共有フォルダにアクセスできなくなる

すべての返信

• 

  

  0

  サインインして投票

  お世話になります。
  補足致します。

  自分が使用しているPCも発生しているクライアントと同じ環境で、
  今まで発生していませんでしたが、発生しましたので、
  その時の状況を報告致します。

  ＜再現状況＞
  １．ノートPCを別件作業で他のセグメントへ接続。
  ２．作業後、ログイン後ネットワーク設定を元に戻す。（変更したのはIPアドレス、デフォルトゲートウェイのみ）
  ３．LANケーブルを接続
  ４．デスクトップにあるショートカットアイコンで全社内共通のフォルダに
  　　アクセスしたところ、ユーザー認証の画面が起動した。
  ５．作成済みのネットワークドライブからの接続も試みたが、
  　　やはり接続できず。
  ６．ping接続確認したところ、正常であったが、その後改善せず。
  ７．直接パス接続してみたところ、ユーザー認証の画面が起動した。
  ８．ユーザー認証画面でユーザー情報を入力し、正常ログインを確認。

  
  上記を踏まえ、再度（後日）再現確認を行いました。

  １．ノートPCのLANケーブルを外し、ネットワーク設定を
  　　他のセグメントへ変更。
  ２．ネットワーク設定を元に戻し、LANケーブル接続。
  ３．アクセス権設定されているSE用フォルダにアクセスしたところ、
  　　「アクセスできません。このネットワークリソースを使用するアクセス許可が
  　　ない可能性があります。…」のエラーメッセージが表示された。
  ４．全員用のfree-area2フォルダにアクセスしたところ、正常アクセスできた。
  ５．再度、アクセス権設定されているSE用フォルダにアクセスしたところ、
  　　正常アクセスを確認

  但し、上記手順で毎回必ず発生するわけではありません。

  よろしくお願い致します。

  2011年12月1日 5:46

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  まず、トラブルシュートのサガとして(大袈裟ですが)、状況だけを見て○○が理由です、と原因を特定することはできません。

  今時点でいえることは、「ドメインコントローラの『機能』の名前解決」ができていないため、結局認証できないという可能性はあるでしょう。

  ドメインコントローラのサーバの名前(FQDN)が引けるだけではだめで、その機能(LDAPサーバやKDCサーバ)についての名前解決が必要です。これはSRVというレコードで名前解決され、ドメインコントローラはこの情報をDNSサーバ上に公開しています。

  SRVレコードが正常に機能しない原因としてつぎの2つのケースがあります。当てはまるかどうか確認して、直していただくことをお奨めします(直せない場合も原因特定のために一時的に修正する方法は有効です)。

  • Windows XPのTCP/IPプロパティの"代替DNSサーバ"にActive DIrectoryとは無関係のDNSサーバを指定している(無関係のDNSサーバ指定はしない)
  • ドメインコントローラ側でマルチホーム(2つ以上のNICを同時に使っている)設定を行っている(1つのNICのみを使用する)

  • 回答としてマーク 田中夢 2011年12月28日 1:58

  2011年12月4日 11:44

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  チャプーン様

  ご返信頂きありがとうございます。

  >Windows XPのTCP/IPプロパティの"代替DNSサーバ"にActive DIrectoryとは無関係のDNSサーバを指定している(無関係のDNSサーバ指定はしない)

  これは該当しています。

  弊社には、ADとは無関係のLinuxのDNSサーバがあり、DNSサーバとしてはこのLinuxサーバをメインとして使用しているため、

  Windows XPのDNS設定も、優先DNSサーバ：Linuxサーバ、代替DNSサーバ：ADサーバ、と設定しています。

  この設定は5年以上前のAD導入時から行っていますが、発生した1～2ヵ月前までは何も問題なかったのですが、

  これが原因なのでしょうか。

   

  1点、原因として心当たりが出てきたことがあります。

  実は以前ADセカンダリサーバの機器を更新した際に、諸事情でホスト名を変更致しましたが、

  AD上で旧ホスト名の情報が残っています。

  セカンダリサーバの機器のを更新も1年半くらい前ですので、1年以上この状態で特に問題なかったのですが、

  原因との可能性は考えられますでしょうか。

  2011年12月5日 6:32

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  > 弊社には、ADとは無関係のLinuxのDNSサーバがあり、DNSサーバとしてはこのLinuxサーバをメインとして使用しているため、Windows XPのDNS設定も、優先DNSサーバ：Linuxサーバ、代替DNSサーバ：ADサーバ、と設定しています。

