Błąd Active Directory

W Windows 2000 wykryto pierwszy poważny błąd, uniemożliwiający pracę kontrolerów domenowych z wieloma numerami IP.

W Windows 2000 wykryto pierwszy poważny błąd, uniemożliwiający pracę kontrolerów domenowych z wieloma numerami IP.

Błąd wykryty w serwerowej wersji Windows 2000 uniemożliwia obsługę większej liczby numerów IP niż 51 na serwerach pełniących funkcję kontrolerów domenowych. Nie ma znaczenia, czy adresy IP przyporządkowane są jednej czy większej liczbie kart sieciowych. Po dodaniu do konfiguracji sieciowej kontrolera domeny 52. numeru IP, z usług katalogowych Active Directory znikają wszystkie obiekty, co uniemożliwia identyfikowanie użytkowników, komputerów pracujących w sieci i pełnienie innych funkcji kontrolera domenowego. Co więcej, administratorzy tracą możliwość zarządzania usługami katalogowymi za pośrednictwem konsol Active Directory Users and Computers, Active Directory Domains and Trusts oraz Active Directory Sites and Ser-vices. Zamiast dostępu do Active Directory na ekranach ich komputerów wyświetlany jest komunikat o błędzie Naming information cannot be located because: The server is not operational.

Istnienie błędu potwierdził już Microsoft. Firma wprawdzie pracuje nad poprawką, lecz nie wiadomo kiedy ten problem zostanie rozwiązany.

Nie taki problem

Duża liczba numerów IP jest najczęściej stosowana w przypadku serwerów, które udostępniają usługi internetowe. W taki sposób są np. konfigurowane serwery WWW, udostępniające wiele stron internetowych pod różnymi adresami (fizycznie strony te są zlokalizowane na jednym komputerze). Wówczas serwer potrzebuje wielu indywidualnych numerów IP, co najmniej tylu, ile jest udostępnianych stron WWW.

Jednocześnie firma konsolidująca wiele stron internetowych na jednym serwerze zazwyczaj nie "zmusza" go również do pełnienia funkcji kontrolera domeny. Nie jest to zalecane zarówno ze względu na wydajność takiej maszyny, jak i bezpieczeństwo domeny (udostępniane w Internecie serwery ze względów bezpieczeństwa nie powinny być włączone do domeny).

Kontrolery domenowe rzadko konsolidują wiele usług, które wymagałyby indywidualnych numerów IP. Problem ten może dotyczyć w szczególności tych kontrolerów domenowych, na których działa oprogramowanie serwera pocztowego, obsługującego wiele domen internetowych lub serwerów obsługujących wiele podsieci i wyposażonych w dużą liczbę numerów IP. W każdym z tych scenariuszy liczba 51 numerów IP wydaje się wystarczająca, dlatego jest mało prawdopodobne, by odnaleziony błąd rzeczywiście stanowił istotne utrudnienie.

Kłopotliwy LDAP

Według Microsoftu, źródłem problemów jest interfejs programistyczny LDAP API (WLDAP32.DLL). Uniemożliwia on skorzystanie z serwerów LDAP, które mają więcej niż 51 numerów IP, a wszystkie narzędzia administracyjne komunikują się z Active Directory właśnie z wykorzystaniem protokołu LDAP. Firma zaprzecza jednak, jakoby z Active Directory znikały wszystkie obiekty. W ten sposób problem postrzegany jest wyłącznie przez aplikacje, które nie mogą skontaktować się z usługami katalogowymi. Producent Windows 2000 proponuje administratorom, aby zmniejszyli liczbę numerów IP na kontrolerach domeny, których dotyczy problem. Wtedy usługi LDAP powinny działać w pełni poprawnie i kontroler nadal będzie mógł realizować wszystkie funkcje domenowe.


TOP 200