none
パスワード変更時に「認証要求を処理するドメインコントローラーにアクセスできません。 しばらくしてから再実行してください。」と表示されるが実際にはパスワード変更できている事象について RRS feed

  • 質問

  • お世話になります。

    タイトルの件ですが、net userコマンドでADユーザーのパスワード変更を行ったのですが、初回ログイン時にパスワードの変更をONにしているのでパスワードリセットを行ったユーザーはログイン時にパスワード変更を行う必要があります。パスワード変更を行った際にタイトルのメッセージが表示されます。

    「認証要求を処理するドメインコントローラーにアクセスできません。 しばらくしてから再実行してください。」

    再度パスワード変更を行おうと古いパスワード欄にリセット時に作成されたパスワード、新しいパスワード欄に新しいパスワードを入力して再度変更を行おうとしたところ入力したパスワードは正しくありませんと出てしまいました。一度キャンセルして変更後のパスワードを入力したところログインができパスワードが変更されていました。

    ADサーバを2台構築しており、互いに同期するようにしていますが、イベントログを確認したところ一台(AD1)にはパスワード変更がされているログがありましたが、もう1台(AD2)にはログがありませんでした。

    これのログ出力が正しい挙動なのでしょうか

    お手数ですがご教授いただけますでしょうか。宜しくお願い致します。

    追記:ADサーバの情報を記載し忘れていましたがサーバのOSは2台ともWindows Server 2016になりAWS、GCP環境で構築しています。ADサーバ同士は拠点間VPNをAWSで作成して通信取れるようにしています。クライアント側からはAWSのADサーバのみVPN接続時にアクセスすることができ、GCP側のADサーバはVPN接続時にADサーバで利用するポートの通信自体は許可しておりますが接続はできないようにしています。


    • 編集済み 神楽 2021年9月7日 0:55
    2021年9月2日 3:09

すべての返信

  • 本事象ですが、ユーザーがパスワード変更する際には上記のメッセージは表示されず、正常にパスワード変更が完了しました。初回ログイン時のパスワード変更時のみに今回のメッセージが表示されることを確認しました。
    2021年9月7日 0:55
  • チャブーンです。

    この件ですが、前の投稿(削除済みのようですが)に、そのヒントがありそうです。

    結論から言うと、一部のドメインコントローラーを「クライアントから接続不可」にしてあることが、想定外の設定のため、エラーになっていると思われます。

    クライアントはネットワーク設定やレイテンシから「接続するドメインコントローラーを動的に選択」しますが、これは接続不可のドメインコントローラーを必ずスキップする(無視する)という意味ではありません。従って意図的に接続不可のドメインコントローラーを設定している場合、このようなエラーは出て当然、ということになります。

    何が何でもこれをやめたい、という場合、Active Directoryサイトを構成し、AWSとGCP環境でサイトを分けて構成し、クライアントの所属サイトをAWSサイトに設定します。こうするとクライアントはAWSサイトのドメインコントローラを優先的に見に行くため、このようなエラーは格段に少なくなるでしょう。完全になくすことは、しくみ上ムリですが。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年9月7日 6:36
    モデレータ
  • チャブーンさん

    ご返信ありがとうございます。

    前の投稿ですが返信で記載するより質問内に含めたほうがいいと思い質問内容に追記させていただいております。「一部のドメインコントローラーを「クライアントから接続不可」にしてあることが、想定外の設定のため、エラーになっていると思われます。」とのことですが、そのような設定は特にしていないのですが、構築時にはデフォルトのまま構築しています。

    もし、「クライアントから接続不可」の設定になっているようであれば解除したいのですが確認方法はありますでしょうか。また、ActiveDirectoryサイトの構成により対応可能とのことですがどのように構築すればいいでしょうか。参考になるサイトなどがあればご教授いただきたく思います。

    何卒ご協力の程宜しくお願い致します。

    2021年9月7日 8:36
  • 本件についていまだ原因特定並びに改善していないのでどなたかご教授いただけませんでしょうか。

    宜しくお願い致します。

    2021年9月14日 1:00
  • 最初の質問文で「クライアント側からはAWSのADサーバのみVPN接続時にアクセスすることができ、GCP側のADサーバはVPN接続時にADサーバで利用するポートの通信自体は許可しておりますが接続はできないようにしています。」と書かれているのに、「そのような設定は特にしていない」と書かれていることが矛盾するように見えるので、手を出しにくい話になっていりと思われます。

    この部分の実際の状況/設定について再確認の上で五体的な情報を出された方が良いでしょう。


    Hebikuzure aka Murachi Akira

    2021年9月14日 3:15
  • Hebikuzure aka Murachi Akiraさん

    ご返信ありがとうございます。

    VPNではあくまでクライアントからリモート接続できないようにGCP側で行っており、ADサーバで設定しているわけではありません。言葉が足りず申し訳ありません。GCP側のADサーバにはVPN接続していればPINGでの疎通も可能となり、AD機能で使用しているポートは通信できるように設定しております。

