none
共有フォルダにアクセスできなくなる RRS feed

  • 質問

  • WindowsXPクライアントで、WindowsServer2003R2SP2上の共有フォルダに

    アクセスできなくなる現象が発生しています。

    具体的な現象は、PCにログイン後、マイネットワークやデスクトップ上にある当該サーバ上の共有フォルダへのショートカットアイコンをクリックした時、反応は一定ではないのですが、ユーザー認証画面が表示される場合もありますし、「○○にアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかサーバの管理者に問い合わせてください。ネットワークパスが見つかりません。」のエラーメッセージが表示されることもあります。


    サーバはファイルサーバであり、ADのプライマリサーバでもあります。

    共有フォルダは、全社内共通のもの、部署別のものなどがありますが、どれでも発生します。


    クライアントはAD環境とワークグループ環境が混在しており、OSもWindows7、Vistaもありますが、

    現象が発生しているのはAD環境のクライアントであり、AD環境クライアントはWindowsXPのみです。

    発生しているのは、WindowsXPのAD環境クライアント全てではなく、一部であり、タイミングも一斉にという

    訳ではありません。

    発生していないクライアント(ユーザー)もありますが、複数回発生しているクライアント(ユーザー)もあります。

    (複数回発生したケースでも、今までのところ、1日に複数回というのは無いようで、別の日に発生しています)

    ログインから現象発生までの時間は、その場合によって異なりますので、ログイン後数時間程度経過している場合もありますが、

    ログイン後共有フォルダ(というより、ファイルサーバ)へのアクセスは初めて行う際に発生しているようです。


    発生時でも、インターネットやメールは使用できていますし、サーバへのping確認も正常ですので、クライアント-所内LAN間のネットワーク接続は問題ないと判断しています。

    サーバのイベントログには、現象発生したタイミングでの警告やエラーは何も記録されていません。

    クライアントのイベントログには、ID15、1053、1054、1058などが記録されていますが、

    発生時だけではなく、過去に正常に使用できていた数ヶ月前などでも記録されていますし、

    現象が発生していないクライアントでも記録されていました。

    発生した場合、ping確認(上述の通り、正常接続します)、ファイル名を指定して実行でフルパスを入力して接続、OS再起動、認証画面でユーザー情報を入力のいずれかで復旧したケースがありましたが、認証画面ユーザー情報を入力以外の方法では復旧しないケースもあります。

    この現象は1ヵ月前くらいから発生しています。

    サーバ側では、10/26に9・10月に公開されたMSパッチの適用作業を行いましたが、

    変更作業はこれぐらいです。

     

    徐々に状況が悪化(拡大)しているよな感じもありますが、原因がまったくつかめず大変困っております。

    何かお分かりの方がいらっしゃいましたら、ご教授頂きたくお願い致します。

    よろしくお願い致します。

     

    2011年11月29日 1:45

回答

  • チャブーンです。

    まず、トラブルシュートのサガとして(大袈裟ですが)、状況だけを見て○○が理由です、と原因を特定することはできません。

    今時点でいえることは、「ドメインコントローラの『機能』の名前解決」ができていないため、結局認証できないという可能性はあるでしょう。

    ドメインコントローラのサーバの名前(FQDN)が引けるだけではだめで、その機能(LDAPサーバやKDCサーバ)についての名前解決が必要です。これはSRVというレコードで名前解決され、ドメインコントローラはこの情報をDNSサーバ上に公開しています。

    SRVレコードが正常に機能しない原因としてつぎの2つのケースがあります。当てはまるかどうか確認して、直していただくことをお奨めします(直せない場合も原因特定のために一時的に修正する方法は有効です)。

    • Windows XPのTCP/IPプロパティの"代替DNSサーバ"にActive DIrectoryとは無関係のDNSサーバを指定している(無関係のDNSサーバ指定はしない)
    • ドメインコントローラ側でマルチホーム(2つ以上のNICを同時に使っている)設定を行っている(1つのNICのみを使用する)
    2011年12月4日 11:44
    モデレータ
  • チャブーンです。

