locked
クライアントのログインパスワードを変更後、共有フォルダへのアクセス拒否されました。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    お世話になります。
    2003サーバー単体でActiveDirectoryドメインを構成しており、同じサーバーでファイルサーバーの設定をしております。
    ドメインに参加しているXPクライアントの画面(Ctrl+Alt+Del)からログインユーザーのパスワードの変更を実施ました。
    変更後、PC作業中に突然、共有フォルダにアクセス出来なくなってしまいました。
    クライアントを再起動後、新しいパスワードでログインし直したところ正常にアクセス出来るようになり、その後、同事象は同じPCで発生しておりません。
    パスワードを変更したPCの8割でほぼ同事象が発生しており、パスワードを変更した当日や2,3日後に発生する場合もあります。
    いずれも再度ログインすることで問題解消はしておりますが、なぜ、突然アクセス出来なくなったりするのでしょうか?
    また定期的にパスワードは変更していきたいと思っているので、本現象が起きないようにするには注意点などありますか?
    よくある症例や原因、その他参考資料など、皆様の意見をご教授頂けますか。
    よろしくお願いします。

    2009年8月20日 2:24

回答

  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、阿部です。

    本来ならこんなことは起こらないはずなんですが・・・

    ただ、現実に起こっているということなので対応策としては、パスワード変更の際はいったんログオフして再ログオンという手順を追加しておくのがいいと思われます。

    そもそも、クライアントはログオン時にセキュリティトークンがADから配布されて、その情報を使用して共有フォルダなどにアクセスします。この際の整合性がうまく
    取れていないのが原因だと思われます。

    もっと細かく考えるなら操作マスター(FSMO)のPDC-Eがパスワード変更などのお仕事をしていますので、それがうまく動いていないことも考えられますね。

    試すのなら、もう一台DCを立ててFSMOのPDC-Eを移動してみるのもいいかもしれません。ただ、いろいろと調べてみないとなぜこのようなことが起こるのか?は判り兼ねますね。

    1台だけでDCを運用しているということですが、可用性のことも考えて2台以上のDCでの運用をお勧めいたします。
    2009年8月20日 2:48
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは

    このような現象が起こってしまうと一つ一つログを確認してからその現象について確認していく作業が必要になります。しかし、それに費やすコストはどのくらいになるかわかりません。であるなら再作成が最も現実的な解になると思われます。

    これは、一つの方法としてのお話ですが

    もう一台DCを立てて、FSMOやGC、DNSを新しいマシンに移行します。そして今までのマシンをdcpromoでDCからはずしてみて現象が起こるか確認してみるといいかもしれません。

    後は最新のサービスパックや更新プログラムを適用させる

    この方法が現実的に早いような気がしますね

    それ以外なら、マイクロソフトのサポートと連絡を取ってこの現象を解決する方法があります

    がんばってください

    2009年8月20日 4:12

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、阿部です。

    本来ならこんなことは起こらないはずなんですが・・・

    ただ、現実に起こっているということなので対応策としては、パスワード変更の際はいったんログオフして再ログオンという手順を追加しておくのがいいと思われます。

    そもそも、クライアントはログオン時にセキュリティトークンがADから配布されて、その情報を使用して共有フォルダなどにアクセスします。この際の整合性がうまく
    取れていないのが原因だと思われます。

    もっと細かく考えるなら操作マスター(FSMO)のPDC-Eがパスワード変更などのお仕事をしていますので、それがうまく動いていないことも考えられますね。

    試すのなら、もう一台DCを立ててFSMOのPDC-Eを移動してみるのもいいかもしれません。ただ、いろいろと調べてみないとなぜこのようなことが起こるのか?は判り兼ねますね。

    1台だけでDCを運用しているということですが、可用性のことも考えて2台以上のDCでの運用をお勧めいたします。
    2009年8月20日 2:48
  • Question
    サインインして投票
    0
    サインインして投票
    ご返信ありがとうございます。

    >現実に起こっているということなので対応策としては、パスワード変更の際はいったんログオフして再ログオンという手順を追加しておくのがいいと思われます。

    今後の運用にはログオフ/ログオンの手順を追加したいと思います。


    >そもそも、クライアントはログオン時にセキュリティトークンがADから配布されて、その情報を使用して共有フォルダなどにアクセスします。この際の整合性がうまく
    >取れていないのが原因だと思われます。
    >もっと細かく考えるなら操作マスター(FSMO)のPDC-Eがパスワード変更などのお仕事をしていますので、それがうまく動いていないことも考えられますね。

    サーバー側の作業による対処方法などはあるのでしょうか?
    整合性がうまく取れないのは何かの設定の問題でしょうか?それともOS等の仕様やバグみたいなものでしょうか?


    >ただ、いろいろと調べてみないとなぜこのようなことが起こるのか?は判り兼ねますね。

    その通りだと思います。自分として何を調べたらよいのかイマイチ分からないのですが、イベントログ等でしょうか。


    >可用性のことも考えて2台以上のDCでの運用をお勧めいたします。

    ありがとうございます。予算が出るよう申請をしたいとは思いますが、原因究明、対策が出来ない限り難しいかもしれないです。
    頭の固い上司を納得させる対策方法などがまだ分からないので。。。

    「高速ログオン最適化機能」や「キャッシュされたログオン情報」などのからみもあるのでしょうか。
    よろしくお願いいたします。
    2009年8月20日 4:02
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは

    このような現象が起こってしまうと一つ一つログを確認してからその現象について確認していく作業が必要になります。しかし、それに費やすコストはどのくらいになるかわかりません。であるなら再作成が最も現実的な解になると思われます。

    これは、一つの方法としてのお話ですが

    もう一台DCを立てて、FSMOやGC、DNSを新しいマシンに移行します。そして今までのマシンをdcpromoでDCからはずしてみて現象が起こるか確認してみるといいかもしれません。

    後は最新のサービスパックや更新プログラムを適用させる

    この方法が現実的に早いような気がしますね

    それ以外なら、マイクロソフトのサポートと連絡を取ってこの現象を解決する方法があります

    がんばってください

    2009年8月20日 4:12
  • Question
    サインインして投票
    0
    サインインして投票
    ご返信ありがとうございます。

    >もう一台DCを立てて、FSMOやGC、DNSを新しいマシンに移行します。そして今までのマシンをdcpromoでDCからはずしてみて現象が起こるか確認してみるといいかもしれません。

    原因切り分けの為にも、やはりもう一台DCをたてたほうが良いみたいですね。
    それも含めて今後の課題としてがんばります。

    ありがとうございました。

    2009年8月20日 5:10