    なので今回の事象が発生していること自体がおかしいかと思っておりますが、原因の特定などができない状況となります。

    GCP側の設定については自分の方で行っているわけではない為、どういった情報が必要になるのかご教授いただきたく存じます。滅多にパスワードリセットするようなことはありませんが依頼がある前に改善させたいと思っていますので何卒宜しくお願い致します。

    また、先日検証を行った際、同じADアカウントで別のPCにログインしてパスワードリセットを行い、パスワード変更したところ正常に変更でき、今回のメッセージが表示されないことを確認しました。

    何卒宜しくお願い致します。

    2021年9月14日 4:06
  • 実際に現象発生時にクライアントからどちらのドメイン コントローラーとも接続可能であることを確認されているのでしょうか?


    Hebikuzure aka Murachi Akira

    2021年9月14日 7:21
  • チャブーンです。

    この件ですが、ドメインコントローラーの接続でエラーが出る、ということは、クライアントが「ログオン時に」動的に選択したドメインコントローラーが、接続不可の状態になっているという意味です。

    VPNで接続できないようにしている、の意味が判然としませんが、VPN接続中にGCPドメインコントローラーにアクセスできない状態にもかかわらず、そちらにログオンしようとしている、ということが原因かと思います。

    クライアントに明確にログオン先ドメインコントローラを指定させることは、しくみ上できませんが、特定グループに属するドメインコントローラーにログオンさせる、ことはできるので、この設定を行えば、ログオンの際にはほぼ必ずAWSのそれを指すことができるでしょう。

    サイトの設定については、Active Drectoryでは割とよくある話しですので、まずは以下の資料等で、概念や利点を理解し、設定を行ってください。

    Active Directoryに「サイト」が必要な理由:基礎から分かるActive Directory再入門(5) - @IT (itmedia.co.jp)


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年9月15日 2:09
    モデレータ
  • Hebikuzure aka Murachi Akiraさん

    ご返信ありがとうございます。

    事象発生時の確認方法がわからないのですが、パスワードリセット前にnslookupで既存のサーバがAWSのADサーバになっておりserver GCPのADサーバで変更し既定のサーバがGCPのADサーバに変わったことを確認し、パスワードリセットを行ってログインのパスワード変更を行ったところ事象は発生いたしました。

    2021年9月15日 7:35
  • チャブーンさん

    ご返信ありがとうございます。

    ドメインコントローラーの制御設定を確認したのですが下記URLの設定を行えば改善される可能性があるという認識でよろしいでしょうか。

    https://xtech.nikkei.com/it/article/Windows/20051013/222700/

    上記サイトではレジストリから設定を変更されていますが、ActiveDirectoryサイトからも変更ができそうなのですが変更する際はレジストリから変更したほうがいいのでしょうか。

    2021年9月15日 7:39
  • チャブーンです。

    この件ですが、いただいたページの内容は、ドメインコントローラーの優先順をSRVレコード単位で設定するもので、サイトの構成とは別の内容です。正確には、前半の内容だけが有効となるでしょう。

    したがってレジストリの設定は、一切不要です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年9月15日 12:24
    モデレータ
  • チャブーンさん

    ご確認ならびにご返信ありがとうございます。

    ご返信確認する前に設定を行ったのですが、確かに改善はされませんでした。再度ログオンサーバの指定方法について確認させていただきましたところ以下のURLのサイトを確認しましたがこちらを実施するという事でしょうか。

    https://ascii.jp/elem/000/000/526/526654/2/

    内容を確認したのですが新たにログオン認証用にサイトを作成してサブネットの設定をするようなのですが、サブネットに関してはVPNのレンジでIPアドレスが割り振られている為、ドメインコントローラーからのIPの割り振りは行われません。

    設定する際はVPNと同じレンジで設定すればいいのでしょうか。

    2021年9月16日 4:07
  • チャブーンです。

    内容を確認したのですが新たにログオン認証用にサイトを作成してサブネットの設定をするようなのですが、サブネットに関してはVPNのレンジでIPアドレスが割り振られている為、ドメインコントローラーからのIPの割り振りは行われません。

    設定する際はVPNと同じレンジで設定すればいいのでしょうか。

    その通りです。具体的には、以下のようになるでしょう。

    • サイトA
      AWSドメインドメインコントローラーIPアドレス(帯)
      VPNクライアント VPN インターフェースのIPアドレス帯
    • サイトB
      GCPドメインコントローラーIPアドレス(帯)

