NetApp ONTAP 9.x環境でNTPやDNSの設定をした際に、正常に動作しているかを確認する手法
(2022/08/12追記 「ONTAP 9.x環境でActive DirectoryとNISとでユーザ名マッピングを行わせた場合の確認手法」)
NTPの設定確認
NTP設定がされているかどうかを「cluster time-service ntp server show」で確認
::> cluster time-service ntp server show
Is
Authentication
Server Version Enabled Key ID
------------------------------ ------- -------------- ------
10.20.8.10 auto false -
::>
NTPの動作確認
指定したNTPサーバと同期が取れているかは、adminモードでは確認出来ない。
advancedかdiagモードに切り替えて「cluster time-service ntp status show」を実行して確認。(注:ONTAPバージョンが9.1とかの古いものだと存在しない)
::> set adv
Warning: These advanced commands are potentially dangerous; use them only when
directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y
::*> cluster time-service ntp status show
Node: netapp_02
Server Reachable Selection State Offset (ms)
----------------------- --------- ------------------------------ ------------
10.20.8.10 true Currently Selected Server 21.552
Node: netapp_02
Server Reachable Selection State Offset (ms)
----------------------- --------- ------------------------------ ------------
10.20.8.10 true Currently Selected Server 21.68
2 entries were displayed.
::*>
上記の様に「Reachable:true」となっていればNTPサーバと通信が取れている。
下記の様に「Reachable:false」となっている場合は接続が取れないか、リトライ中である。
::*> cluster time-service ntp status show
Node: netapp_01
Server Reachable Selection State Offset (ms)
----------------------- --------- ------------------------------ ------------
10.20.8.10 false Server Not Responding or Too 0
Distant
Node: netapp_02
Server Reachable Selection State Offset (ms)
----------------------- --------- ------------------------------ ------------
10.20.8.10 false Server Not Responding or Too 0
Distant
2 entries were displayed.
::*>
なお、-insオプションを付けると詳細が確認出来る。
::*> cluster time-service ntp status show -ins
Node: netapp_01
NTP Server Host Name, IPv4 or IPv6 Address: 10.20.8.10
Server IP Address: 10.20.8.10
Is Peer Reachable and Responding to Polls?: true
Is Peer Selected as Clock Source?: true
State of Server Selection: sys_peer
Description of Server Selection State: Currently Selected Server
Poll Interval (secs): 64
Time from Last Poll (secs): 9
Offset from Server Time (ms): -16.61
Delay Time to Server (ms): 0.395
Maximum Offset Error (ms): 20.946
Reachability of Server: 1f
Stratum of Server Clock: 2
Reference Clock at Server: 133.243.238.163
Reported Packet and Peer Errors: -
Node: netapp_02
NTP Server Host Name, IPv4 or IPv6 Address: 10.20.8.10
Server IP Address: 10.20.8.10
Is Peer Reachable and Responding to Polls?: true
Is Peer Selected as Clock Source?: true
State of Server Selection: sys_peer
Description of Server Selection State: Currently Selected Server
Poll Interval (secs): 64
Time from Last Poll (secs): 14
Offset from Server Time (ms): 6.623
Delay Time to Server (ms): 0.398
Maximum Offset Error (ms): 17.906
Reachability of Server: 1f
Stratum of Server Clock: 2
Reference Clock at Server: 133.243.238.163
Reported Packet and Peer Errors: -
2 entries were displayed.
::*>
“Stratum of Server Clock”と”Reference Clock at Server”の値が見えてればだいたい大丈夫でしょう。(ちなみに上記の 133.243.238.163 は ntp.nict.jp / ntp.nict.go.jp を構成するIPアドレスの1つです)
diagモードにしてsystemshellが使える状態であれば「systemshell -node local -command “sudo ntpq -pn”」を実行することで各ノードごとで動作しているntpdの状態を取得することもできます。
ontap91::*> systemshell -node local -command "sudo ntpq -pn"
(system node systemshell)
remote refid st t when poll reach delay offset jitter
==============================================================================
xxx.xx.xx.xxx 133.243.238.164 2 u 33 64 1 0.489 29.541 2.335
ontap91::*>
“Error: command failed: Error: Account currently locked. Contact the storage administrator to unlock it.”と出力される場合は「security login show -username diag」を実行してdiagユーザ「Acct Locked」状態を確認し、「security login unlock -username diag」でロック解除することで実行できるようになります。(詳細→「NetApp ONTAPから他サーバに気軽にsshできる穴がふさがれてしまった」)
DNSの設定確認
DNSに関する設定は「vserver services name-service dns show」を実行する。
ontap98::> vserver services name-service dns show
Name
Vserver Domains Servers
--------------- ----------------------------------- ----------------
ontap98 adosakana.local 172.17.44.49
share225 adosakana.local 172.17.44.49
share228 adosakana.local 172.17.44.49
3 entries were displayed.