    > 弊社には、ADとは無関係のLinuxのDNSサーバがあり、DNSサーバとしてはこのLinuxサーバをメインとして使用しているため、Windows XPのDNS設定も、優先DNSサーバ:Linuxサーバ、代替DNSサーバ:ADサーバ、と設定しています。

    これが原因の可能性があります。MSの資料でもこういう設定は取らないでくれ、と書いてあります。

    http://support.microsoft.com/kb/825036/ja

    ----
    クライアント DNS 設定では、ISP の DNS サーバーを参照するように構成しないでください。このように構成すると、Windows 2000 ベースまたは Windows Server 2003 ベースのサーバーをドメインに参加させる際、またはそのコンピュータからドメインにログオンする際に、問題が発生することがあります。外部の名前は、内部 DNS サーバーから ISP の DNS サーバーに転送して解決するようにします。
    ----

     > 実は以前ADセカンダリサーバの機器を更新した際に、諸事情でホスト名を変更致しましたが、AD上で旧ホスト名の情報が残っています。

    この可能性もありますので、旧ホスト情報を手動で削除してください。したの資料をどうぞ。

    http://support.microsoft.com/kb/216498/ja

    2011年12月8日 1:16
    モデレータ
  • クライアント側もADのDNSサーバを参照していないと、たとえばグループポリシーが機能しないなどの不具合が発生します。

    「SRVレコード ドメイン」などのキーワードで検索するといくらでも情報はでてきますが、たとえば

    http://support.microsoft.com/kb/314861/ja

    など。SRVレコードが正しく検索できる状態になっていないと、Active Directoryに参加したマシンは正しく機能しません。

    なお、問題がある状態でも参加できてしまうのは、DNSを使用しないWindows NT互換のドメイン参加機能が、Windows XPやWindows Server 2003ではデフォルトで有効になっているためです。

     

    2011年12月13日 14:38
  • チャブーンです。

    返信が遅れました。

    > 1点確認させて頂きたく存じます。お教え頂いたクライアント側設定に関するMSの資料
    > http://support.microsoft.com/kb/825036/ja
    > を確認させて頂きましたが、この資料はサーバ側についてではないでしょうか。
    > ADのプライマリ、セカンダリ、どちらのサーバとも、優先DNSサーバ:ADプライマリサーバ、代替DNSサーバ: Linuxサーバ
    > の設定となっていますので、代替DNSサーバの設定は削除しようと思いますが、クライアント側の設定も関係するのでしょうか。

    確かに資料には「Windows Server」のことしか書いていないように見えます。が、資料にあるしたの項目は、すべてのメンバーサーバやクライアントに該当します。サーバだけを対象にしているわけではありません。訳については たかはしさんが書いておられるとおりです。

    ----
    クライアント DNS 設定では、ISP の DNS サーバーを参照するように構成しないでください。このように構成すると、Windows 2000 ベースまたは Windows Server 2003 ベースのサーバーをドメインに参加させる際、またはそのコンピュータからドメインにログオンする際に、問題が発生することがあります。外部の名前は、内部 DNS サーバーから ISP の DNS サーバーに転送して解決するようにします。
    ----

    2011年12月14日 21:54
    モデレータ
  • DNSの設定は以下の動作になります。

    TCP/IP詳細設定のDNSタブ

    [DNSサーバーアドレス]には優先DNSおよび代替DNSが順番に入ってくる。そしてさらに追加することも可能。ここで注意したいことは、使用するDNSは優先DNSであるということ。あくまでも優先DNSが使用不可(アクセス不可)の時に次のDNSが内部的に順序が上がって使用される

    [プライマリおよび接続専用のDNSサフィックスを追加する]にチェックが入っているときは自動的にシングルラベルでのクエリにプライマリDNSサフィックスが付加される。

    (例)DNSサフィックスがcontoso.comにおいてServer1でクエリすると

    server1.contoso.com

    でクエリされる。

    さらに[プライマリDNSサフィックスの親サフィックスを追加する]にチェックがあるとデボルブが行われる

    この動作に関しては私のブログを参照ください

    DNS のデボルブ動作に関して

    [以下のDNSサフィックスを順に追加する]にチェックが入っている場合はそこに登録されたサフィックスを追加します。

    ここで注意が必要なことは、ここに登録されたサフィックス以外は追加されないことです。ですのでデボルブなどは一切行われず、プライマリサフィックスも関係ありません。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/


    2011年12月15日 5:49
    モデレータ
  • >[DNSサーバーアドレス]に登録する、優先DNS及び代替DNSは、DCか否かは関係ないのでしょうか?