  これが原因の可能性があります。MSの資料でもこういう設定は取らないでくれ、と書いてあります。

  http://support.microsoft.com/kb/825036/ja

  ----
  クライアント DNS 設定では、ISP の DNS サーバーを参照するように構成しないでください。このように構成すると、Windows 2000 ベースまたは Windows Server 2003 ベースのサーバーをドメインに参加させる際、またはそのコンピュータからドメインにログオンする際に、問題が発生することがあります。外部の名前は、内部 DNS サーバーから ISP の DNS サーバーに転送して解決するようにします。
  ----

   > 実は以前ADセカンダリサーバの機器を更新した際に、諸事情でホスト名を変更致しましたが、AD上で旧ホスト名の情報が残っています。

  この可能性もありますので、旧ホスト情報を手動で削除してください。したの資料をどうぞ。

  http://support.microsoft.com/kb/216498/ja

  • 回答としてマーク 田中夢 2011年12月28日 1:58

  2011年12月8日 1:16

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  チャプーン様

  再度ご返信頂きありがとうございます。

  現在、提案頂いたサーバ側、クライアント側、双方の作業を行うべく準備を進めているところです。

  1点確認させて頂きたく存じます。お教え頂いたクライアント側設定に関するMSの資料

  http://support.microsoft.com/kb/825036/ja

  を確認させて頂きましたが、この資料はサーバ側についてではないでしょうか。

  ADのプライマリ、セカンダリ、どちらのサーバとも、優先DNSサーバ：ADプライマリサーバ、代替DNSサーバ： Linuxサーバ

  の設定となっていますので、代替DNSサーバの設定は削除しようと思いますが、クライアント側の設定も関係するのでしょうか。

   

  2011年12月12日 2:37

  返信

  |

  引用
• 

  

  0

  サインインして投票

  クライアント側もADのDNSサーバを参照していないと、たとえばグループポリシーが機能しないなどの不具合が発生します。

  「SRVレコード ドメイン」などのキーワードで検索するといくらでも情報はでてきますが、たとえば

  http://support.microsoft.com/kb/314861/ja

  など。SRVレコードが正しく検索できる状態になっていないと、Active Directoryに参加したマシンは正しく機能しません。

  なお、問題がある状態でも参加できてしまうのは、DNSを使用しないWindows NT互換のドメイン参加機能が、Windows XPやWindows Server 2003ではデフォルトで有効になっているためです。

   

  • 回答としてマーク 田中夢 2011年12月28日 1:58

  2011年12月13日 14:38

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  返信が遅れました。

  > 1点確認させて頂きたく存じます。お教え頂いたクライアント側設定に関するMSの資料
  > http://support.microsoft.com/kb/825036/ja
  > を確認させて頂きましたが、この資料はサーバ側についてではないでしょうか。
  > ADのプライマリ、セカンダリ、どちらのサーバとも、優先DNSサーバ：ADプライマリサーバ、代替DNSサーバ： Linuxサーバ
  > の設定となっていますので、代替DNSサーバの設定は削除しようと思いますが、クライアント側の設定も関係するのでしょうか。

  確かに資料には「Windows Server」のことしか書いていないように見えます。が、資料にあるしたの項目は、すべてのメンバーサーバやクライアントに該当します。サーバだけを対象にしているわけではありません。訳については たかはしさんが書いておられるとおりです。

  ----
  クライアント DNS 設定では、ISP の DNS サーバーを参照するように構成しないでください。このように構成すると、Windows 2000 ベースまたは Windows Server 2003 ベースのサーバーをドメインに参加させる際、またはそのコンピュータからドメインにログオンする際に、問題が発生することがあります。外部の名前は、内部 DNS サーバーから ISP の DNS サーバーに転送して解決するようにします。
  ----

