none
NT4.0から2008R2にAD移行した際に、クライアントPCのドメイン名がFQDNに切り替わらない RRS feed

  • 質問

  • お世話になります。

    古いWinNT4.0(PDC)があり、今回Win2003経由でWin2008R2にAD移行し、別セグメントに
    設置することになりました。その際に、
    クライアントPCのドメイン名がNetBiosからFQDNに切り替わらず、AD認証ができません。
    クライアントPCの台数が多いため、参照DNS変更のみで、できないものでしょうか?

    クライアントPCのドメイン再参加(ワークグループ→ドメイン参加)ではうまくいきます。

    また、同一セグメント上でAD移行した際は、クライアントPCのドメイン名がNetbiosから
    FQDNに自動的に切り替わり、参照DNSを新サーバのIPアドレスに変更するだけで、利用可
    能な状態となりました。

    要件、環境は以下になります。どうぞ、宜しくお願いします。

    【要件】
     ・旧サーバのドメイン名(NetBios)を継続する。
     ・仲介サーバ(NT→2003アップグレードインストール)を利用する。
     ・新サーバのIPアドレスは別セグメントとする。
     ・名前解決はHOSTS/LMHOSTSから新サーバのDNSとする。
     ・信頼関係を再設定する。名前解決はDNS。
     ・クライアントPCはドメインの再参加せず、参照DNSの変更、再起動を行う
     ・トラブル対応のため、旧サーバでロールバックができるように考慮する。


    【現行環境】
    1.旧サーバ(WinNT4.0(PDC)SP6)
     ・IPアドレス:192.168.0.10
     ・信頼関係:ファイルサーバ(名前解決:LMHOSTS)
     ・ドメイン名(Netbios):NTDOM

    2.ファイルサーバ(Win2003R2(AD)SP2)
     ・IPアドレス:172.16.1.30 ※別セグメント
     ・信頼関係:旧サーバ(名前解決:LMHOSTS)
     ・ドメイン名(Netbios):FILEDOM
     ・ドメイン名(FQDN):FILEDOM.local

    3.クライアントPCグループA(Win2000/XP/Vista)
     ・IPアドレス:192.168.0.xxx
     ・旧サーバ、ファイルサーバの名前解決はHOSTSで解決
     ・ドメイン名(Netbios):NTDOM ※ログオン先:FILEDOMも可能
     ・ファイルサーバの共有フォルダ:アクセス可能

    4.クライアントPCグループB(Win2000/XP/Vista)
     ・IPアドレス:172.16.1.xxx ※別セグメント
     ・旧サーバ、ファイルサーバの名前解決はLMHOSTSで解決
     ・ドメイン名(Netbios):NTDOM ※ログオン先:FILEDOMも可能
     ・ファイルサーバの共有フォルダ:アクセス可能

    5.各セグメント間通信
     ・L3/L2スイッチ等を利用
     
    【新環境】
    6.新サーバ(Win2008R2(AD)SP1)×2台構成
     ・IPアドレス:172.16.20.11、172.16.20.12(2台目の新サーバ)
     ・信頼関係:ファイルサーバ(名前解決:DNS)
     ・ドメイン名(Netbios):NTDOM
     ・ドメイン名(FQDN):NTDOM.hogehoge.local.net

    【サーバ手順】
    1.旧サーバ(WinNT4.0(PDC))から仲介サーバ(WinNT4.0(BDC))を構築
    2.仲介サーバをネットワークから切り離す。
    3.仲介サーバをBDCからPDCへ強制的に昇格する。
     旧サーバ情報削除
     信頼関係削除
    4.仲介サーバのIPアドレスを172.16.20.10に変更する
    5.仲介サーバへWin2003をアップグレードインストールする。
     AD構築:FQDNを「NTDOM.hogehoge.local.net」とする
     DNS構築:正引きのみ構築
     ドメイン機能レベル:2003に昇格
    6.仲介サーバへWin2008R2のCDからスキーマ拡張を実施。
    7.新サーバ2台にDCを追加する。
    8.新サーバ(1号機)に操作マスタ(FSMO)を転送する
    9.仲介サーバからDC降格し、メンバサーバとする。
    10.仲介サーバをメンバサーバから降格し、撤去する。
    11.新サーバを機能レベルを変更する
     フォレスト機能レベル:2008R2
     ドメイン機能レベル:2008R2
    12.新サーバをネットワーク環境に接続する。
    13.ファイルサーバと信頼関係を結ぶ
     新サーバ、ファイルサーバでの名前解決はDNSへセカンダリ追加、
     又は条件付きフォワーダで解決