    これはどのDNSサーバーを使用するか?になりますのでDCであるかは関係ありません。

    >このサフィックスの登録順も、優先DNS-代替DNSの順で登録すべきということでしょうか。

    これはサフィックスの話なので優先DNS-代替DNSは関係ありません。

    以上、参考になれば幸いです。

     


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2011年12月15日 12:11
    モデレータ
  • まず基本的なことから・・・

    Windows ドメイン環境ではDNSが必須になります。このDNSは名前解決だけではなく、サーバーの役割(DCやPDC-E、GCなど)がどのサーバーで行われているかなども答えます。この仕組みはSRVレコードに書かれており、LinuxサーバーのDNSなどはこのSRVレコードに対応しかつ設定を行わないといけません。

    そのようなことから、Windows ドメイン環境ではマイクロソフトDNSの利用が推奨されています。

    仮にLinuxのDNSサーバーも利用したいということなら、マイクロソフトDNSの設定でフォワーダーの設定を行うことにより、マイクロソフトDNSでクエリが解決できないときはLinuxのDNSサーバーへ再帰クエリを行うことによって利用できます。

    このことから、Windows環境のクライアントにはLinuxのDNSサーバーの設定は行わないというのが推奨になります。

    >[DNSサーバーアドレス]に登録する、優先DNS及び代替DNSは、DCか否かは関係ないのでしょうか?

    この質問ではDCか否かということなので、私はDNSがDCである必要があるか?と、とらえましたが、質問の意図として、MSのDNSか?それともLinuxのDNSかということなら優先DNSをWindowsにするでしょう

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2011年12月16日 1:28
    モデレータ
  • チャブーンです。

    ちょっと、整理してコメントしますね。

    • このケースで、なぜ「優先DNSにも代替DNSにもLinux DNSを入れてはいけないのか」
      クライアントが、ドメインコントローラを探すためには、必要な「SRVレコード」が登録されたDNSサーバに必ずアクセスさせる必要があります。このケースでは「Linux DNS」はADと無関係ということで「SRVレコード」は登録されていません。
      このような場合、優先DNSまたは代替DNSのどちらかに「Linux DNS」を入れてしまっていると、アクセスのタイミング上、『必要な「SRVレコード」が見つけられませんでした』という名前解決の結果が来てしまうことがあり、この場合正常なログオンやグループポリシーの適用ができなくなるのです。たとえば、「優先DNSまたは代替DNSのどちらかからSRVレコードを適切に見つけてくる」という都合のよい動作は、DNSクエリで制御することはできないのです。
      完全に制御するには、優先DNSまたは代替DNSの両方にADのDNSだけを参照させ、それ以外の名前解決は(ADのDNSを使って)Linux DNSにフォワーダする、しか方法がないのです。これは、ドメインコントローラ、メンバーサーバ、すべてのクライアントが対象です。例外はありません。
    • ドメインとDNSサフィックスの関係
      ドメインに参加しているマシンで問題になるDNSサフィックスは、「プライマリDNSサフィックス」です。これが間違っている場合、ログオンが正常に行えなかったりしますが、通常の操作でおかしくなるようなことはありません。ネットワーク接続に紐付いているDNSサフィックスは、実際にアクセスするときに付加するものであり、ドメインログオン時には一般に影響はないはずです。なお、私やたかはしさんは、DNSサフィックスの話しには一切触れていません。なぜこれを持ち出されたのか、ちょっと分からないというのが本当のところです。
    2011年12月16日 3:22
    モデレータ
  • すでに、チャブーンさんとABE NAOKIさんが答えているとおりですが、厳密にいえばLinuxのDNSサーバ=NGではありません。ただし、ADのDNSサーバを指定しないのであれば、DNSの挙動やADとして必要なDNSの設定を理解したうえで、「適切」な設定をLinuxのDNSサーバに行う必要があります。