ontap98::>
Active Directoryに参加している場合は、DNSの自動更新に関する設定も重要なので「vserver services name-service dns dynamic-update show」で確認する。
ontap98::> vserver services name-service dns dynamic-update show
Vserver Is-Enabled Use-Secure Vserver FQDN TTL
--------------- ---------- ---------- ------------------------ -------
share225 true false adosakana.local 24h
share228 false false - 24h
2 entries were displayed.
ontap98::>
上記例では、Storage VM:share225ではDNS自動更新を有効にしている、ということになる。
/etc/hosts ファイルに相当する固定の名前解決を行っているかは「vserver services name-service dns hosts show」で確認する。
注意が必要なのは、「NetAppのクラスタ管理」と「各Storage VM」でそれぞれ別の設定になっているということ。これを勘違いしているとうまく名前解決が実施できない。
ネットワークインタフェースとルーティングの設定も関係してくるので「network interface show」と「network route show」も確認すると良い。
DNSの動作確認
DNSサーバに接続ができているかは「vserver services name-service dns check -vserver SVM名 -ins」で確認出来る。
ontap98::> vserver services name-service dns check -vserver ontap98 -ins
Vserver: ontap98
Name Server: 172.17.44.49
Name Server Status: up
Status Details: Response time (msec): 1
ontap98::>
上記はStorageVM:ontap98 に対して確認を実施した結果となり、「Name Server status:up」で「Response time(msec)」の値があるのでDNSサーバ応答があった、ということになる。
指定したホスト名が名前解決できるかはadvancedモード/diagモードが必須となる。
コマンドは「vserver services name-service getxxbyyy getaddrinfo -vserver SVM名 -hostname 解決したいホスト名」か「vserver services name-service getxxbyyy gethostbyname -vserver SVM名 -hostname 解決したいホスト名」となる。
ontap98::> set advanced
Warning: These advanced commands are potentially dangerous; use them only when directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y
ontap98::*>vserver services name-service getxxbyyy getaddrinfo -vserver ontap98 -hostname adserver
Host name: adserver
Canonical Name: adserver.adosakana.local
IPv4: 172.17.44.49
ontap98::*>
IPアドレスの逆引きは 「vserver services name-service getxxbyyy getnameinfo -vserver SVM名 -ipaddress IPアドレス」 か 「vserver services name-service getxxbyyy getnameinfo -vserver SVM名 -ipaddress IPアドレス 」 となる
ontap98::*> vserver services name-service getxxbyyy gethostbyaddr -vserver ontap98 -ipaddress 172.17.44.49
IP address: 172.17.44.49
Host name: adserver.adosakana.local
ontap98::*>
Active Directory関連
SVMのCIFSが動いてるかどうか確認
netapp9101::> vserver cifs show
Server Status Domain/Workgroup Authentication
Vserver Name Admin Name Style
----------- --------------- --------- ---------------- --------------
svm0 SVM0 up ADOSAKANA domain
netapp9101::>
Active Directoryへの接続確認
netapp9101::> vserver cifs check -vserver svm0
Vserver : svm0
Cifs NetBIOS Name : SVM0
Cifs Status : Running
Site : Default-First-Site-Name
Node Name DC Server Name DC Server IP Status Status Details
--------------- -------------- --------------- ------ --------------
netapp9101-01 adosakana.local 172.17.44.49 up Response time (msec): 51
netapp9101::>
クライアントからアクセスがあった後に確認できるようになる情報
クライアントから共有にアクセスがあったあとに表示されるようになる情報群
どのActive Directoryサーバに接続してるか
netapp9101::> vserver active-directory discovered-servers show
Node: netapp9101-01
Vserver: svm0
Domain Name Type Preference DC-Name DC-Address Status
--------------- -------- ---------- --------------- --------------- ---------
adosakana.local MS-LDAP adequate adserver 172.17.44.49 OK
adosakana.local MS-DC adequate adserver 172.17.44.49 OK
2 entries were displayed.
netapp9101::>
netapp9101::> vserver active-directory discovered-servers show
Node: netapp9101-01
Vserver: svm0
Domain Name Type Preference DC-Name DC-Address Status
--------------- -------- ---------- --------------- --------------- ---------
adosakana.local KERBEROS favored adserver 172.17.44.49 undetermined
adosakana.local MS-LDAP favored adserver 172.17.44.49 undetermined
adosakana.local MS-DC favored adserver 172.17.44.49 OK
3 entries were displayed.
netapp9101::>
接続しにきたクライアントをどのLIFで受けたのか
netapp9101::> vserver cifs connection show
Node: netapp9101-01
Vserver: svm0
Connection Session Workstation
ID IDs Workstation IP Port LIF IP
---------- --------------------- --------------- ----------- ---------------
936674349 3075958545494048785 172.17.44.170 61391 172.17.44.56
netapp9101::>