none
名前空間で公開したフォルダを信頼関係のある別ドメインから参照できない。 RRS feed

  • 質問

  • 現在AWS上に、オンプレミスのADと相互信頼関係を結んだ別ドメインのADがあります。

    そのAD管理下にファイルサーバー(AWSのFSxというサービスです)が2台あり、その2台はレプリケーションしています。

    その2台をDFS(EC2のWindows Server2012 R2)で、名前空間で公開とフェイルオーバーすることができました。

    名前空間を例えば(\\example.aws.local\share\)以下で公開したとすると、AWS上のexample.aws.localドメインに参加しているPCからはアクセスできます。ですが、信頼関係のあるオンプレミスのドメインに参加しているPCからはアクセスできません。

    (example.aws.localをnslookupするとAWSのADのIPが取得できます。)

    別のドメインからは信頼関係があってもアクセスはできないのでしょうか。




    2019年7月10日 3:13

すべての返信

  • チャブーンです。

    この件ですが、直接のご質問である「別のドメインからは信頼関係があってもアクセスはできないのでしょうか」に対しては、できます、ということはいえるかと思います。

    信頼関係のあるオンプレミスのドメインに参加しているPCからはアクセスできません。

    ということですが、具体的なエラーメッセージはなんでしょうか?それによって、対応が変わると思いますが、次のことはいえるかと思います。

    1. Windows上の設定の問題として、「DFS名前空間の解決」と「アクセス許可」があります。DFS名前解決は単純なDNS名前解決と全く異なる解決が必要で、DFSルートのIPアドレスが分かればいい、というレベルではありません。DNSだけでなく、Kerberos、LDAP、SMBなどの各種通信が信頼先ドメインコントローラーやDFSサーバーとできる必要があります。また、仮に認証が通っても、共有フォルダー上のNTFSアクセス許可で自ドメインのアカウントやセキュリティグループが許可されていなければ、アクセスができません。
    2. AWS側の問題として、「VPN通信をはさんだネットワーク」でActive Directory認証やDFSアクセスなど、要するに「LANと同じ通信を保証しているのか」といった確認は必要かと思います(申し訳ないですが、AWSのことは本当に知りませんので)。またMTUのサイズの問題で、本来可能な通信が分割失敗により通信できなくなっている、という可能性もあるかもしれません。

    (EC2の契約上)できるかどうかはわかりませんが、「オンプレにドメイン参加する『サーバー』」をAWSに用意し、これをDFSクライアントとして、AWSのDFSルートにアクセスさせてみて、問題の切り分けができるかもしれません。ですが、たぶんAWSのサポートにいったん訊ねて、問題の切り分けをしてもらったほうが、現実的だと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年7月14日 10:16
    モデレータ
  • ありがとうございます。AWSに確認してみます。

    一応メッセージは以下です。エクスプローラで公開している名前空間にアクセスしました。

    \\example.aws.local\share\test にアクセスできません。

    名前スペルを確認しても問題ない場合は、ネットワークに問題がある可能性があります。ネットワークの問題を識別して解決するには、[診断]をクリックします。

    2019年7月17日 5:15
  • チャブーンです。

    おっしゃるメッセージだと、DFS名前空間の認証自体が成功していない(アクセス許可の問題ではない)可能性が高いと思います。DFSの調査自体は、以下の資料を参考にして行うといいと思いますが、dfsutilコマンドをクライアント側で使えるようにしておくこと(このコマンドでDFS名前解決状況を確認します)と、ネットワークトレースを読む力が必要なように思います

    https://support.microsoft.com/en-us/help/975440/how-to-troubleshoot-distributed-file-system-namespace-access-failures

    AWS VPC上のMTUの問題と解決策については、したのページがわかりやすいでしょう。ただし、ネットワークの基礎知識が必要(DFフラグの意味等)な点には、注意してください。

    https://dev.classmethod.jp/cloud/aws/vpn-connect-mtu-mss/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年7月17日 5:58
    モデレータ
  • フォーラムにご投稿くださいましてありがとうございます

     

    チャブーンから寄せられた投稿はお役に立ちましたか。

     

    後から検索で回答を探しやすくなるため、チャブーンさんの答えを「回答の候補」にしました。なかった場合は回答の候補の設定解除」も設定できます。

     

    ご不明な点がございましたら、お気軽にお問い合わせください

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月19日 10:15
    モデレータ
  • フォーラムにご投稿くださいましてありがとうございます

    後から検索で回答を探しやすくなるため、参考になった回答には [回答としてマーク] をお願いします。

    今後ご不明な点がございましたら、お気軽にお問い合わせください

    FAN



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月2日 5:09
    モデレータ