Remove From My Forums

[Win2008]Active Directoryへのコンピュータの登録後、ローカルグループにドメインユーザを登録するとSIDでのみ表示される

質問
0

サインインして投票
弊社内にて提供されているActive Directoryのドメインに以下の環境のサーバを登録し、
セキュリティを高める設定を行っています。

・Windows Server 2008(R1)　SP2

ですが、設定を変更したところ、"ドメイン名\ユーザ名"の表示ではなく、SIDのみの表示となってしまいました。
具体的には以下の通りです。(「管理ツール」-「コンピュータの管理」-「ユーザーとグループ」－「グループ」を例に説明)

ドメインにビルトインで設定されていたユーザがSIDのみの表示になっている
「ユーザーの選択」では「場所」がドメインサーバにならず、自身のコンピュータ名になる
「場所」を指定する際に目的のドメインサーバを指定できない。
「ディレクトリ全体」を指定すると、ユーザやグループの名前の確認は可能になる。
検索して、新たにドメインよりユーザやグループを追加してもSIDのみの表示になってしまう。
([適用]をクリックして瞬時に、若しくは[OK]をクリックしてもう一度開きなおすと症状発生)
イベントビューアを見ると、イベントID1058が頻発している。
ドメインサーバのドメイン名をDNSで引くことは可能であることは確認。

最初に設定した設定より変更した箇所は以下の通りですが、
以下の設定変更を実施しても状況は改善されず、現状においてもSIDのみの表示となっております。

以下のサービスを有効化(デフォルトに戻す)

TCP/IP NetBIOS Helper
NetLogOn

NetBTをデバイスマネージャより無効にしていたものを元に戻す
DNSの動的更新を元に戻す

Active Directoryを使用したユーザー管理につきまして、ユーザー名を表示させるのに必要な設定がございましたらご教示いただけますと幸いです。
以上、よろしくお願いいたします。
- 編集済み桜1983あざみ 2015年11月20日 1:15 修正
2015年11月20日 1:13

返信

|

引用

回答

0

サインインして投票
チャブーンです。

NetBIOS周りですが、ネットワーク接続のプロパティで[Microsoft ネットワーク用クライアント]もONにしてください。ドメイン参加については、こちらが大事です。

あと、イベント ID 5 storflt 警告ですが、対象マシンがHyper-V仮想マシンでなければ、とくに問題はないようです。

https://support.microsoft.com/en-us/kb/951007

この場合ですが、過去にあるイベント ID 2512 Server/イベント ID 7023 Service Control Managerエラーの内容の方が問題になる可能性がありますので、同じ要領でみせていただければありがたいです。

あと、DNSサーバの件ですが、DNSクエリが遮断されているようにも見受けられますが、現状ではわからないので、以下の項目を確認してみてください。

DNSサーバのIPアドレス設定が正しいこと
IP通信(pingやtracert)がDNSサーバまで届いていること

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 編集済みチャブーンMVP, Moderator 2015年11月26日 1:03
- 回答としてマーク佐伯玲 2015年11月26日 6:11
2015年11月25日 3:45

返信

|

引用

モデレータ
0

サインインして投票
チャブーンさま＞

ご回答いただきましてありがとうございました。
実はその後[Microsoft ネットワーククライアント]をONにし忘れていたことに気づき、そちらをONにしたところドメインネットワークに参加できました。

今まで色々とご質問にご回答いただきましてありがとうございました。
- 回答としてマーク佐伯玲 2015年11月26日 1:27
2015年11月25日 23:59

返信

|

引用

すべての返信

0

サインインして投票

チャブーンです。

ドメイン参加しているマシンから「ドメイン情報」「ユーザのSID」が引けなくなっている場合、原因としてセキュアチャネルの破損が多いようです。理由と復旧方法は以下のブログを参照してください。

http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx

当座の解決方法として、クライアントをドメインに再参加させればよい、ということになります(これが原因であればですが)。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。

2015年11月20日 4:56

返信

|

引用

モデレータ
0

サインインして投票
チャブーンさま＞
桜1983あざみと申します。
ご回答いただきましてありがとうございました。

頂いたWebページを参考に以下の操作を実施しました。

nltest /SC_VERIFY:{ドメイン名}を実行する
下の画像の通り、I_NetLogonControl を実行できませんと表示されました。
この状態においてドメインネットワークを一旦外れ、再度参加させようとしたのですが、
再度参加させる際にポップアップが出て参加できませんでした。