    【クライアント手順】
    1.HOSTS/LMHOSTSの旧サーバ、ファイルサーバの記述を削除する
    2.参照DNSを変更する
    3.再起動する。
    4.ドメインにログオンする。 

     ↑↑ ・ここで認証ができない。
        ・キャッシュログオンできる。
        ・ドメイン名がNetbios表示の状態
        ・nslookupでFQDNでは名前解決は可能

    以上、宜しくお願いします。

    2014年1月6日 8:12

回答

  • チャブーンさん
    local21です。

    まずは、結果からですが、解決しました。

    ドメイン名がFQDNドメインに名に変更していないクライアントPC
    でセキュアはNGでした。間違っていたらごめんなさい。0x5になって
    いました。

    nslookupでsvrレコードの参照は問題ありませんでした。

    サーバ側でクライアントの名前解決をすればOKでした。

    ありがとうございました。

    • 回答としてマーク local21 2014年1月25日 7:47
    2014年1月25日 7:46

すべての返信

  • チャブーンです。

    状況から、NTDOM(Windows NTドメイン)に参加したWindows XP等がNetBIOSベースでのドメインしか認識できていない、可能性があります。DNSへの移行ということであれば、参照先DNSの変更に加え、したの2つを同時に考慮してみてはどうでしょうか?

    1. 新ドメインコントローラ構成に添ったlmhostsファイルを用意し、ひとまずそれで認証させる(最初の1回で大丈夫な気がします)
    2. クライアントの「プライマリDNSサフィックス」の設定にNTDOM.hogehoge.local.netを設定する(コンピューターの名前変更の欄から設定できます)
    2014年1月7日 2:40
    モデレータ
  • チャブーンさん

    local21です。回答ありがとうございます。

    >1.新ドメインコントローラ構成に添ったlmhostsファイルを用意し、
     ひとまずそれで認証させる(最初の1回で大丈夫な気がします)

     現行ので使用してたlmhostsを参考に以下のもので、検証してみます。

     また、お手数ですがlmhostsの用意にあたり、認識に誤りがありまし
     たら、ご指摘をお願いします。


     [lmhosts(WinNT4.0用)]
       192.168.0.10    "NTDOM          \0x1b" #PRE
       192.168.0.10     NTDOM001              #PRE  #DOM:NTDOM

                ↓↓

     [lmhosts(Win2008R2用)]
       172.16.20.11    "NTDOM          \0x1b" #PRE
       172.16.20.11     NTDOM011              #PRE  #DOM:NTDOM
       172.16.20.12     NTDOM012              #PRE  #DOM:NTDOM


    >2.クライアントの「プライマリDNSサフィックス」の設定に
     NTDOM.hogehoge.local.netを設定する(コンピューターの名前変更
     の欄から設定できます)

     lmhostsなしで「プライマリDNSサフィックス」にFQDNを設定し、
     再起動してみましたが、キャッシュログオンのため、だめでした。

     lmhosts対応後に、FQDNを設定し、検証してます。


     検証した結果を展開致します。

     ひとまず、ご連絡まで 
     チャブーンさん、ありがとうございます。

    2014年1月7日 3:46

  • チャブーンさん

    お世話になります、local21です。

    >1.新ドメインコントローラ構成に添ったlmhostsファイルを用意し、
    > ひとまずそれで認証させる(最初の1回で大丈夫な気がします)
    >
    >2.クライアントの「プライマリDNSサフィックス」の設定に
    > NTDOM.hogehoge.local.netを設定する(コンピューターの名前変更
    > の欄から設定できます)


    1.検証した結果ですが、クライアントPCへ

     1)クライアントPCに新サーバ要のLMHOSTSを設定
      [lmhosts(Win2008R2用)]
        172.16.20.11    "NTDOM          \0x1b" #PRE
        172.16.20.11     NTDOM011              #PRE  #DOM:NTDOM
        172.16.20.12     NTDOM012              #PRE  #DOM:NTDOM
     2)クライアントの「プライマリDNSサフィックス」へ"NTDOM.hogehoge.local.net"

    この2点の設定をしましたが、クライアントPCのドメインは切り替わらず、
    キャッシュログオンの状態です。
     クライアントPCのイベントログ(システム)では
      ・NETLOGON/エラー/5719/次の理由のためドメイン、
       NTDOMのドメインコントローラは利用できません・・・

    クライアントはNetBiosでサーバを探しに行っているので、クライアントPCの
    ドメインは切り替わりませんでした。

    なお、nslookupでFQDNでは応答ありなので、参照DNSでの名前解決は
    問題ないかと思います。

    他に何か良い方法はないでしょうか。

     

    2.また、新サーバとクライアントPCを同一セグメント上として実施した結果は、ドメイン名が
    自動的に切り替わりましたが、NTドメイン認証からAD認証に切り替わる流れ
    としてはどのような流れで切り替わるのでしょうか?
    技術サイトの情報等がありましたら、教えていただけないでしょうか?

