none
NTドメインからAD混在モードへのアップデートでドメインに参加しているファイルサーバのドメイン認証が機能しない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    NTドメインからActiveDirectoryの混在モードへのアップデートを実施しようとしています。
    しかし、タイトルに示したとおり、ドメインに参加しているファイルサーバの共有フォルダにアクセスしようとするとアクセスできません。
    詳細を以下に示します。何か不足している手順や原因についてご存知の片いらっしゃいましたらご教授願います。

    ■目的
    NTドメインからAD混在モードへのアップグレード後、NTドメインのユーザとパスワードでフォルダにアクセスできる

    ■発生した現象(問題)
    アップグレード後、ドメインに参加していないクライアントPC(windows XP等)からドメインに参加しているファイルサーバ(windows server 2003)の共有ファイルにアクセスできない
    ※アクセスできないとは、エクスプローラで「\\ファイルサーバ名\共有フォルダ名」にアクセスすると、ユーザアカウントとパスワードを要求する画面が出てくるが、存在するアカウントと正しいパスワードを入力しても
    認証を通過できず、何度も認証画面が表示されるという意味

    ■アップグレード前の環境
    ・ドメイン名:ADOMAIN
    ・プライマリドメインコントローラ(以下PDC) 
      OS:windows NT server 4.0
      役割:ADOMAINのプライマリドメインコントローラ
      WINS:機能縮小したWINSサーバW
      DNS:TCP/IPプロトコルに指定しているDNSサーバはドメインに関係ないDNSサーバ(D1)
      IP:100.101.102.2
      NetBIOS名解決:LMHOSTS に以下のデータ
               F 100.101.102.1 #PRE
               PDC 100.101.102.2 #DOM:ADOMAIN
               BDC 100.101.102.3 #DOM:ADOMAIN

    ・バックアップドメインコントローラ(以下BDC) 
      OS:windows NT server 4.0
      役割:ADOMAINのバックアップドメインコントローラ
      DNS:D1
      IP:100.101.102.3
      NetBIOS名解決:LMHOSTS に以下のデータ
               F 100.101.102.1 #PRE
               PDC 100.101.102.2 #DOM:ADOMAIN
               BDC 100.101.102.3 #DOM:ADOMAIN

    ・ファイルサーバ(以下F)
       OS:windows server 2003 
       ドメイン:ADOMAINに参加
       DNS:D1
      IP:100.101.102.1
      NetBIOS名解決:LMHOSTS に以下のデータ
               F 100.101.102.1 #PRE
               PDC 100.101.102.2 #DOM:ADOMAIN
               BDC 100.101.102.3 #DOM:ADOMAIN

      共有フォルダ設定:共有のアクセス許可 Everyone フルコントロール
                  フォルダのセキュリティ ADOMAIN\TARO フルコントロール

    ・クライアントPC(以下CL)
      OS:windows XP
      ドメイン:参加せず。WORKGROUP
      DNS:ADOMAINに関係ないDNSサーバでD1とは名前解決しているDNS(D2)
      WINS:機能縮小したWINSサーバW
      IP:DHCPから動的取得
      NetBIOS名解決:LMHOSTS に以下のデータ
               F 100.101.102.1 #PRE
               PDC 100.101.102.2 #DOM:ADOMAIN
               BDC 100.101.102.3 #DOM:ADOMAIN


    ■アップグレード後の環境
    ・ドメイン名:ADOMAIN
    ・プライマリドメインコントローラ(以下PDC) 
      OS:windows 2000 server
      役割:ADOMAINのドメインコントローラ
      DNS:D1
      IP:100.101.102.2
      NetBIOS名解決:LMHOSTS に以下のデータ
               F 100.101.102.1 #PRE
               PDC 100.101.102.2 #DOM:ADOMAIN
               BDC 100.101.102.3 #DOM:ADOMAIN

    ・バックアップドメインコントローラ(以下BDC) 
    ・ファイルサーバ(以下F)
    ・クライアントPC(以下CL)
      アップグレード前と同じ