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年9月16日 11:00
    モデレータ
  • チャブーンさん

    ご返信ならびにご確認ありがとうございます。

    ご確認いただきました内容で一旦以下のようにサイトを作成しました。

    この後にAWS・GCPのドメインコントローラーを各サーバのサイトへ移動することになるかと思いますが、制御をかけるにあたっては各サイトのサブネットに設定してあるレンジのIPアドレスがそれぞれのサイトに対してログオン認証しに行くという認識で合っていますでしょうか。

    2021年9月17日 4:10
  • チャブーンです。

    <snip>制御をかけるにあたっては各サイトのサブネットに設定してあるレンジのIPアドレスがそれぞれのサイトに対してログオン認証しに行くという認識で合っていますでしょうか。

    それであっています。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年9月21日 1:52
    モデレータ
  • チャブーンさん

    ご返信ありがとうございます。

    サイトの設定を行った後に再度パスワードリセットを行いましたがやはり初回ログイン時にパスワード変更時にメッセージが表示されてしまいました。

    また、今回のサイトの設定を行った場合、AWSのADサーバが停止した際、GCPのADサーバ経由で認証を行う事は可能なのでしょうか。前回確認させていただきました「制御をかけるにあたっては各サイトのサブネットに設定してあるレンジのIPアドレスがそれぞれのサイトに対してログオン認証しに行くという認識で合っていますでしょうか。」という質問に対してこの認識で合っているとの回答をいただきました。

    AWSのVPNの払出は192.168.252.0/22になるのでGCP側のIPとは異なります。VPN経由でも疎通自体は可能ですが認証できるのでしょうか。

    以上となります。宜しくお願い致します。

    2021年9月21日 3:04
  • 本件について引き続きご教授の程宜しくお願い致します。
    2021年9月29日 9:20
  • チャブーンです。

    返答できずすみません。この件ですが、まずクライアントのレジストリを確認し、正しくサイトを認識しているか確認してください。

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters!DynamicSiteName

    というレジストリに、サイト名は正しく入っていますか?入っていない場合、ドメインコントローラー側のサブネットの設定誤りがないか、確認してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年9月29日 10:42
    モデレータ
  • チャブーンさん

    ご返信ありがとうございます。レジストリでAWSのサイトになっていることを確認したPCでパスワード変更を行いましたがやはりメッセージが表示されてしまいます。

    2021年10月5日 0:53
  • チャブーンです。

    まずレジストリの件ですが、前回誤ったものを出してしまったので、もう一度以下をかくにんいただけますか?

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters!DynamicSiteName

    そのうえで直ってない、ということなら、ネットワークトレース情報などを取り、解析をするしかないと思います。設定で簡単に「強制する」方法はないからです。

    解析はコミュニティで賄える領域ではありませんので、MS有償サポートを検討いただくべきかと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年10月6日 5:45
    モデレータ
  • チャブーンさん

    ご返信ありがとうございます。

    ご教授いただきましたレジストリを確認しAWSのADサーバのサイト名になっていることを確認しましたが、やはりメッセージが表示されてしまいます。本件について有償サポートは実施はしない方向で考えています。

    メッセージは表示されてはいますがパスワード自体の変更はされていることや今までの工数がかかっていることなどから今後は運用で対応していきたいと思います。いろいろとご教授いただきありがとうございました。

    最後に以前にお伺いいたしました下記の点についてお分かりになればご教授いただけますでしょうか。

    下記引用

    今回のサイトの設定を行った場合、AWSのADサーバが停止した際、GCPのADサーバ経由で認証を行う事は可能なのでしょうか。前回確認させていただきました「制御をかけるにあたっては各サイトのサブネットに設定してあるレンジのIPアドレスがそれぞれのサイトに対してログオン認証しに行くという認識で合っていますでしょうか。」という質問に対してこの認識で合っているとの回答をいただきました。

    AWSのVPNの払出は192.168.252.0/22になるのでGCP側のIPとは異なります。VPN経由でも疎通自体は可能ですが認証できるのでしょうか。

    以上となります。

    宜しくお願い致します。

    2021年10月7日 7:47
  • チャブーンです。

    この件ですが、

    AWSのVPNの払出は192.168.252.0/22になるのでGCP側のIPとは異なります。VPN経由でも疎通自体は可能ですが認証できるのでしょうか。

    • SRVレコードレベルの名前解決ができていること
    • 「必要なポートの」疎通ができていること

    が満たされれば、サイトにドメインコントローラーがない場合も、他のサイトで認証をおこなうので、認証自体は大丈夫です。まったくの無エラーという保証はないので、エラーがでていても認証はできている、ということはあり得ます。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2021年10月12日 2:50
    モデレータ