none
ドメインコントローラーサーバのローカルAdministratorの認証エラー RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    サーバのドメインコントローラーへの昇格後は、ローカルのAdministratorが使えなくなる事は、

    http://social.technet.microsoft.com/Forums/ja-JP/9dbf8424-df49-4f56-abc4-25bd75d67fe1/administrator?forum=activedirectoryja

    こちらで確認しました。

    ドメインコントローラーへのクライアントからのアクセスで質問があります。

    クライアントのバッチなどからドメインコントローラーへの認証はAdministrator、パスワードで正常に認証出来ていました。ドメインコントローラー入替後から認証エラーが1日に百数十件記録されるようになってしまった為、アクセスログを確認したところドメインコントローラーサーバ名¥Administratorでアクセスがあり認証エラーになっている事が確認されました。

    1、特に何も設定変更していないでドメインコントローラーを移行だけしたのですが、振る舞いが突然変わると言った事は考えられるのでしょうか。クライアントOSはXPからWindows7に変わった可能性はあります。

    2、ドメインコントローラーサーバ名¥Administratorを作成する事は可能でしょうか。

    3、そもそも存在しないドメインコントローラーサーバ名¥Administratorへのログインアタックは何かシステムに影響を与えたりしないのでしょうか。

    以上、よろしくお願い致します。

    ishizuka

    2014年1月9日 4:20
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    おそらくパススルー認証で、相手先サーバ名を自動設定しているのでしょうが、確約したことはいえません。影響範囲は、対応先サーバの動作しだいですので、まず担当者に現状問題が出ていないか確認してもらうしかないのではないでしょうか?

    ドメインコントローラ側の問題としては、セキュリティログに無駄な記録が増えていき、古いイベントが上書きされて消失する、といった点があると思います。

    • 回答の候補に設定 佐伯玲 2014年1月17日 0:53
    • 回答としてマーク 佐伯玲 2014年2月4日 1:25
    2014年1月15日 4:17
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    「影響範囲」という点では、結局システム環境次第ですので、ドメインコントローラ管理者の単独判断(対応)は難しいと思います。認証エラーが出ているということは、(素で考えれば)相手側メンバサーバ上の動作に何か影響が出ている可能性があり(タスクが正常実行できない等)、これは相手サーバの管理者に確認するしか方法がありません。

    心配されているID12294エラーですが、これは「存在しているアカウントのロックアウトができない」ということで、ADデータベースの不整合やディスクエラーで起こります。本ケースではアカウントがそもそも存在していないので、エラーそのものの影響は特にないと考えられます。
    #実際にエラーが出ているのですね。失礼しました。

    ということで、必要があれば利用者(お客様)に仲介いただいてでも、相手側メンバサーバの管理者と相談していただくというのが、正攻法だと思います。

    追記:

    内容と御社のサポートページの下記も参照させて頂き対応を進めています。

    なお、私自身はマイクロソフトの社内関係者ではありません。本フォーラムは一井のエンジニア同志の情報交換の場ですので、この点はお含みおきください。「マイクロソフトからのサポート」が前提にある場合、ここではなくマイクロソフトの有償サポートをご利用ください。


    2014年1月22日 2:24
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    そちらのシステム要件はわかりかねますが、状況から考えられるパターンとしては、以下のようなものではないでしょうか?

    1. (メンバーサーバとして動作していた)接続先サーバへドメイン環境に影響されずにネットワーク接続する必要から、「接続先サーバ名\Administrator」をタスクの認証アカウントとしてクライアント側で設定していた
    2. 接続先サーバがドメインコントローラに昇格したため、「接続先サーバ名\Administrator」アカウントが消失し、認証エラーが起こった

    そういうことかどうかを確認するためには、クライアント側でそのような設定が行われているかどうか、個々に確認するしかないと思います。ちなみに「ドメインコントローラのサーバ名\Administrator」アカウントをドメイン環境に用意することはできません。

