Apacheの認証をActiveDirecotryへLDAPで投げているところがあります。
先日FWルールの見直しで、Apacheが動作している鯖からのLDAP通信を当該ActiveDirectoryサーバのみに制限したところ、認証にやたらと時間がかかるようになりました。

iftopでApacheが動作しているサーバ上の通信をチェックしたところ、Apacheのconfigで指定しているActiveDirectoryサーバ以外の多数のサーバへもLDAPで問い合わせをしていることがわかりました。
どうやら、ActiveDirectoryが同期をとっている各サーバへもLDAP問い合わせをしている模様。

 Apache --> ActiveDirectory
        <--　返答?
 Aapche --> ActiveDirectory2
 Apache --> ActiveDirectory3

どうもActiveDirectoryにLDAPで問い合わせをするとほかのドメインコントローラへも同様に問い合わせするようにクライアントへ返答するようです。へんな仕様だな。
それで問い合わせした先からのタイムアウト待っているみたい。むー。

FWに穴を開ける案は却下。他にもActiveDirectoryと同期しているディレクトリサーバがあるようなので、問い合わせ先をこちらへ変更。

上記の現象をはベンダに問い合わせていますが、よくわからないとの返答。