    ■アップグレード手順
    ①PDCのネットワークケーブルを抜き、windows 2000 server へアップグレード
    ②NTドメインからActiveDirectoryも①のウィザード内でアップグレード
    ③PDCにDNSサービスのインストール(②のウィザードで自動構成する)
    ④BDCのネットワークケーブルを抜く
    ⑤PDCのネットワークケーブルを繋ぐ

    ■手順で不安な箇所、質問
    ・PDCをネットワークを切断したままアップグレードして良かったのか?ネットワークに繋げたままアップグレードするのか?
    ・⑤の後に、Fを再起動する必要があるか?
    ・⑤の後に、Fの共有フォルダに設定の追加が必要か?
    ・⑤の後に、Active DirectoryユーザーとコンピュータでComputersでFに何か操作する必要があるか?
    ・FのTCP/IPのプロパティでPDCをDNSに指定しなくても、ドメインのユーザー認証は機能するのか?
    ・CLのTCP/IPのプロパティでPDCをDNSに指定しなくても、ドメインのユーザー認証は機能するのか?

    以上、詳しく記載するために長文になってしまいましたがご教授願います。
    2009年4月1日 15:09
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    これは、Windows NT 4.0 ドメインコントローラ + Windows Server 2003 メンバサーバの環境で、「PDCだけ Windows 2000 Server にした」ら、おかしくなった、ということですよね。

    PDCだけを Active Directory にした場合、クライアント (Windows XP) は全部、PDC のみに対してログオンを行い BDC を意識しなくなります。このときの認証は kerberos となりますが、メンバサーバも同じように PDC から kerberos 認証を行える環境にいないと、ファイルサーバへのアクセスがうまくいかなくなるのでしょう。

    一番簡単なのは、Windows Server 2003 ファイルサーバの TCP/IP プロパティの「優先 DNS サーバー」を PDC 上の DNS サーバーに指定すればいいでしょう。 

    どうしてもそういうことはしたくない、というなら、アップグレードした PDC に対して NT4Emulator レジストリ値を設定すれば、今のままの状況でもログオンはうまくいくのではないでしょうか?設定の方法はここにありますが、一度でも kerberos 認証 してしまったクライアントは、いっぺんドメインから抜けて、再参加させないと、思ったとおりに動かないかもしれません。

    追記:
    クライアントがドメインに参加している、と思っていました。もう一度条件を見直したのですが、作業として次のことをしたほうがいいでしょう。Windows 2000、Windows Server 2003、Windows XPは DNS ベースでドメインコントローラの検索が必要だからです。これは、クライアントがドメインに参加していなくても、基本的にはいっしょです。

    1. PDC が参照する DNS サーバは、自分自身 (D1 ではなく) にしなければいけない。
    2. D1 に対して名前解決ができるよう、PDC の DNS サーバ上で「D1 へのフォワーダ」を設定しなければいけない。
    3. ファイルサーバが参照する DNS サーバは、PDC 上の DNS サーバ (D1 でなく) にしなければならない。
    4. クライアントが参照する DNS サーバは、PDC 上の DNS サーバ (D1 でなく) にしなければならない。

    もし、どうしても WINS を使ったドメイン名前解決だけをしたい、ということなら NT4Emulator レジストリ値を使ってください。ただしそれでも、うえの作業 1 と 2 は必須です (Active Directory 上で DNS を使わない、ということはできません)。

    2009年4月3日 3:27
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンです。

    > XPクライアントもドメコンのSRVレコードを見に行く必要があるということですよね?

    少なくとも kerberos 認証であれば、必要です。それというのも、ファイルサーバにアクセスする場合、cifs/<サーバ名> というサービスに対するサービスチケットを、TGT を取得したクライアントが KDC に要求するためです。このときSRVレコードで正しい KDC に解決できる必要があるためです。
    2009年4月13日 3:08
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    これは、Windows NT 4.0 ドメインコントローラ + Windows Server 2003 メンバサーバの環境で、「PDCだけ Windows 2000 Server にした」ら、おかしくなった、ということですよね。

    PDCだけを Active Directory にした場合、クライアント (Windows XP) は全部、PDC のみに対してログオンを行い BDC を意識しなくなります。このときの認証は kerberos となりますが、メンバサーバも同じように PDC から kerberos 認証を行える環境にいないと、ファイルサーバへのアクセスがうまくいかなくなるのでしょう。

