locked
RemoteApp認証エラー パスワードの有効期限切れ RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    お世話になります。

    APサーバ、DBサーバーの2台構成で、
    DBサーバー側にドメイン環境を作っています。

    APサーバーへはRemoteAppでの接続で、
    ログイン時にサーバ側のドメインのユーザアカウントにて接続し基幹システムを実行。

    とぢらもWindowsServer2008R2です。

    クライアントは71台、windows7Pro。

    APサーバー、RDSCALライセンス購入済み(71個)
    デバイスCAL  4ライセンス
    ユーザCAL   67ライセンス

    DBサーバー上はDefaultDomainPolicyを編集し、「アカウントポリシー」-「パスワードのポリシー」で
    パスワードの有効期限を無期限設定し、
    AcriveDirectoryより「ユーザー」-「プロパティ」で
    パスワードを無期限にするにチェック、アカウントの期間はなしに設定しています。


    稼動して4年経過しますが、3週間前から下記エラーが突然発生します。
    クライアント端末より、RemoteApp接続で基幹システムを実行。
    ----------
    RemoteApp
    「認証エラーが発生しました。
    ローカルセキュリティ期間にアクセスできません。

    リモートコンピュータ:IPアドレス
    パスワードの有効期限が切れていることが原因である可能性があります。
    ・・・・」
    -----------

    対応
    APサーバーを確認。
    「ローカルセキュリティポリシィ」-「アカウントポリシー」-「パスワードのポリシー」
    パスワードの有効期間が30日となっていた。グレーアウトしていて設定できなかったため、
    コマンドより無期限に変更。「net accounts /maxpwage:unlimited」
    画面上で確認すると、有効期間は「0」に更新されています。

    上記対応で、一時は接続可能となるのですが、7日経過すると(時間も同じ時間帯)
    また同様のエラーが発生します。

    前回同様、APサーバーのパスワードの有効期間を確認すると、有効期間は「0」のままです。
    解決方法がわからず、無期限に変更するコマンドを再度実行。
    DBサーバー側は、有効期限「0」、ユーザーもパスワードは無期限にチェックがついた
    状態なので、なにも変更はしていません。

    数分経過後に接続可能となります。

    上記現象が3回連続で発生しており、大変困っております。
    このままでは、また7日経過後に発生すると思われます。
    何か良い解決方法はありませでしょうか?

    どうぞよろしくお願い致します。

    2016年2月23日 5:38

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    まず、環境についてですが、

    APサーバ、DBサーバーの2台構成で、
    DBサーバー側にドメイン環境を作っています。

    とのことですが、ぱっとみ「APサーバ→ワークグループ」「DBサーバ→ドメイン参加サーバ」のように見えますが、実際のところは「APサーバ→(DBサーバの)ドメイン参加サーバ」「DBサーバ→ドメインコントローラ」なのだと思われます。そうであるので、

    「ローカルセキュリティポリシィ」-「アカウントポリシー」-「パスワードのポリシー」
    パスワードの有効期間が30日となっていた。グレーアウトしていて設定できなかったため、

    は、ドメインに参加しているサーバであれば自然なことなので(ドメインのアカウントポリシーが上書きされるためこうなります)、納得ができます。

    理由の方ですが、「APサーバ」の方にグループポリシーが適切に適用されていない可能性があります。(イベントビューアで)アプリケーションログにグループポリシーが適用失敗したエラーがあったり、システムログにNetLogonエラーがあれば、きわめてこの可能性が高いです。この状態でgpupdate /foreを実行すればよりはっきり結果がわかるでしょう。

    対応策としては、ひとまずAPサーバを再起動してNetLogonエラーが出なくなるかどうか、gpupdate /forceがきちんと実行できるかどうかを確認してください。APサーバ起動時にNetLogonエラーが記録される場合はとくに「セキュアチャネル」が破損しているケースが多いので、APサーバを(DBサーバの)ドメインに再参加させてみてください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年2月24日 1:27
    • 回答としてマーク 佐伯玲 2016年3月3日 0:55
    2016年2月23日 18:45
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    回答ありがとうござます。

    環境についてはおっしゃるとおりです。

    説明が足りておらず、補足していただきありがとうございます。

    APサーバーの再起動は毎日深夜に行っております。

    イベントビューアを確認したところ、起動時にNETLOGON 5719エラー、

    GroupPolicy 1129エラーが発生していました。

    NETLOGON 5719エラーを色々調べていたところ、

    今日も同様のエラーが発生し、教えていただいたコマンドgpupdate /foreをながすと失敗。

    nltest /SC_VERIFY:ドメイン をながすと、エラーがかえってきたので、セキュアチャネルが破損

    している状況を確認できました。

    本日ユーザーの業務終了後、APサーバーのドメイン再参加を行って様子を見ようと思います。

    • 回答としてマーク y-mizuta 2016年2月29日 2:57
    2016年2月24日 6:46

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    まず、環境についてですが、

    APサーバ、DBサーバーの2台構成で、
    DBサーバー側にドメイン環境を作っています。

    とのことですが、ぱっとみ「APサーバ→ワークグループ」「DBサーバ→ドメイン参加サーバ」のように見えますが、実際のところは「APサーバ→(DBサーバの)ドメイン参加サーバ」「DBサーバ→ドメインコントローラ」なのだと思われます。そうであるので、

    「ローカルセキュリティポリシィ」-「アカウントポリシー」-「パスワードのポリシー」
    パスワードの有効期間が30日となっていた。グレーアウトしていて設定できなかったため、

    は、ドメインに参加しているサーバであれば自然なことなので(ドメインのアカウントポリシーが上書きされるためこうなります)、納得ができます。

    理由の方ですが、「APサーバ」の方にグループポリシーが適切に適用されていない可能性があります。(イベントビューアで)アプリケーションログにグループポリシーが適用失敗したエラーがあったり、システムログにNetLogonエラーがあれば、きわめてこの可能性が高いです。この状態でgpupdate /foreを実行すればよりはっきり結果がわかるでしょう。

    対応策としては、ひとまずAPサーバを再起動してNetLogonエラーが出なくなるかどうか、gpupdate /forceがきちんと実行できるかどうかを確認してください。APサーバ起動時にNetLogonエラーが記録される場合はとくに「セキュアチャネル」が破損しているケースが多いので、APサーバを(DBサーバの)ドメインに再参加させてみてください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年2月24日 1:27
    • 回答としてマーク 佐伯玲 2016年3月3日 0:55
    2016年2月23日 18:45
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    回答ありがとうござます。

    環境についてはおっしゃるとおりです。

    説明が足りておらず、補足していただきありがとうございます。

    APサーバーの再起動は毎日深夜に行っております。

    イベントビューアを確認したところ、起動時にNETLOGON 5719エラー、

    GroupPolicy 1129エラーが発生していました。

    NETLOGON 5719エラーを色々調べていたところ、

    今日も同様のエラーが発生し、教えていただいたコマンドgpupdate /foreをながすと失敗。

    nltest /SC_VERIFY:ドメイン をながすと、エラーがかえってきたので、セキュアチャネルが破損

    している状況を確認できました。

    本日ユーザーの業務終了後、APサーバーのドメイン再参加を行って様子を見ようと思います。

    • 回答としてマーク y-mizuta 2016年2月29日 2:57
    2016年2月24日 6:46