こちらに関しましてですが、NetBIOSの有効設定は元に戻しております。

以上、よろしくお願いいたします。
2015年11月20日 8:31

返信

|

引用
0

サインインして投票

チャブーンです。

現在はワークグループの状態、ということですね。状況からNetBTデバイスがうまく動いていないのかもしれません。下のコマンドを実行した結果はどうなりますか？

sc query NetBT
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。

2015年11月20日 10:45

返信

|

引用

モデレータ
0

サインインして投票

チャブーンさま＞
桜1983あざみと申します。

"sc query NetBT"を実施した結果は以下の通りとなりました。

以上、よろしくお願いいたします。

2015年11月21日 1:16

返信

|

引用
0

サインインして投票
チャブーンです。

NetBTデバイスは動作しているようですね。では、以下の設定はどうなっていますか？

nbtstat -nを実行して <00> <20>に自分のコンピュータ名が表示されるか？
netLogonサービスのスタートアップの種類が<手動>に設定されているか？
nslookup -type=srv _ldap._tcp.example.com(example.comドメインの場合)が名前解決するか？
nslookup -type=srv _ldap._tcp.dc._msdcs.example.com(example.comドメインの場合)が名前解決するか？

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
2015年11月24日 2:44

返信

|

引用

モデレータ
0

サインインして投票
チャブーンさま＞

ご回答いただきましてありがとうございます。
頂いたコマンドについての結果を記します。

nbtstat -nを実行して <00> <20>に自分のコンピュータ名が表示されるか？
表示されません。
netLogonサービスのスタートアップの種類が<手動>に設定されているか？
「手動」に設定しております。
nslookup -type=srv _ldap._tcp.example.com(example.comドメインの場合)が名前解決するか？
名前解決可能です。
nslookup -type=srv _ldap._tcp.dc._msdcs.example.com(example.comドメインの場合)が名前解決するか？
こちらも名前解決可能です。
2015年11月24日 7:08

返信

|

引用
0

サインインして投票

チャブーンです。

nbtstatですが、ネットワーク接続の[IPv4]の[詳細設定]-[WINS]タブにあるNetBIOS設定はどうなっていますか？「無効」になっているのでしょうか？もしそうであれば「既定値」ではなく「有効」に変更して、nbtstat -nで名前が表示されるか、確認してみてください。

あと、可能でしたら、nslookup -type=srv _ldap._tcp.example.comについて、ドメイン名とホスト名・IPアドレスをマスクするかたちで、どうなっているのか見せていただけるとありがたいです。

それと、イベントログの「システム」および「アプリケーション」でワークグループ端末になってから、エラーメッセージ・警告メッセージがでているものはありませんか？
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。

2015年11月25日 1:58

返信

|

引用

モデレータ
0

サインインして投票
チャブーンさま＞
頂いたご質問に回答いたします。

>nbtstatですが、ネットワーク接続の[IPv4]の[詳細設定]-[WINS]タブにあるNetBIOS設定はどうなっていますか？「無効」になっているのでしょうか？もしそうであれば「既定値」ではなく「有効」に変更して、nbtstat -nで名前が表示されるか、確認してみてください。

「Microsoft ネットワーク用ファイルとプリンタ共有」を無効にしておりましたので、有効にすることでnbtstat -nにて名前が表示されるようになりました。そのときは[IPv4]の[詳細設定]-[WINS]タブにあるNetBIOS設定は「既定値」だったのですが、こちらを「有効」にしても結果は同じでした

>あと、可能でしたら、nslookup -type=srv _ldap._tcp.example.comについて、ドメイン名とホスト名・IPアドレスをマスクするかたちで、どうなっているのか見せていただけるとありがたいです。

こちらは引くことは出来ませんでした。
昨日は引くことが出来ました。その後に実施した設定変更は、NetBIOSの「有効」への変更と「Microsoft ネットワーク用ファイルとプリンタ

>それと、イベントログの「システム」および「アプリケーション」でワークグループ端末になってから、エラーメッセージ・警告メッセージがでているものはありませんか？

次の通りです。

以上、よろしくお願いいたします、
- 編集済み桜1983あざみ 2015年11月25日 2:46
2015年11月25日 2:43

返信

|

引用
0

サインインして投票
チャブーンです。

NetBIOS周りですが、ネットワーク接続のプロパティで[Microsoft ネットワーク用クライアント]もONにしてください。ドメイン参加については、こちらが大事です。

あと、イベント ID 5 storflt 警告ですが、対象マシンがHyper-V仮想マシンでなければ、とくに問題はないようです。

https://support.microsoft.com/en-us/kb/951007

この場合ですが、過去にあるイベント ID 2512 Server/イベント ID 7023 Service Control Managerエラーの内容の方が問題になる可能性がありますので、同じ要領でみせていただければありがたいです。

あと、DNSサーバの件ですが、DNSクエリが遮断されているようにも見受けられますが、現状ではわからないので、以下の項目を確認してみてください。

DNSサーバのIPアドレス設定が正しいこと
IP通信(pingやtracert)がDNSサーバまで届いていること

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 編集済みチャブーンMVP, Moderator 2015年11月26日 1:03
- 回答としてマーク佐伯玲 2015年11月26日 6:11
2015年11月25日 3:45