    何が「適切」かは環境に依存しますので、動作原理をきちんと理解したうえで、設定することになります。

    深い理解をせずに適切な設定をしたいのであれば、ADのクライアントについては、ADのDNSサーバ以外を指定しないでくださいという回答になります。

    2011年12月16日 16:36

すべての返信

  • お世話になります。
    補足致します。

    自分が使用しているPCも発生しているクライアントと同じ環境で、
    今まで発生していませんでしたが、発生しましたので、
    その時の状況を報告致します。

    <再現状況>
    1.ノートPCを別件作業で他のセグメントへ接続。
    2.作業後、ログイン後ネットワーク設定を元に戻す。(変更したのはIPアドレス、デフォルトゲートウェイのみ)
    3.LANケーブルを接続
    4.デスクトップにあるショートカットアイコンで全社内共通のフォルダに
      アクセスしたところ、ユーザー認証の画面が起動した。
    5.作成済みのネットワークドライブからの接続も試みたが、
      やはり接続できず。
    6.ping接続確認したところ、正常であったが、その後改善せず。
    7.直接パス接続してみたところ、ユーザー認証の画面が起動した。
    8.ユーザー認証画面でユーザー情報を入力し、正常ログインを確認。


    上記を踏まえ、再度(後日)再現確認を行いました。

    1.ノートPCのLANケーブルを外し、ネットワーク設定を
      他のセグメントへ変更。
    2.ネットワーク設定を元に戻し、LANケーブル接続。
    3.アクセス権設定されているSE用フォルダにアクセスしたところ、
      「アクセスできません。このネットワークリソースを使用するアクセス許可が
      ない可能性があります。…」のエラーメッセージが表示された。
    4.全員用のfree-area2フォルダにアクセスしたところ、正常アクセスできた。
    5.再度、アクセス権設定されているSE用フォルダにアクセスしたところ、
      正常アクセスを確認

    但し、上記手順で毎回必ず発生するわけではありません。

    よろしくお願い致します。

    2011年12月1日 5:46
  • チャブーンです。

    まず、トラブルシュートのサガとして(大袈裟ですが)、状況だけを見て○○が理由です、と原因を特定することはできません。

    今時点でいえることは、「ドメインコントローラの『機能』の名前解決」ができていないため、結局認証できないという可能性はあるでしょう。

    ドメインコントローラのサーバの名前(FQDN)が引けるだけではだめで、その機能(LDAPサーバやKDCサーバ)についての名前解決が必要です。これはSRVというレコードで名前解決され、ドメインコントローラはこの情報をDNSサーバ上に公開しています。

    SRVレコードが正常に機能しない原因としてつぎの2つのケースがあります。当てはまるかどうか確認して、直していただくことをお奨めします(直せない場合も原因特定のために一時的に修正する方法は有効です)。

    • Windows XPのTCP/IPプロパティの"代替DNSサーバ"にActive DIrectoryとは無関係のDNSサーバを指定している(無関係のDNSサーバ指定はしない)
    • ドメインコントローラ側でマルチホーム(2つ以上のNICを同時に使っている)設定を行っている(1つのNICのみを使用する)
    2011年12月4日 11:44
    モデレータ
  • チャプーン様

    ご返信頂きありがとうございます。

    >Windows XPのTCP/IPプロパティの"代替DNSサーバ"にActive DIrectoryとは無関係のDNSサーバを指定している(無関係のDNSサーバ指定はしない)

    これは該当しています。

    弊社には、ADとは無関係のLinuxのDNSサーバがあり、DNSサーバとしてはこのLinuxサーバをメインとして使用しているため、

    Windows XPのDNS設定も、優先DNSサーバ:Linuxサーバ、代替DNSサーバ:ADサーバ、と設定しています。

    この設定は5年以上前のAD導入時から行っていますが、発生した1~2ヵ月前までは何も問題なかったのですが、

    これが原因なのでしょうか。

     

