none
ドメインに正常に参加できているかについて

    質問

  • 掲題の件に関して質問がございます。

    分かる方がいらっしゃいましたら教えて頂けないでしょうか。

    DCをWindows Server 2008で構築しています。

    クライアントPC(Windows XP)からドメインユーザにてログオンした場合

    キャッシュでログオンしているのか、正常にドメインにログオンできているのか

    クライアントPC側から、DC側から、それぞれ確認する手段としてどのような方法がありますでしょうか。

     

    ※DC側から確認する方法として、現在ドメインに正常に参加できている

    クライアントの一覧などを参照する方法等があればご教授頂ければと思います。

     

    お忙しいところお手数おかけいたしますが

    よろしくお願い致します。

    2010年4月16日 22:57

回答

  • チャブーンです。

    #皆さんのコメント、なかなか勉強になりますね。とくに whoami /fqdn はおもしろかったです...。

    この件なんですが、キャッシュがらみの話しであれば、「クライアント端末上で直接」確認する以外、ちゃんとした方法はない気がします。

    私であればですが nltesl /SC_Query コマンドで「クライアントが現状ログオンしているドメインコントローラ名」を確認するのかなと。

    これ以外の方法では、クライアントコンピュータとドメインコントローラ間で、セキュアチャネルのチェックをすることで直近ログオンが行われているか (ログオンしないとセキュアチャネルは確保できません) 、をチェックすることはできるんじゃないでしょうか。これは nltest /SC_Verify (クライアント側) netdom verify (ドメインコントローラ側) でできる、ということだそうです。

    ドメインにログオンできない ~ セキュア チャネルの破損 ~

    あと、オマケですが、%LOGONSERVER% 変数は Windows XP 以降では必ずしも適切に動作しません。これは Windows XP 以降では "高速ログオン" という機能でキャッシュログオンをデフォルトで行うためで、この機能がない Windows 2000 以前を前提としていたこの変数は、想定どおりは動作しない、というのが私の認識です。

    2010年4月23日 3:23
    モデレータ
  • 阿部です

    一番手っ取り早いと思われるのはクライアント側から

    whoami /fqdn

    をたたいて返答が返ってくるか?によってキャッシュされたログオンか否かを判断することが可能です。

    この件に関しては国井さんのブログにて詳細に書かれています。

    キャッシュされたログオン
    http://sophiakunii.spaces.live.com/blog/cns!3B23D5E467A2BF75!888.entry

     


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.spaces.live.com/
    2010年4月20日 4:43
    モデレータ

すべての返信

  • こちらの投稿の最後の投稿者の回答が参考になると思います。

    また、あちらの掲示板の投稿にあるようにキャッシュログロンだとグループポリシーが適用されないので、クライアントよりイベントビューアを立ち上げるとアプリケーションログとシステムログに何らかのエラーが出ているはずです。

     

    >DC側から確認する方法として、現在ドメインに正常に参加できているクライアントの一覧などを参照する方法

    については

    DCでセキュリティログの

    分類(R):  ログオン/ログオフ  の「成功の監査」を調べる方法しか思いつきませんのでそれ以外の方法については識者よりの回答を待ってみてください。

     

     


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年4月17日 15:30
  • DCからの確認方法は試験問題作成委員会さんが言われている方法しか私も思い浮かびません。

    クライアントの確認方法はコマンドプロンプトから set コマンドを発行し、出力されたログの

    logonserver欄を見る方法が簡単だと思います。

    2010年4月19日 0:20
  • 阿部です

    一番手っ取り早いと思われるのはクライアント側から

    whoami /fqdn

    をたたいて返答が返ってくるか?によってキャッシュされたログオンか否かを判断することが可能です。

    この件に関しては国井さんのブログにて詳細に書かれています。

    キャッシュされたログオン
    http://sophiakunii.spaces.live.com/blog/cns!3B23D5E467A2BF75!888.entry

     


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.spaces.live.com/
    2010年4月20日 4:43
    モデレータ
  • チャブーンです。

    #皆さんのコメント、なかなか勉強になりますね。とくに whoami /fqdn はおもしろかったです...。

    この件なんですが、キャッシュがらみの話しであれば、「クライアント端末上で直接」確認する以外、ちゃんとした方法はない気がします。

    私であればですが nltesl /SC_Query コマンドで「クライアントが現状ログオンしているドメインコントローラ名」を確認するのかなと。

    これ以外の方法では、クライアントコンピュータとドメインコントローラ間で、セキュアチャネルのチェックをすることで直近ログオンが行われているか (ログオンしないとセキュアチャネルは確保できません) 、をチェックすることはできるんじゃないでしょうか。これは nltest /SC_Verify (クライアント側) netdom verify (ドメインコントローラ側) でできる、ということだそうです。

    ドメインにログオンできない ~ セキュア チャネルの破損 ~

    あと、オマケですが、%LOGONSERVER% 変数は Windows XP 以降では必ずしも適切に動作しません。これは Windows XP 以降では "高速ログオン" という機能でキャッシュログオンをデフォルトで行うためで、この機能がない Windows 2000 以前を前提としていたこの変数は、想定どおりは動作しない、というのが私の認識です。

    2010年4月23日 3:23
    モデレータ
  • こんにちは、フォーラムオペレーターの三沢健二です。

    みなさん、アドバイスありがとうございます。

    案内いただいた内容は参考になる情報ではと思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。

    監査ログについては、下記の情報なども参考にしていただければと思います。

    - 参考情報
    ログオン イベントの監査
    http://technet.microsoft.com/ja-jp/library/cc787567(WS.10).aspx


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年4月27日 2:53
    モデレータ