  • 回答としてマーク 田中夢 2011年12月28日 1:58

  2011年12月14日 21:54

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  たかはしもとのぶ様
  チャプーン様

  ご返信ありがとうございます。

  クライアント側のDNSの設定とは、
  優先DNSサーバ、代替DNSサーバだけでなく、
  DNSタブのDNSサフィックスの設定も関連していますでしょうか。

  と言いますのは、優先DNSサーバ、代替DNSサーバの設定順も
  そうですが、DNSサフィックスの設定も、ADクライアントで
  設定内容が統一されておらず、クライアントによって異なって
  いることが分かりました。
  （クライアント導入時は管理者側で設定しますので、
  　統一されているはずでしたが、導入時期の違いよるものか
  　クライアントによって設定値が異なっているようです）
  特にDNSサフィックスの設定は、
  「プライマリ及び接続専用のDNSサフィックスを追加する」-
  「プライマリDNSサフィックスの親サフィックスを追加する」
  にチェックが入っている場合と、
  「以下のDNSサフィックスを順に追加する」にチェックが入って
  いるケースがあり、
  「以下のDNSサフィックスを順に追加する」にチェックが入っている場合も
  登録されているドメイン名はAD用のものと、そうでないものと
  2つありますが、順序もクライアントによって異なっているようです。

  そこで、本件の現象が発生したクライアント1台で、
  「以下のDNSサフィックスを順に追加する」にチェックが入っており、
  ADでないもの→AD用の順序で登録されていましたので、
  頂いた回答に従って、ADでないドメイン名設定を削除しました。
  すると、社内で使用しているグループウェアでサーバに接続できなくなる
  問題が発生し、再度ADでないドメイン名設定を追加したところ、
  復旧しました。
  （グループウェアサーバはWindowsですが、ADには入っておりません）

  以上のような状況で、クライアント設定について、
  どの設定値が正しいのか分からなくなっております。

  引き続き、ご教授頂きたくお願い致します。

   

  2011年12月15日 5:03

  返信

  |

  引用
• 

  

  0

  サインインして投票

  DNSの設定は以下の動作になります。

  TCP/IP詳細設定のDNSタブ

  [DNSサーバーアドレス]には優先DNSおよび代替DNSが順番に入ってくる。そしてさらに追加することも可能。ここで注意したいことは、使用するDNSは優先DNSであるということ。あくまでも優先DNSが使用不可（アクセス不可）の時に次のDNSが内部的に順序が上がって使用される

  [プライマリおよび接続専用のDNSサフィックスを追加する]にチェックが入っているときは自動的にシングルラベルでのクエリにプライマリDNSサフィックスが付加される。

  （例）DNSサフィックスがcontoso.comにおいてServer1でクエリすると

  server1.contoso.com

  でクエリされる。

  さらに[プライマリDNSサフィックスの親サフィックスを追加する]にチェックがあるとデボルブが行われる

  この動作に関しては私のブログを参照ください

  DNS のデボルブ動作に関して

  [以下のDNSサフィックスを順に追加する]にチェックが入っている場合はそこに登録されたサフィックスを追加します。

  ここで注意が必要なことは、ここに登録されたサフィックス以外は追加されないことです。ですのでデボルブなどは一切行われず、プライマリサフィックスも関係ありません。

  以上、参考になれば幸いです。

  ---

  MVP:Virtual Machine Blog:MCTの憂鬱

  http://naonao71.wordpress.com/

  
  

  • 編集済み ABE NAOKIModerator 2011年12月15日 5:50
  • 回答としてマーク 田中夢 2011年12月28日 1:58

  2011年12月15日 5:49

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  ABE NAOKi様

  返信頂きありがとうございます。

  参考にさせて頂きますが、2点確認させて頂きたいです。

  DNSサーバーアドレス]に登録する、優先DNS及び代替DNSは、DCか否かは関係ないのでしょうか？

  DCでないものは登録すべきでないのでしょうか？

  また、

  >[以下のDNSサフィックスを順に追加する]にチェックが入っている場合はそこに登録されたサフィックスを追加します。

  このサフィックスの登録順も、優先DNS-代替DNSの順で登録すべきということでしょうか。

   

  よろしくお願い致します。

   

  2011年12月15日 8:39

  返信

  |

  引用
• 

  

  0

  サインインして投票

  ＞[DNSサーバーアドレス]に登録する、優先DNS及び代替DNSは、DCか否かは関係ないのでしょうか？

  これはどのDNSサーバーを使用するか？になりますのでDCであるかは関係ありません。

  ＞このサフィックスの登録順も、優先DNS-代替DNSの順で登録すべきということでしょうか。

  これはサフィックスの話なので優先DNS-代替DNSは関係ありません。

  以上、参考になれば幸いです。

   