    1点、原因として心当たりが出てきたことがあります。

    実は以前ADセカンダリサーバの機器を更新した際に、諸事情でホスト名を変更致しましたが、

    AD上で旧ホスト名の情報が残っています。

    セカンダリサーバの機器のを更新も1年半くらい前ですので、1年以上この状態で特に問題なかったのですが、

    原因との可能性は考えられますでしょうか。

    2011年12月5日 6:32
  • チャブーンです。

    > 弊社には、ADとは無関係のLinuxのDNSサーバがあり、DNSサーバとしてはこのLinuxサーバをメインとして使用しているため、Windows XPのDNS設定も、優先DNSサーバ:Linuxサーバ、代替DNSサーバ:ADサーバ、と設定しています。

    これが原因の可能性があります。MSの資料でもこういう設定は取らないでくれ、と書いてあります。

    http://support.microsoft.com/kb/825036/ja

    ----
    クライアント DNS 設定では、ISP の DNS サーバーを参照するように構成しないでください。このように構成すると、Windows 2000 ベースまたは Windows Server 2003 ベースのサーバーをドメインに参加させる際、またはそのコンピュータからドメインにログオンする際に、問題が発生することがあります。外部の名前は、内部 DNS サーバーから ISP の DNS サーバーに転送して解決するようにします。
    ----

     > 実は以前ADセカンダリサーバの機器を更新した際に、諸事情でホスト名を変更致しましたが、AD上で旧ホスト名の情報が残っています。

    この可能性もありますので、旧ホスト情報を手動で削除してください。したの資料をどうぞ。

    http://support.microsoft.com/kb/216498/ja

    2011年12月8日 1:16
    モデレータ
  • チャプーン様

    再度ご返信頂きありがとうございます。

    現在、提案頂いたサーバ側、クライアント側、双方の作業を行うべく準備を進めているところです。

    1点確認させて頂きたく存じます。お教え頂いたクライアント側設定に関するMSの資料

    http://support.microsoft.com/kb/825036/ja

    を確認させて頂きましたが、この資料はサーバ側についてではないでしょうか。

    ADのプライマリ、セカンダリ、どちらのサーバとも、優先DNSサーバ:ADプライマリサーバ、代替DNSサーバ: Linuxサーバ

    の設定となっていますので、代替DNSサーバの設定は削除しようと思いますが、クライアント側の設定も関係するのでしょうか。

     

    2011年12月12日 2:37
  • クライアント側もADのDNSサーバを参照していないと、たとえばグループポリシーが機能しないなどの不具合が発生します。

    「SRVレコード ドメイン」などのキーワードで検索するといくらでも情報はでてきますが、たとえば

    http://support.microsoft.com/kb/314861/ja

    など。SRVレコードが正しく検索できる状態になっていないと、Active Directoryに参加したマシンは正しく機能しません。

    なお、問題がある状態でも参加できてしまうのは、DNSを使用しないWindows NT互換のドメイン参加機能が、Windows XPやWindows Server 2003ではデフォルトで有効になっているためです。

     

    2011年12月13日 14:38
  • チャブーンです。

    返信が遅れました。

    > 1点確認させて頂きたく存じます。お教え頂いたクライアント側設定に関するMSの資料
    > http://support.microsoft.com/kb/825036/ja
    > を確認させて頂きましたが、この資料はサーバ側についてではないでしょうか。
    > ADのプライマリ、セカンダリ、どちらのサーバとも、優先DNSサーバ:ADプライマリサーバ、代替DNSサーバ: Linuxサーバ
    > の設定となっていますので、代替DNSサーバの設定は削除しようと思いますが、クライアント側の設定も関係するのでしょうか。

    確かに資料には「Windows Server」のことしか書いていないように見えます。が、資料にあるしたの項目は、すべてのメンバーサーバやクライアントに該当します。サーバだけを対象にしているわけではありません。訳については たかはしさんが書いておられるとおりです。

    ----
    クライアント DNS 設定では、ISP の DNS サーバーを参照するように構成しないでください。このように構成すると、Windows 2000 ベースまたは Windows Server 2003 ベースのサーバーをドメインに参加させる際、またはそのコンピュータからドメインにログオンする際に、問題が発生することがあります。外部の名前は、内部 DNS サーバーから ISP の DNS サーバーに転送して解決するようにします。
    ----

