LDAP アカウントで NuGenesis SDMS にログインすると、パフォーマンス低下または NG14837 エラーが発生する - WKB64200

症状

• ユーザーが WebVision や UNIFY などの NuGenesis SDMS クライアントアプリケーションに LDAP 資格情報でログインすると、約 20 秒の遅延が見られる

環境

• NuGenesis 9 SDMS
• NuGenesis 8 SDMS
• Microsoft Active Directory
• SDMS LDAP 設定の基本 DN 設定は、ディレクトリーのルートです。例：DC=domain,DC=com

原因

LDAP サーバーには、ルートディレクトリーオブジェクトに対して、すべてのクエリーの検索結果に 3 つ以上の参照が含まれています。SDMS がこれらの参照に従う場合、サーバーの DNS から IP アドレスを取得し、以下のいずれかに該当します。

• Active Directory サーバーではない（ポート 389/636 をリッスンしていない）
• または、ファイアウォールの内側にある AD サーバーであり、NuGenesis サーバーにアクセスできない
• または、SDMS 設定で選択された接続の種類を許可しないように設定された AD サーバーがあります

解決策

1. 可能であれば、SDMS 設定のベース DN を、ルートディレクトリーオブジェクトから 1 つ下のレベルに設定します。例えば、dc=domain,dc=com ではなく ou=Users,dc=domain,dc=com に設定します。クエリーがルートディレクトリーの下から開始する場合、Active Directory には検索結果で参照が含まれません。
   • AD サーバーの既存のユーザー構造の場合、この回避策が使用できない場合があります。例えば、最初のレベルが OU=SiteName であり、すべてのサイトのユーザーが SDMS を使用することが予想される場合、この回避策は実際に役立ちません。
2. 標準 LDAP ポートの代わりに、グローバルカタログポート（3268 非セキュア、3269 セキュア）を使用します。グローバルカタログのクエリー結果に参照が含まれていません
3. ファイルに、有効でアクセス可能な LDAP サーバーを指す ForestDnsZones.yourdomain.com、DomainDnsZones.yourdomain.com、および yourdomain.com のエントリーがあるように、NuGenesis Web サーバー上のホストファイルを変更します。

追加情報

NG14837 は、メインサーバーが暗号化されていない LDAP であるとき、LDAP 継続参照を介して接続されたサーバーに SSL/TLS セキュリティが必要な場合、「Invalid username/password」（ユーザー名/パスワードが無効です）というメッセージが表示されることがあります。レファレンスを介して到達したサーバーは、メッセージ「The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection」（接続上で SSL/TLS がまだアクティブでない場合、サーバーは整合性チェックを有効にするためにバインドを必要とします）に返されます。このメッセージにより、SDMS で NG14837 エラーが発生します。