LDAP アカウントで NuGenesis SDMS にログインすると、パフォーマンスの低下または NG14837 エラーが発生する - WKB64200

症状

• ユーザーが WebVision や UNIFY などの NuGenesis SDMS クライアントアプリケーションに LDAP 資格情報でログインすると、約 20 秒の遅延が見られる

環境

• NuGenesis 9 SDMS
• NuGenesis 8 SDMS
• Microsoft Active Directory
• SDMS LDAP 設定のベース DN 設定はディレクトリーのルートです。例えば、DC=domain,DC=com です

原因

LDAP サーバーには、ルートディレクトリーオブジェクトに対するすべてのクエリーの検索結果に、3 つ以上の参照が含まれています。SDMS がこれらの参照に従う場合、サーバーの DNS から IP アドレスを取得します。これは以下のいずれかです。

• Active Directory サーバーではない（ポート 389/636 をリッスンしていない）
• または、ファイアウォールの内側にある AD サーバーであり、NuGenesis サーバーにアクセスできません。
• または、SDMS 設定で選択された接続の種類を許可しないように設定された AD サーバーです。

解決策

1. 可能であれば、SDMS 設定のベース DN を、ルートディレクトリーオブジェクトから 1 つ下のレベルに設定します。例えば、dc=domain,dc=com ではなく ou=Users,dc=domain,dc=com に設定します。クエリーがルートディレクトリーの下から開始する場合、Active Directory には検索結果で参照が含まれません。
   • AD サーバーの既存のユーザー構造の場合、この回避策が使用できない場合があります。例えば、最初のレベルが OU=SiteName であり、すべてのサイトのユーザーが SDMS を使用することが予想される場合、この回避策は実際に役立ちません。
2. 標準の LDAP ポートの代わりに、グローバルカタログポート（クリアテキストまたは startTLS 接続には 3268、SSL 経由 LDAP 接続には 3269）を使用します。グローバルカタログのクエリー結果に参照が含まれていない
3. ファイルに、有効でアクセス可能な LDAP サーバーを指す ForestDnsZones.yourdomain.com、DomainDnsZones.yourdomain.com、および yourdomain.com のエントリーがあるように、NuGenesis Web サーバー上のホストファイルを変更します。

追加情報

メインサーバーが暗号化されていない LDAP であるが、LDAP 継続参照を通じて接続されているサーバーに SSL/TLS セキュリティが必要な場合、NG14837「Invalid username/password」（無効なユーザー名/パスワード）メッセージが表示されることがあります。レファレンスを介して到達したサーバーが、メッセージ「The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection」（接続時に SSL/TLS がまだアクティブでない場合は、サーバーは整合性チェックをオンにするためにバインドを要求します）を返します。このメッセージにより、SDMS で NG14837 エラーが発生します。