    2011年12月14日 21:54
    モデレータ
  • たかはしもとのぶ様
    チャプーン様

    ご返信ありがとうございます。

    クライアント側のDNSの設定とは、
    優先DNSサーバ、代替DNSサーバだけでなく、
    DNSタブのDNSサフィックスの設定も関連していますでしょうか。

    と言いますのは、優先DNSサーバ、代替DNSサーバの設定順も
    そうですが、DNSサフィックスの設定も、ADクライアントで
    設定内容が統一されておらず、クライアントによって異なって
    いることが分かりました。
    (クライアント導入時は管理者側で設定しますので、
     統一されているはずでしたが、導入時期の違いよるものか
     クライアントによって設定値が異なっているようです)
    特にDNSサフィックスの設定は、
    「プライマリ及び接続専用のDNSサフィックスを追加する」-
    「プライマリDNSサフィックスの親サフィックスを追加する」
    にチェックが入っている場合と、
    「以下のDNSサフィックスを順に追加する」にチェックが入って
    いるケースがあり、
    「以下のDNSサフィックスを順に追加する」にチェックが入っている場合も
    登録されているドメイン名はAD用のものと、そうでないものと
    2つありますが、順序もクライアントによって異なっているようです。

    そこで、本件の現象が発生したクライアント1台で、
    「以下のDNSサフィックスを順に追加する」にチェックが入っており、
    ADでないもの→AD用の順序で登録されていましたので、
    頂いた回答に従って、ADでないドメイン名設定を削除しました。
    すると、社内で使用しているグループウェアでサーバに接続できなくなる
    問題が発生し、再度ADでないドメイン名設定を追加したところ、
    復旧しました。
    (グループウェアサーバはWindowsですが、ADには入っておりません)

    以上のような状況で、クライアント設定について、
    どの設定値が正しいのか分からなくなっております。

    引き続き、ご教授頂きたくお願い致します。

     

    2011年12月15日 5:03
  • DNSの設定は以下の動作になります。

    TCP/IP詳細設定のDNSタブ

    [DNSサーバーアドレス]には優先DNSおよび代替DNSが順番に入ってくる。そしてさらに追加することも可能。ここで注意したいことは、使用するDNSは優先DNSであるということ。あくまでも優先DNSが使用不可(アクセス不可)の時に次のDNSが内部的に順序が上がって使用される

    [プライマリおよび接続専用のDNSサフィックスを追加する]にチェックが入っているときは自動的にシングルラベルでのクエリにプライマリDNSサフィックスが付加される。

    (例)DNSサフィックスがcontoso.comにおいてServer1でクエリすると

    server1.contoso.com

    でクエリされる。

    さらに[プライマリDNSサフィックスの親サフィックスを追加する]にチェックがあるとデボルブが行われる

    この動作に関しては私のブログを参照ください

    DNS のデボルブ動作に関して

    [以下のDNSサフィックスを順に追加する]にチェックが入っている場合はそこに登録されたサフィックスを追加します。

    ここで注意が必要なことは、ここに登録されたサフィックス以外は追加されないことです。ですのでデボルブなどは一切行われず、プライマリサフィックスも関係ありません。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/


    2011年12月15日 5:49
    モデレータ
  • ABE NAOKi様

    返信頂きありがとうございます。

    参考にさせて頂きますが、2点確認させて頂きたいです。

    DNSサーバーアドレス]に登録する、優先DNS及び代替DNSは、DCか否かは関係ないのでしょうか?

    DCでないものは登録すべきでないのでしょうか?

    また、

    >[以下のDNSサフィックスを順に追加する]にチェックが入っている場合はそこに登録されたサフィックスを追加します。

    このサフィックスの登録順も、優先DNS-代替DNSの順で登録すべきということでしょうか。

     

    よろしくお願い致します。

     

    2011年12月15日 8:39
  • >[DNSサーバーアドレス]に登録する、優先DNS及び代替DNSは、DCか否かは関係ないのでしょうか?