    一番簡単なのは、Windows Server 2003 ファイルサーバの TCP/IP プロパティの「優先 DNS サーバー」を PDC 上の DNS サーバーに指定すればいいでしょう。 

    どうしてもそういうことはしたくない、というなら、アップグレードした PDC に対して NT4Emulator レジストリ値を設定すれば、今のままの状況でもログオンはうまくいくのではないでしょうか?設定の方法はここにありますが、一度でも kerberos 認証 してしまったクライアントは、いっぺんドメインから抜けて、再参加させないと、思ったとおりに動かないかもしれません。

    追記:
    クライアントがドメインに参加している、と思っていました。もう一度条件を見直したのですが、作業として次のことをしたほうがいいでしょう。Windows 2000、Windows Server 2003、Windows XPは DNS ベースでドメインコントローラの検索が必要だからです。これは、クライアントがドメインに参加していなくても、基本的にはいっしょです。

    1. PDC が参照する DNS サーバは、自分自身 (D1 ではなく) にしなければいけない。
    2. D1 に対して名前解決ができるよう、PDC の DNS サーバ上で「D1 へのフォワーダ」を設定しなければいけない。
    3. ファイルサーバが参照する DNS サーバは、PDC 上の DNS サーバ (D1 でなく) にしなければならない。
    4. クライアントが参照する DNS サーバは、PDC 上の DNS サーバ (D1 でなく) にしなければならない。

    もし、どうしても WINS を使ったドメイン名前解決だけをしたい、ということなら NT4Emulator レジストリ値を使ってください。ただしそれでも、うえの作業 1 と 2 は必須です (Active Directory 上で DNS を使わない、ということはできません)。

    2009年4月3日 3:27
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    irabuです。

    ご返信ありがとうございます。

    1. PDC が参照する DNS サーバは、自分自身 (D1 ではなく) にしなければいけない。
    2. D1 に対して名前解決ができるよう、PDC の DNS サーバ上で「D1 へのフォワーダ」を設定しなければいけない。
    3. ファイルサーバが参照する DNS サーバは、PDC 上の DNS サーバ (D1 でなく) にしなければならない。
    4. クライアントが参照する DNS サーバは、PDC 上の DNS サーバ (D1 でなく) にしなければならない。

    こちらの手順を実行してみます。
    アドバイスありがとうございます。
    再度アップグレード作業を行ってみますので終わり次第また結果報告致します。

    一つ後学のために確認です。
    ファイルサーバがドメインに参加していたら、ユーザ認証はファイルサーバ⇔ドメコンだけで行っているものと考えていました。
    DNSで名前解決する場合、XPクライアントからファイルサーバのリソースへアクセスする際にもドメインコントローラの検索が必要とありますが、
    XPクライアントもドメコンのSRVレコードを見に行く必要があるということですよね?

    2009年4月8日 5:12
    |
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンです。

    > XPクライアントもドメコンのSRVレコードを見に行く必要があるということですよね?

    少なくとも kerberos 認証であれば、必要です。それというのも、ファイルサーバにアクセスする場合、cifs/<サーバ名> というサービスに対するサービスチケットを、TGT を取得したクライアントが KDC に要求するためです。このときSRVレコードで正しい KDC に解決できる必要があるためです。
    2009年4月13日 3:08
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、フォーラムオペレーターの鈴木裕子です(^O^)/

    チャブーン さん、いつも丁寧な回答ありがとうございます!

    irabu さん、その後いかがでしたか?
    アップグレード作業のその後が気になっておりますが、チャブーンさんの回答は、同様の情報を探している他の方にも大変参考になる内容だと思いまして、ぜひ多くの方に参照していただけるよう、ひとまず私のほうで[回答としてマーク]をつけさせていただきました。もし問題が未解決で、引き続きご質問なさりたい場合は、遠慮なくチェック解除してくださいね。

    お時間のある時で良いので、アップグレード作業の結果をぜひお知らせくださいませ(^・^)お待ちしております。
    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    2009年4月23日 1:24
    |
    モデレータ