返信

|

引用

モデレータ
0

サインインして投票
チャブーンさま>

>NetBIOS周りですが、ネットワーク接続のプロパティで[Microsoft ネットワーククライアント]もONにしてください。ドメイン参加については、こちらが大事です。

こちらONに致しました。

>この場合ですが、過去にあるイベント ID 2512 Server/イベント ID 7023 Service Control Managerエラーの内容の方が問題になる可能性がありますので、同じ要領でみせていただければありがたいです。

ログをフィルタリングしたところ、次の通りとなりました。

>あと、DNSサーバの件ですが、DNSクエリが遮断されているようにも見受けられますが、現状ではわからないので、以下の項目を確認してみてください。

DNSサーバのアドレスは正しいことを確認しており、pingの結果は次の通りとなりました。

ここで最初に"nltest /SC_QUERY:ドメイン"を実施しておりますが、次のエラーメッセージが出ております。
"I_NetLogonControl　を実行できませんでした： Status = 1717 0x6b5 RPC_S_UNKNOWN_IF"

以上、よろしくお願いいたします。
- 回答としてマーク佐伯玲 2015年11月26日 6:11
- 回答としてマークされていない佐伯玲 2015年11月26日 6:11
2015年11月25日 4:58

返信

|

引用
0

サインインして投票
チャブーンです。

ここで最初に"nltest /SC_QUERY:ドメイン"を実施しておりますが、次のエラーメッセージが出ております。
"I_NetLogonControl　を実行できませんでした： Status = 1717 0x6b5 RPC_S_UNKNOWN_IF"

なるほど。このエラーはnetlogonサービスが正常に動作していない場合に起こるようですが、「止まっている状態でおかしい」ということは、関連サービス全般について確かめる必要がある気がします。[サービス]管理コンソールの画面もいいのですが、なるべくきちんとわかるように、コマンドで確認いただいた方がいいかもしれません。今までの要領で結果をお教えください。

sc qc netbt
sc qc netlogon
sc qc lanmanworkstation
sc qc lanmanserver

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 編集済みチャブーンMVP, Moderator 2015年11月25日 6:46
2015年11月25日 6:25

返信

|

引用

モデレータ
0

サインインして投票
チャブーンさま＞

以下確認いたしました。

[netlogon]の現在の状態と[ログオン]と[依存関係]部分がどうなっているか教えてください
[workstation]の現在の状態と[ログオン]と[依存関係]部分がどうなっているか教えてください
[server]の現在の状態と[ログオン]と[依存関係]部分がどうなっているか教えてください

以上、よろしくお願いいたします。
2015年11月25日 7:14

返信

|

引用
0

サインインして投票
コマンドについても確認いたしましたので、結果をお送りいたします。

sc qc netbt
sc qc netlogon
sc qc lanmanworkstation
sc qc lanmanserver

以上、よろしくお願いいたします。
2015年11月25日 7:28

返信

|

引用
0

サインインして投票
チャブーンです。

サービスのGUIの方は問題ありませんでしたが、sc qc netbtコマンドの結果に一部問題があるようです。

上記の「TAG」についてですが、0(設定なし)となっていないと問題があるようです。ここが0以外だと"I_NetLogonControl　を実行できませんでした： Status = 1717 0x6b5 RPC_S_UNKNOWN_IF"と表示されてしまいます。

修正するには以下のレジストリ値を削除し、コンピュータをリブートしてください。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT!Tag

うえ(Tag)のDWORD値が10(十進法)になっているはずなので、このレジストリ値自体を名前ごと削除してリブートすると、nltest /SC_Query:<ドメイン名>実行結果が"I_NetLogonControl を実行できませんでした: Status = 1722 0x6ba RPC_S_SERVER_UNAVAILABLE"に変化しているはずです。この状態はワークグループでは正常な戻り値です。

この状態でもう一度試してみてください。

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 編集済みチャブーンMVP, Moderator 2015年11月25日 12:20
2015年11月25日 12:12

返信

|

引用

モデレータ
0

サインインして投票
チャブーンさま＞

ご回答いただきましてありがとうございました。
実はその後[Microsoft ネットワーククライアント]をONにし忘れていたことに気づき、そちらをONにしたところドメインネットワークに参加できました。

今まで色々とご質問にご回答いただきましてありがとうございました。
- 回答としてマーク佐伯玲 2015年11月26日 1:27
2015年11月25日 23:59

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

[Win2008]Active Directoryへのコンピュータの登録後、ローカルグループにドメインユーザを登録するとSIDでのみ表示される

質問

回答

すべての返信