    これはどのDNSサーバーを使用するか?になりますのでDCであるかは関係ありません。

    >このサフィックスの登録順も、優先DNS-代替DNSの順で登録すべきということでしょうか。

    これはサフィックスの話なので優先DNS-代替DNSは関係ありません。

    以上、参考になれば幸いです。

     


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2011年12月15日 12:11
    モデレータ
  • ABE NAOKi様

    返信頂きありがとうございます。

    >>[DNSサーバーアドレス]に登録する、優先DNS及び代替DNSは、DCか否かは関係ないのでしょうか?

    >これはどのDNSサーバーを使用するか?になりますのでDCであるかは関係ありません。

    この点について、ABE NAOKi様と同じ認識で設定してきており、本不具合が発生するまでの長期間は

    問題も発生していませんでした。

    ABE NAOKi様からの回答で、今までの設定のままで良く、変更の必要なしと受け取れますが、

    上記のたかはしもとのぶ様、チャプーン様から頂いた回答では、逆のことをおっしゃっておられますので、

    どちらが正しいのかが分からなくなり、私の2つ前の投稿でもこの点について確認させて頂いた次第です。

    混乱て私が考え違いをしているのでしょうか?

    よろしくお願い致します。

    2011年12月16日 0:25
  • まず基本的なことから・・・

    Windows ドメイン環境ではDNSが必須になります。このDNSは名前解決だけではなく、サーバーの役割(DCやPDC-E、GCなど)がどのサーバーで行われているかなども答えます。この仕組みはSRVレコードに書かれており、LinuxサーバーのDNSなどはこのSRVレコードに対応しかつ設定を行わないといけません。

    そのようなことから、Windows ドメイン環境ではマイクロソフトDNSの利用が推奨されています。

    仮にLinuxのDNSサーバーも利用したいということなら、マイクロソフトDNSの設定でフォワーダーの設定を行うことにより、マイクロソフトDNSでクエリが解決できないときはLinuxのDNSサーバーへ再帰クエリを行うことによって利用できます。

    このことから、Windows環境のクライアントにはLinuxのDNSサーバーの設定は行わないというのが推奨になります。

    >[DNSサーバーアドレス]に登録する、優先DNS及び代替DNSは、DCか否かは関係ないのでしょうか?

    この質問ではDCか否かということなので、私はDNSがDCである必要があるか?と、とらえましたが、質問の意図として、MSのDNSか?それともLinuxのDNSかということなら優先DNSをWindowsにするでしょう

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2011年12月16日 1:28
    モデレータ
  • チャブーンです。

    ちょっと、整理してコメントしますね。

    • このケースで、なぜ「優先DNSにも代替DNSにもLinux DNSを入れてはいけないのか」
      クライアントが、ドメインコントローラを探すためには、必要な「SRVレコード」が登録されたDNSサーバに必ずアクセスさせる必要があります。このケースでは「Linux DNS」はADと無関係ということで「SRVレコード」は登録されていません。
      このような場合、優先DNSまたは代替DNSのどちらかに「Linux DNS」を入れてしまっていると、アクセスのタイミング上、『必要な「SRVレコード」が見つけられませんでした』という名前解決の結果が来てしまうことがあり、この場合正常なログオンやグループポリシーの適用ができなくなるのです。たとえば、「優先DNSまたは代替DNSのどちらかからSRVレコードを適切に見つけてくる」という都合のよい動作は、DNSクエリで制御することはできないのです。
      完全に制御するには、優先DNSまたは代替DNSの両方にADのDNSだけを参照させ、それ以外の名前解決は(ADのDNSを使って)Linux DNSにフォワーダする、しか方法がないのです。これは、ドメインコントローラ、メンバーサーバ、すべてのクライアントが対象です。例外はありません。
    • ドメインとDNSサフィックスの関係
      ドメインに参加しているマシンで問題になるDNSサフィックスは、「プライマリDNSサフィックス」です。これが間違っている場合、ログオンが正常に行えなかったりしますが、通常の操作でおかしくなるようなことはありません。ネットワーク接続に紐付いているDNSサフィックスは、実際にアクセスするときに付加するものであり、ドメインログオン時には一般に影響はないはずです。なお、私やたかはしさんは、DNSサフィックスの話しには一切触れていません。なぜこれを持ち出されたのか、ちょっと分からないというのが本当のところです。
    2011年12月16日 3:22
    モデレータ
  • すでに、チャブーンさんとABE NAOKIさんが答えているとおりですが、厳密にいえばLinuxのDNSサーバ=NGではありません。ただし、ADのDNSサーバを指定しないのであれば、DNSの挙動やADとして必要なDNSの設定を理解したうえで、「適切」な設定をLinuxのDNSサーバに行う必要があります。

