後]
[Windows XP]
再起動後は [Domain] に値が設定されています。
アップグレード後は再起動しないと DNS サフィックスが設定されないので再起動のメッセージが表示されていると
コンピュータ名の名前解決で思ったような結果が得られないかと。
[Windows NT]
NT のメンバサーバーの場合は変化はないようですね。
2000 / 2003 のメンバーサーバーでは試せていないのですが XP と同じ動きになりそうな気が。
SID の解決は再起動しなくてもできていそうですが、名前解決が想定した動きにならない場合は、
コンピュータのプロパティを開き、再起動の表示がないことを確認したほうが良さそうです。
各、ドメインコントローラーで別々の DNS を使用している場合に現象が発生しました。
子ドメインを既存ドメイン (親ドメイン) に追加すると、親ドメインの [Active Directory サイトとサービス] に
作成したドメインのドメインコントローラが追加されます。
以下が、子ドメイン追加後のサイトとサービスの内容になります。
[2000-AD-01] を [us.domain.local] として追加したのですが追加直後はドメインがブランクになっていました。
[2000-AD-01] で [Active Directory サイトとサービス] を確認するとこちらでは正常に表示されています。
親ドメインと子ドメインで同一の DNS を使用している場合はこのような現象は発生しなかったのですが、
各ドメインで独自の DNS を使用して、委任 / フォワーダで名前解決をさせている環境を作ったところ、
このような状態になりました。
他のドメインコントローラには自動生成の接続オブジェクト (2000-AD-01 のプルレプリケーション) は
作成されていますので、[今すぐレプリケート] を実行してみると以下のメッセージが表示されます。
[名前付きコンテキストが削除中華、または指定されたサーバーからレプリケートされていません。]? となってしまいます。
別々の DNS を使用しているので FQDN でないと名前解決ができないことが原因でしょうか…。
現在はドメインが空白になっているために解決できないのかも。
[2000-AD-01] で [レプリケーショントポロジの確認] をして KCC による接続の自動生成をしようとすると
以下のメッセージになります。
[ディレクトリのプロパティがキャッシュに見つかりません。] とのことですが、今回の場合は、プロパティは
ドメイン名の部分のことでしょうか。
正しい状態には以下のどちらかの方法で設定できました。
?
[ADSIEDIT.msc]
[しばらく待つ]
?どちらかの対応 (一方はただ待つだけですが…) をすると親ドメインでも正常にドメイン名が
表示されるようになります。
新規ドメインを追加した場合は各ドメインコントローラの [repadmin /showrepl] を確認して、
接続オブジェクトの作成状況のチェックは必要ですね。