ファイル分散システム（DSF）の共有フォルダアクセス権の同期について

すべての返信

• 

  

  0

  サインインして投票

  チャブーンです。

  この件ですが、まず、ローカルアカウントとドメインアカウントの定義が必要だと思います。用語に不明瞭な部分があると思いますが、

  サーバ１　・・・　ドメインサーバ
  サーバ２　・・・　メンバサーバ
  サーバ１をプライマリとしてサーバ２間でDSFで双方向レプリケーションを構成しています。
  サーバ１はローカルアカウント、サーバ２はドメインアカウントで共有フォルダのアクセス権
  を設定しています。

  うえのご説明で、「ドメインサーバ」=「ドメインコントローラ」と理解すると、ドメインコントローラのローカルアカウントは存在しないので(ローカルアカウントに見えたとしてもすべてドメインアカウントです)、おっしゃる2サーバのドメインアカウントは同一になります。

  DFSで複製される場合、アクセス許可も複製されますので、どちらかを変更すれば、当然パートナ側も変更されます。言葉通りのご説明であれば、(SIDの一部である)RIDの一部が合致している等で発生している可能性はあり得ますが、ご説明内容の一部がおかしい(サーバ2のアクセス許可をドメインアカウントで変更したなら、サーバ1にも同じドメインアカウントで登録されるはずなので)ので、お話しの内容を再度確認させていただかないと、答えがわからないところかな、と思います。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  2016年4月30日 11:56
• 

  

  0

  サインインして投票

  早速のご回答ありがとうございます。

  ご指摘のとおり、サーバ１はドメインコントローラ兼ファイルサーバとして構成していることもあり、

  ドメインアカウント＝ローカルアカウントとして設定しています。

  サーバ２はドメインに参加した上で、「コンピュータの管理」でローカルアカウントとして登録しています。

  よってサーバ１とサーバ２のアカウント名は同一にはしていません。

  例

  以下のように各サーバ間の共有フォルダのアクセス権が紐づいているのですが

  サーバ１側
  

  共有フォルダＡ　CLOUD￥C１２３４５６、不明なアカウント（ＲＩＤが表示）

  サーバ２側　
  

  共有フォルダＡ　CLOUD￥C１２３４５６、Ｉ５６７８９０

  -----------------------------------

  以下のように別アカウントが紐づいてしまいます。

  サーバ１側

  共有フォルダＡ　CLOUD￥C１２３４５６、CLD￥Ｃ５６７８９０

  サーバ２側　
  

  共有フォルダＡ　CLOUD￥C１２３４５６、Ｉ５６７８９０

  以前、SIDが重複していたが判明し、サーバ１をリプレースしました。仮にRIDが重複していた場合、

  回避策等あればご教授して頂きたくお願いいたします。

  以上、よろしくお願い致します。

  2016年4月30日 12:37
• 

  

  1

  サインインして投票

  やきです。
  
  少し調べた限り、ACLが変わってしまうというケースは見当たりませんでした。
  
  ■　現象についての確認
  以下のように読み取りました。ちょっと細かいですが、認識あっていますでしょうか。
  ・リプレース = サーバ1のOSをクリーンインストール(またはSysprep)して再度ドメインに参加、ドメインコントローラに昇格させた
  ・「I567890」 は、ビルトインアカウントではない。
  ・「CLD\C567890」 は 「CLOUD\C567890」 の誤記。
  ・サーバ1は、ドメインコントローラ。ローカルアカウントは使用していない。
  ・サーバ2は、サーバ1のドメインに参加しているサーバ。
  ・サーバ2から、サーバ2上のDFS用共有フォルダにアクセスし、その中にあるサブフォルダに「サーバ2\I567890に○○権限」というNTFSのACLを追加。
  ・ACLは、フォルダのプロパティ - [セキュリティ] - [詳細設定] より確認。
  
  また、例についてですが、こういうことでしょうか？
  ・サーバ2側でACLを設定すると、「最初の例」の状態となった。しかし、アクセス権を変更をすると「以下のように別アカウントが～」の状態となる。
  
  ■　トラブルシュートに必要そうな情報
  確認が必要そうな事項として、同期自体は正常完了しているのでしょうか。
  イベントビューアの
  
  [アプリケーションとサービスログ] - [DFS Replication]
  
  に警告やエラーがないかご確認ください。
  
  ■　ACLが不一致になるケース
  初期の複製の前に、手作業で双方にファイルをコピーしていたりすると、ACLの不一致になることはあります。
  
  ■　DFSRの不具合
  DFSの更新については、以下に情報があります。
  
  Windows Server 2008 と Windows Server 2008 R2 での分散ファイル システム (DFS) テクノロジの現在利用可能な修正プログラムの一覧
  https://support.microsoft.com/ja-jp/kb/968429
  
  以上、直接的な情報はありませんが、参考になれば幸いです。
  

  2016年5月1日 19:05
• 

  

  0

  サインインして投票

  ご回答ありがとうございます。
  ご指摘の現象の認識で合っております。
  以下のＥｖｅｎｔログを確認したところ
  [アプリケーションとサービスログ] - [DFS Replication]
  ステージングフォルダ領域の警告が発生しておりましたので、ステージングのクオータ領域を11GB→50GBに変更し、
  様子見としております。
  EVENTID　：４２０６（ステージング フォルダーのクリーンアップに失敗した）
  ４２０８（レプリケーション対象のファイルをステージングする領域が不足している）
  気になっているのが、同現象でリプレース前のSIDが一部の共有フォルダに不明な
  アカウントとして紐づいていました。
  どこかにリプレース前のSIDの残存があるのでしょうか（残存を削除する方法はありますか）？
  ご提示して頂いた修正プログラム情報を参考に適用を検討してみようと思います。

  2016年5月2日 13:24
• 

  

  0

  サインインして投票

  チャブーンです。

  気になっているのが、同現象でリプレース前のSIDが一部の共有フォルダに不明な
  アカウントとして紐づいていました。
  どこかにリプレース前のSIDの残存があるのでしょうか（残存を削除する方法はありますか）？

  アクセス許可の情報は、ハードディスクのファイルシステムに直接書かれています。OSをリプレースした場合も、そのディスク(やフォルダ)をフォーマットしない限り、以前のアクセス情報は不明なSIDとして残っていますので、正しい挙動かと思います。OS上にはその情報は残っていませんので、NTFSアクセス許可を直接編集して、削除してください。

  SID重複自体ですが、通常は起こりえない話しであり(OSインストールごとにコンピュータのSIDは別のものになりますので)、何らかの設定不備の可能性はあり得ます。よくあるケースとしては、OSをディスクイメージで一括展開=複数サーバは同じOSイメージで作成する際に、sysprepによるコンピュータ固有情報を削除していない、といった内容です。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  2016年5月3日 7:15
• 

  

  0

  サインインして投票

  ご回答ありがとうございます。

  一旦、DFSの同期を停止し、NTFSのアクセス許可を直接編集して、

  削除後、DSF同期を再開して再現しないか確認してみようと思います。

  以上、よろしくお願い致します。

  
  

  2016年5月10日 14:10