A.5. サービスが起動に失敗する理由の確認

起動に失敗しているサービスのログをチェックします。「Identity Management ログファイルおよびディレクトリー」を参照してください。
たとえば、Directory Server のログは /var/log/dirsrv/slapd-IPA-EXAMPLE-COM/errors にあります。
サービスを稼働するサーバーに完全修飾ドメイン名 (FQDN) があることを確認します。「サーバーのホスト名の検証」を参照してください。
/etc/hosts ファイルにサービスを稼働するサーバーのエントリーが含まれている場合は、完全修飾ドメイン名が最初に記載されているかどうかを確認します。「/etc/hosts ファイル」を参照してください。
「ホスト名および DNS の設定」にある他の条件も満たしていることを確認します。
サービスの認証に使用されるキータブにどのキーが含まれているか判定します。たとえば、dirsrv サービスのチケットは以下のようになります。
```
# klist -kt /etc/dirsrv/ds.keytab
Keytab name: FILE:/etc/dirsrv/ds.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM
   2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM
   [... output truncated ...]
```
1. 表示されているプリンシパルがシステムの FQDN に一致していることを確認します。
2. 上記の表示されているサービスキータブ内のキーのバージョン (KVNO) がサーバーのキータブにある KVNO と一致していることを確認します。サーバーのキータブを表示するには、以下を実行します。
```
$ kinit admin
$ kvno ldap/server.example.com@EXAMPLE.COM
```
3. クライアント上の正引き (A, AAAA, または両方) および逆引きレコードが表示されているシステム名およびサービスプリンシパルと一致することを確認します。
クライアント上の正引き (A, AAAA, または両方) および逆引きレコードが正しいことを確認します。
クライアントとサーバーとのシステムの時間差が 5 分以内であることを確認します。

IdM 管理サーバーの証明書の有効期限が切れると、サービスが起動に失敗することがあります。これが当てはまるかどうかを判定するには、以下を実行します。

getcert list コマンドを使用して、certmonger ユーティリティーが追跡している証明書をすべて一覧表示します。
その出力で、IdM 管理証明書である ldap と httpd のサーバー証明書を見つけます。

status と expires のフィールドをチェックします。

# getcert list
Number of certificates and requests being tracked: 8.
[... output truncated ...]
Request ID '20170421124617':
	status: MONITORING
	stuck: no
	key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-IPA-EXAMPLE-COM/pwdfile.txt'
	certificate: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB'
	CA: IPA
	issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM
	subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM
	expires: 2019-04-22 12:46:17 UTC
[... output truncated ...]
Request ID '20170421130535':
	status: MONITORING
	stuck: no
	key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/httpd/alias/pwdfile.txt'
	certificate: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB'
	CA: IPA
	issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM
	subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM
	expires: 2019-04-22 13:05:35 UTC
[... output truncated ...]

証明書の有効期限が切れていてもサービスを起動する必要がある場合は、「IdM を有効期限の切れた証明書で起動できるようにする方法」を参照してください。

Where did the comment section go?

Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

A.5. サービスが起動に失敗する理由の確認

Where did the comment section go?