    2014年1月10日 3:53
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答有り難うございます。

    タスクには「接続先サーバ名¥Administrator」と設定されていたのではなく、「Administrator」だけ設定されていました。

    しかし、WindowsServer2008R2のイベントログには「接続先サーバ名¥Administrator」となっていました。

    ドメインサーバを入れ替えた後から、自動的に「接続先サーバ名¥Administrator」でアクセスされるようになってしまったようです。

    対策が「ドメイン名¥Administrator」に変更する対策は思いついているのですが、対応先サーバは私が管轄するものではなく、数十台あるようですので現実には全て対応が出来ません。

    代替え対策で「接続先サーバ名¥Administrator」の用意をする事で出来ないか模索しておりましたのでこれが無理と言う事であれば、このままで進めるしか方法がなく、その場合、存在しない認証はシステムに影響が無いのか知りたかった次第です。

    以上、よろしくお願い致します。

    ishizuka

    2014年1月10日 4:15
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    おそらくパススルー認証で、相手先サーバ名を自動設定しているのでしょうが、確約したことはいえません。影響範囲は、対応先サーバの動作しだいですので、まず担当者に現状問題が出ていないか確認してもらうしかないのではないでしょうか?

    ドメインコントローラ側の問題としては、セキュリティログに無駄な記録が増えていき、古いイベントが上書きされて消失する、といった点があると思います。

    • 回答の候補に設定 佐伯玲 2014年1月17日 0:53
    • 回答としてマーク 佐伯玲 2014年2月4日 1:25
    2014年1月15日 4:17
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答有り難うございます。

    ログ出力のタイミングを見ましたところ、イベントIDの12294が1日に100件前後発生しており、このエラーが発生するタイミングでドメインコントローラーサーバ名¥Administratorへのログイン失敗が1秒間に30回以上出るタイミングとほぼ一致しています。

    内容と御社のサポートページの下記も参照させて頂き対応を進めています。

    http://social.technet.microsoft.com/Forums/ja-JP/8f40b1d4-e8b5-40b1-b54b-8237f9ccd354/administratorsam-administrator-?forum=activedirectoryja

    ログが増えるだけなら心配はしていないのですが、上記のような場合にもログが増えるだけで他に影響が無いのかを心配しております。

    以上、よろしくお願い致します。

    ishizuka

    2014年1月21日 0:28
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    「影響範囲」という点では、結局システム環境次第ですので、ドメインコントローラ管理者の単独判断(対応)は難しいと思います。認証エラーが出ているということは、(素で考えれば)相手側メンバサーバ上の動作に何か影響が出ている可能性があり(タスクが正常実行できない等)、これは相手サーバの管理者に確認するしか方法がありません。

    心配されているID12294エラーですが、これは「存在しているアカウントのロックアウトができない」ということで、ADデータベースの不整合やディスクエラーで起こります。本ケースではアカウントがそもそも存在していないので、エラーそのものの影響は特にないと考えられます。
    #実際にエラーが出ているのですね。失礼しました。

    ということで、必要があれば利用者(お客様)に仲介いただいてでも、相手側メンバサーバの管理者と相談していただくというのが、正攻法だと思います。

    追記:

    内容と御社のサポートページの下記も参照させて頂き対応を進めています。

    なお、私自身はマイクロソフトの社内関係者ではありません。本フォーラムは一井のエンジニア同志の情報交換の場ですので、この点はお含みおきください。「マイクロソフトからのサポート」が前提にある場合、ここではなくマイクロソフトの有償サポートをご利用ください。


    2014年1月22日 2:24
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答有り難うございます。

    正攻法での確認を現在実施しておりますが、時間が掛かる見込みです。

    イベントID 12294のエラーと同時に存在しないアカウントへのログインアタックは毎日百数十回に及び、Web等を検索して調べても先にお教え頂いたようなADデータベース不整合やディスクエラーとなっており、どうすれば解消するかは見付かりませんでした。

    どこから調べたらよいのかわからない状況です。

    このままでは何もせずに終わりそうなので有償サポートを検討したいと思います。

    以上、よろしくお願い致します。

    ishizuka

    2014年1月28日 4:27
    |