     [事前作業]
      1)クライアントPCの設定を事前にする
       ・HOSTS/LMHOSTS:サーバに関する部分を削除・コメントアウトにする
       ・参照DNSを新サーバのIPアドレスとする
     
      2)旧サーバ撤去(停止)し、新サーバを設置(稼動)する。

     [クライアントPC電源ONの流れ]
      3)クライアント電源付ける
      ・NetbiosでNTDOMと同期をとりにいく。
      ・NTDOM情報をNTDOM.hogehoge.local.netとして、同期する。
      ・コンピュータのドメイン情報が切り替わる
      ・再起動する。


    どうぞ、宜しくお願いします。

    2014年1月8日 2:19
  • チャブーンです。

    この件ですが、lmhostsが正しいとして「NetBIOSレベルでもログオンできない」というのはちょっと変ですね。一応ですが、セグメント間でのファイアウォールフィルタリングが行われていないかどうか、確認したほうがいいと思います。また、nltestコマンドをクライアントで実行すれば、セキュアチャネルの動作状況=ドメインにコンピュータが接続しているかどうか、はわかると思います。

    クライアントの参照先DNSサーバですが、「ドメインコントローラ『だけ』」の必要があります。他ルータやISPプロバイダのDNSサーバを合わせて指定している(代替DNSであっても)場合、認証に失敗することが多いです。あと、DNS設定のサフィックスで「プライマリおよび接続専用のDNSサフィックスを追加する」がONになっていることも確認してください。ちなみにDNS名前解決の確認の場合、FQDNというよりSRVレコード(_ldap._tcp.<ドメイン名>等)を確認することが必要です。

    なお「NTドメイン認証からAD認証に切り替わる流れとしてはどのような流れで切り替わるのでしょうか?」はクライアントが初動でドメインコントローラを探した際Windows 2000以降のドメインコントローラに接続すると切り替わると認識していますが、これを説明したMSの資料はとくにありません。


    2014年1月9日 2:28
    モデレータ

  • チャブーンさん

    お世話になります、local21です。

    1.lmhostsですが、nbtstat -c確認したところ、
        NTDOM    <1C> グループ
        NTDOM011 <03> 一意
        NTDOM011 <00> 一意
        NTDOM011 <20> 一意
        NTDOM    <1B> 一意
    です。ping NTDOM010で応答もあり、lmhostsは合っていると思っています。


    2.セグメント間のファイアウォールですが、vyatta(仮想L3)を使用していますが、
      デフォルト設定でファイアウォール設定はしておりません。
      NT4.0サーバの時はクライアントPCはlmhostsでドメイン参加できているので、
      問題ないと思っています。

    3.セキュアチャネル


    4.クローズドネットワークでDNSサーバは、外部インターネットに
      接続できない環境です。  


    5.DNS設定のサフィックスで「プライマリおよび接続専用のDNS
      サフィックスを追加する」がONです。

    6.DNS名前解決の確認の場合、FQDNというよりSRVレコード
      (_ldap._tcp.<ドメイン名>等)
      nslookup _ldap._tcp.NTDOM.応答あり。

    7.関連情報
      MSの資料がないのは残念です。

     

    今は他の方法がないか探し中です。

    2014年1月9日 16:46
  • チャブーンです。

    セキュアチャネルの確認はどうだったでしょうか?コマンドとして nltest /sc_verify:<ドメイン名>ですべての戻り値が0x0になる必要があります。

    あと念のためですが、SRVレコードの確認ですが、nslookupの対話コマンドで以下のように入力確認し「IPアドレスのリストによる戻り値(172.16.20.11と172.16.20.12が両方表示される)」まで解決される必要があります。

    >set type=srv
    >_ldap._tcp.ntdom.hogehoge.local.net


    2014年1月10日 2:29
    モデレータ
  • チャブーンさん
    local21です。

    まずは、結果からですが、解決しました。

    ドメイン名がFQDNドメインに名に変更していないクライアントPC
    でセキュアはNGでした。間違っていたらごめんなさい。0x5になって
    いました。

    nslookupでsvrレコードの参照は問題ありませんでした。

    サーバ側でクライアントの名前解決をすればOKでした。

    ありがとうございました。

    • 回答としてマーク local21 2014年1月25日 7:47
    2014年1月25日 7:46