  ---

  MVP:Virtual Machine Blog:MCTの憂鬱

  http://naonao71.wordpress.com/

  • 回答としてマーク 田中夢 2011年12月28日 1:58

  2011年12月15日 12:11

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  ABE NAOKi様

  返信頂きありがとうございます。

  ＞＞[DNSサーバーアドレス]に登録する、優先DNS及び代替DNSは、DCか否かは関係ないのでしょうか？

  ＞これはどのDNSサーバーを使用するか？になりますのでDCであるかは関係ありません。

  この点について、ABE NAOKi様と同じ認識で設定してきており、本不具合が発生するまでの長期間は

  問題も発生していませんでした。

  ABE NAOKi様からの回答で、今までの設定のままで良く、変更の必要なしと受け取れますが、

  上記のたかはしもとのぶ様、チャプーン様から頂いた回答では、逆のことをおっしゃっておられますので、

  どちらが正しいのかが分からなくなり、私の2つ前の投稿でもこの点について確認させて頂いた次第です。

  混乱て私が考え違いをしているのでしょうか？

  よろしくお願い致します。

  2011年12月16日 0:25

  返信

  |

  引用
• 

  

  0

  サインインして投票

  まず基本的なことから・・・

  Windows ドメイン環境ではDNSが必須になります。このDNSは名前解決だけではなく、サーバーの役割（DCやPDC-E、GCなど）がどのサーバーで行われているかなども答えます。この仕組みはSRVレコードに書かれており、LinuxサーバーのDNSなどはこのSRVレコードに対応しかつ設定を行わないといけません。

  そのようなことから、Windows ドメイン環境ではマイクロソフトDNSの利用が推奨されています。

  仮にLinuxのDNSサーバーも利用したいということなら、マイクロソフトDNSの設定でフォワーダーの設定を行うことにより、マイクロソフトDNSでクエリが解決できないときはLinuxのDNSサーバーへ再帰クエリを行うことによって利用できます。

  このことから、Windows環境のクライアントにはLinuxのDNSサーバーの設定は行わないというのが推奨になります。

  ＞[DNSサーバーアドレス]に登録する、優先DNS及び代替DNSは、DCか否かは関係ないのでしょうか？

  この質問ではDCか否かということなので、私はDNSがDCである必要があるか？と、とらえましたが、質問の意図として、MSのDNSか？それともLinuxのDNSかということなら優先DNSをWindowsにするでしょう

  以上、参考になれば幸いです。

  ---

  MVP:Virtual Machine Blog:MCTの憂鬱

  http://naonao71.wordpress.com/

  • 回答としてマーク 田中夢 2011年12月28日 1:58

  2011年12月16日 1:28

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  チャブーンです。

  ちょっと、整理してコメントしますね。

  • このケースで、なぜ「優先DNSにも代替DNSにもLinux DNSを入れてはいけないのか」
    クライアントが、ドメインコントローラを探すためには、必要な「SRVレコード」が登録されたDNSサーバに必ずアクセスさせる必要があります。このケースでは「Linux DNS」はADと無関係ということで「SRVレコード」は登録されていません。
    このような場合、優先DNSまたは代替DNSのどちらかに「Linux DNS」を入れてしまっていると、アクセスのタイミング上、『必要な「SRVレコード」が見つけられませんでした』という名前解決の結果が来てしまうことがあり、この場合正常なログオンやグループポリシーの適用ができなくなるのです。たとえば、「優先DNSまたは代替DNSのどちらかからSRVレコードを適切に見つけてくる」という都合のよい動作は、DNSクエリで制御することはできないのです。
    完全に制御するには、優先DNSまたは代替DNSの両方にADのDNSだけを参照させ、それ以外の名前解決は(ADのDNSを使って)Linux DNSにフォワーダする、しか方法がないのです。これは、ドメインコントローラ、メンバーサーバ、すべてのクライアントが対象です。例外はありません。
  • ドメインとDNSサフィックスの関係
    ドメインに参加しているマシンで問題になるDNSサフィックスは、「プライマリDNSサフィックス」です。これが間違っている場合、ログオンが正常に行えなかったりしますが、通常の操作でおかしくなるようなことはありません。ネットワーク接続に紐付いているDNSサフィックスは、実際にアクセスするときに付加するものであり、ドメインログオン時には一般に影響はないはずです。なお、私やたかはしさんは、DNSサフィックスの話しには一切触れていません。なぜこれを持ち出されたのか、ちょっと分からないというのが本当のところです。

