こんにちは、Windows プラット フォーム サポートの進藤です。
Windows Server 2012 では、SMB ダイレクトと呼ばれる機能が搭載されました。
これにより、リモート ダイレクト メモリ アクセス (RDMA) 機能を搭載するネットワーク アダプターの使用がサポートされるようになっています。
RDMA を搭載するネットワーク アダプターは、遅延がきわめて小さく、CPU をほとんど使用しないため、リモート ファイル サーバーをローカル ストレージのように利用することができます。
このようにしてファイル サーバーのパフォーマンスを向上させることが期待できます。
(参考資料)
SMB ダイレクトを使用してファイル サーバーのパフォーマンスを向上させる
https://technet.microsoft.com/ja-jp/library/jj134210.aspx
しかし、この RDMA の機能をドメイン コントローラー上で動作させると、メンバー サーバーで利用するときに比べてファイル サーバーの性能がでないことを確認しましたので、その詳細についてお知らせします。
この RDMA の性能低下は、SMB セキュリティ署名の影響により発生します。
ドメイン コントローラーでは Default Domain Controllers Policy の中でSMB セキュリティ署名のポリシーが既定で有効となっているため、メンバー サーバーで RDMA を利用するときに比べて性能が下がります。
ポリシーの名前:
Microsoft ネットワーク サーバー : 常に通信にデジタル署名を行う
Microsoft ネットワーク サーバー : クライアントが同意すれば、通信にデジタル署名を行う
(参考資料)
SMB のセキュリティ署名の必要性
https://technet.microsoft.com/ja-jp/library/cc731957(v=ws.11).aspx
ドメイン コントローラー上で上記の 2 つのポリシーを「無効」にすることで、RDMA の性能は改善されますが、次の理由からドメイン コントローラー上で RDMA を利用することは推奨しておりません。
- ディスク キャッシュの無効化による性能劣化
ドメイン コントローラーではデータベース破損を防ぐ目的のためディスク キャッシュを無効にする機能が有効となっています。
そのため、ドメイン コントローラーではファイル サーバーとしての性能は高くはなく RDMA に適した環境ではありません。
- 認証のパフォーマンスへの影響
ドメイン コントローラーでは、認証のパフォーマンスを高めるために、メモリや CPU を多く使用します。もしも、メモリや CPU が高負荷となった場合、認証に遅延が生じるなどの影響が出るリスクがあります。
そのため、ドメイン コントローラー上で RDMA を利用することはパフォーマンスの観点からお勧めしません。
- Windows 10 におけるSMB セキュリティ署名の有効化
Windows 10 ではセキュリティの向上のため、ドメイン コントローラーのグループ ポリシーを提供する SYSVOL と NETLOGON の共有フォルダーに対して、SMB セキュリティ署名を利用するように構成されています。
そのため、ドメイン コントローラーで SMB セキュリティ署名を無効化するとWindows 10 では SYSVOL フォルダーにアクセスすることができなくなり、グループ ポリシーが正常に動作しないといった現象が発生します。
本現象の対処策はドメイン コントローラーで SMB セキュリティ署名を有効化するものとなるため、ドメイン コントローラーで RDMA を併用すると Windows 10 へのグループ ポリシーの配信に影響を及ぼします。
コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。