    何が「適切」かは環境に依存しますので、動作原理をきちんと理解したうえで、設定することになります。

    深い理解をせずに適切な設定をしたいのであれば、ADのクライアントについては、ADのDNSサーバ以外を指定しないでくださいという回答になります。

    2011年12月16日 16:36
  • 皆様ご返信ありがとうございます。

    (大変恐縮ですが、まとめて返信させて頂きます)

     

    ABE NAOKi様

    >この質問ではDCか否かということなので、私はDNSがDCである必要があるか?と、とらえましたが、質問の意図として、MSのDNSか?それともLinuxのDNSかということなら優先DNSをWindowsにするでしょう

    質問の意図とABE NAOKi様のとらえ方が一致していなかったのですね。

    私は後者の意味で質問させて頂いたつもりでした。WindowsサーバのDNSサーバは、このDCプライマリサーバのみです。推奨されていないが、LinuxのDNSを使うとすれば、代替DNSということですね。

     

    チャブーン様

    DNSサフィックスは関係ないということですね。

    DNSサフィックスもDNSの関連の設定ですし、クライアントによって設定内容が異なっていたため、優先DNS、代替DNSだけでなく、DNSサフィックスも関係あるのかと思ってしまいました。

    プライマリDNSサフィックスは、DCのドメイン名を設定していますので、問題ないと認識しています。

     

    とりあえず、サーバ側の設定変更(不要情報の削除)を明日夜に行う予定であり、事前又は同時にクライアント側設定変更を行う余裕がありませんので、サーバ側の設定変更で様子を見たいと思っています。

    その後も状況が改善されないようであれば、クライアント側の問題の可能性が高くなりますので、ご教授頂いたクライアント側のDNS設定の見直しを検討していきます。

     

    2011年12月19日 2:14
  • 皆様

    サーバ側の対応作業が無事終わりました。

    作業後の動作検証の中で、新規にADユーザーを作成、クライアント側でユーザー追加をやってみところ、クライアント側でワークグループをドメインに変更する際に、ドメインへ接続できずにエラーになりました。

    当該クライアントのDNSサーバ設定を確認し、優先DNSがDCでないサーバに設定されていたため、DCのサーバに変更したところ、正常にドメイン変更でき、以降の動作確認も正常でした。

    この状況は、今まで皆様に頂いた回答の内容の通りです。

    既存のADクライアントも、優先DNSがDCでないサーバに設定されているものが多いと推測しており、共有フォルダに接続できない現象が発生したクライアントから、設定変更しようと考えております。

    共有フォルダに接続できない現象が出ても、DNSサーバ設定が問題ない又は変更後も再発するといったクライアントがあった場合は、今回のサーバー側の設定変更だけでは改善されていないと言えるかと考えています。

    しばらく様子を見てみたいと思います。

     


    • 編集済み 小台 2011年12月21日 8:42
    2011年12月21日 8:41
  • こんにちは。
    フォーラム オペレーターの田中夢です。
     
    チャブーン さん、たかはしもとのぶ さん、ABE NAOKI さん
    とても参考になるアドバイスをいただき、ありがとうございます。
     
    小台 さん
    今後についてご報告をいただきありがとうございます。

    今回、チャブーン さん、たかはしもとのぶ さん、ABE NAOKI さんにアドバイスいただいた内容を参考にしていただけたようですので、勝手ながら私のほうで [回答としてマーク] とさせていただきますね。


    今後とも TechNet フォーラムをよろしくお願いいたします。 
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢

    2011年12月28日 1:57
    モデレータ