  • 回答としてマーク 田中夢 2011年12月28日 1:58

  2011年12月16日 3:22

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  すでに、チャブーンさんとABE NAOKIさんが答えているとおりですが、厳密にいえばLinuxのDNSサーバ＝NGではありません。ただし、ADのDNSサーバを指定しないのであれば、DNSの挙動やADとして必要なDNSの設定を理解したうえで、「適切」な設定をLinuxのDNSサーバに行う必要があります。

  何が「適切」かは環境に依存しますので、動作原理をきちんと理解したうえで、設定することになります。

  深い理解をせずに適切な設定をしたいのであれば、ADのクライアントについては、ADのDNSサーバ以外を指定しないでくださいという回答になります。

  • 回答としてマーク 田中夢 2011年12月28日 1:57

  2011年12月16日 16:36

  返信

  |

  引用
• 

  

  0

  サインインして投票

  皆様ご返信ありがとうございます。

  （大変恐縮ですが、まとめて返信させて頂きます）

   

  ABE NAOKi様

  >この質問ではDCか否かということなので、私はDNSがDCである必要があるか？と、とらえましたが、質問の意図として、MSのDNSか？それともLinuxのDNSかということなら優先DNSをWindowsにするでしょう

  質問の意図とABE NAOKi様のとらえ方が一致していなかったのですね。

  私は後者の意味で質問させて頂いたつもりでした。WindowsサーバのDNSサーバは、このDCプライマリサーバのみです。推奨されていないが、LinuxのDNSを使うとすれば、代替DNSということですね。

   

  チャブーン様

  DNSサフィックスは関係ないということですね。

  DNSサフィックスもDNSの関連の設定ですし、クライアントによって設定内容が異なっていたため、優先DNS、代替DNSだけでなく、DNSサフィックスも関係あるのかと思ってしまいました。

  プライマリDNSサフィックスは、DCのドメイン名を設定していますので、問題ないと認識しています。

   

  とりあえず、サーバ側の設定変更（不要情報の削除）を明日夜に行う予定であり、事前又は同時にクライアント側設定変更を行う余裕がありませんので、サーバ側の設定変更で様子を見たいと思っています。

  その後も状況が改善されないようであれば、クライアント側の問題の可能性が高くなりますので、ご教授頂いたクライアント側のDNS設定の見直しを検討していきます。

   

  2011年12月19日 2:14

  返信

  |

  引用
• 

  

  0

  サインインして投票

  皆様

  サーバ側の対応作業が無事終わりました。

  作業後の動作検証の中で、新規にAＤユーザーを作成、クライアント側でユーザー追加をやってみところ、クライアント側でワークグループをドメインに変更する際に、ドメインへ接続できずにエラーになりました。

  当該クライアントのDNSサーバ設定を確認し、優先DNSがDCでないサーバに設定されていたため、DCのサーバに変更したところ、正常にドメイン変更でき、以降の動作確認も正常でした。

  この状況は、今まで皆様に頂いた回答の内容の通りです。

  既存のADクライアントも、優先DNSがDCでないサーバに設定されているものが多いと推測しており、共有フォルダに接続できない現象が発生したクライアントから、設定変更しようと考えております。

  共有フォルダに接続できない現象が出ても、DNSサーバ設定が問題ない又は変更後も再発するといったクライアントがあった場合は、今回のサーバー側の設定変更だけでは改善されていないと言えるかと考えています。

  しばらく様子を見てみたいと思います。

   

  
  

  • 編集済み 小台 2011年12月21日 8:42

  2011年12月21日 8:41

  返信

  |

  引用
• 

  

  0

  サインインして投票

  こんにちは。
  フォーラム オペレーターの田中夢です。
   
  チャブーン さん、たかはしもとのぶ さん、ABE NAOKI さん
  とても参考になるアドバイスをいただき、ありがとうございます。
   
  小台 さん
  今後についてご報告をいただきありがとうございます。

  今回、チャブーン さん、たかはしもとのぶ さん、ABE NAOKI さんにアドバイスいただいた内容を参考にしていただけたようですので、勝手ながら私のほうで [回答としてマーク] とさせていただきますね。

  
  今後とも TechNet フォーラムをよろしくお願いいたします。 
  ---------------------------------------------------------------------
  日本マイクロソフト株式会社　フォーラム オペレーター　田中夢

  2011年12月28日 1:57

  返信

  |

  引用