none
ActiveDirectoryに参加できなくなった。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    先週金曜日は、できました。

    先週土曜日に社内に設置しているDNS(Linux)サーバをリプレースしました。

    今週火曜日にクライアントPC(Windows7SP1)をADに参加しようとしたところ、

    「参加しようとしているドメインのドメインコントローラーのDNS名を解決できませんでした。このクライアントが、

    対象のドメインでDNS名を解決できるDNSサーバに到達できるように構成されていることを確認してください。。。」

    のメッセージが表示され、参加できませんでした。

    DNS(Linux)サーバは、

    サーバのハード機器をリプレースし、

    RedHatLinux4→6.2となりました。

    ネットワーク設定やDNS設定は、まったく以前と同じで、社内DMZエリアに設置しています。(192.168.aaa.20)

    クライアントPCのDNS設定は、

    プライマリ:東京ADサーバ(192.168.bbb.2)

    セカンダリ:LinuxDNSサーバ(192.168.aaa.20)

    3番目:大阪ADサーバ(192.168.ccc.2)

    としています。

    このセカンダリLinuxDNSサーバの設定を削除したところ、

    ADに参加できました。

    WindowsXP SP3では、本現象は、発生しません。

    なぜ、LinuxDNSサーバをリプレース後、

    DNSのセカンダリにLinuxDNSサーバを設定しているとADに参加できなくなってしまったのかが、わかりません。

    考えられる原因をご教示いただきたく、

    どうぞよろしくお願い致します。

    2012年9月26日 4:04
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさんがおっしゃっている

    >前提として、参照先「優先DNSサーバ」に対して、「必ず先に問い合わせる」のが正しい、と思っておられるようですが、そういうことはありません。

    >Windows XPでも、常に優先DNSサーバの問い合わせが優先されるわけではないことが、KBに書いてあります。参照先の有効性を示すリストがあり、優先DNSサーバが常に最優先ではない、ということです

    のはテストでいろいろと切り替えていると設定しても、すぐには反映されないというですので、設定を変えたら常に再起動を行えばこの前提はなくなります。

    よって、設定を変えてテストを行う場合は再起動が鉄則ということになりますね。

    ただし、チャブーンさんもおっしゃっていますが、そもそものお話しとしてクライアントのDNS設定にLinuxのDNSを入れるのはやめた方がいいですね。

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク matsuatsu 2012年9月27日 5:46
    2012年9月27日 3:30
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    あくまでも、上記情報から推測しますので間違いかもしれませんが・・・

    前提として、DNSの設定において、優先、代替DNSという設定ができますが使用されるのは1つのみです。優先dnsにアクセス出来ないときは代替dnsを使用します。

    さらに、ドメインに参加しているクライアントのdns設定にlinuxを指定することはほとんどしません(srvレコードに対応して設定も行なっている場合は別)

    ここから、考えられることは優先dnsにアクセス出来ない状況が発生→代替dnsのlinuxサーバーが参照された→srvレコードの対応がされていないのでdcが見つからないという流れでしょうか?

    そして、linuxのdnsサーバーを外す事によって、3番目に設定されたdnsサーバーを参照し、DCにアクセスできたということではないでしょうか?

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2012年9月26日 15:55
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ABE 様、ご返答ありがとうございます。

    優先DNSにアクセスできずとの事でしたが、

    優先DNSには、Pingは、OK。

    nslookupを実行しても、DNSサーバは、優先DNSとなり、名前解決もされる状態でした。

    本日木曜日も別のWindows7機でも同様の現象。

    ネットを検索していると、とあるシステム開発されている方のブログにて、同様の現象の記載をみつけました。

    その方は、今までは、XPで問題なかったが、Windows7にしたところ、この現象となったと。

    DNSの設定は、優先がServer2008のADサーバで、セカンダリがルータのIPを指定していたと。

    その方もセカンダリのDNSの設定を削除したところ、ADに登録できるようになったと。

    最終的にDNSにAD以外のDNSを設定するとADに参加できなかったと。

    Server2008SP1ですが、AD登録する際にAD以外のDNSを設定するとAD登録できないという仕様なのでしょうか。

    しかし、先週まではできていたので、AD自体は、何も変更していなく、

    変更したのは、ADとは、あまりつながりの無い社外向けのLinuxDNSサーバだけなのですが。。。

    2012年9月27日 1:31
    |
  • Question
    サインインして投票
    1
    サインインして投票

    その様な現象は起きたことがないので何とも言えませんが・・・

    例えDNSサーバーにPingができて名前解決ができてもそれだけではダメな場合があります。それはSRVレコードをきちんと解決しているか?です。

    そもそも論として、ドメインに参加しているクライアントのDNS設定にLinuxサーバーを指定することは通常しません。それはSRVレコードが登録されていないからです。(SRVレコードがサポートされていてきちんと設定されている場合は別ですが)

    ですのでLinuxのDNSサーバーを使用するのであれば、ADのDNSにフォワーダーの設定を行うのが一般的な構成になります。

    クライアントのドメインへのログオンプロセスとしては

      • DNSサーバーのSRVレコードよりDCを要求
      • DNSサーバーにDCのIPアドレスを要求
      • DCにログオン要求
      • DCはGCにユーザー情報を問い合わせ
      • DCはユーザーに対してログオンを許可

    のような流れになります。

    また難しいところは、一度ログオンが成功している場合はDNSの問い合わせが失敗してもキャッシュログオンを行うことによって正常ログオンできたように見えることです。

    確認のために

    ・優先DNSだけにしてログオンしてみる

    NGなら優先DNSの問題

    OKなら次に、代替DNSにLinuxのDNSを入力してテスト

    NGなら、本来の動作ではない

    ということになりますね。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2012年9月27日 2:09
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ABE 様、早々のご返答ありがとうございます。

    優先DNSだけだとOKです。

    代替DNSにLinuxのDNSを追加すると、NGで上記メッセージが表示されます。

    なので、本来の動作ではない???

    2012年9月27日 2:38
    |
  • Question
    サインインして投票
    0
    サインインして投票

    これがまた難しいところで、もしかしたらキャッシュログオンされている可能性も否定できません。

    ということで、次のテストをお勧めします。

    GPOの適用がされているかを確認する。正常にログオンされていればGPOが適用されるはずです。

    1.テストOUを作成し、コンピューターおよびユーザーをそのテストOUに配置する。

    2.適当なGPOを作成する

    この際GPOが適用されたらすぐにわかるものを設定する

    更に次の設定も行いましょう

    コンピューターの構成>管理用テンプレート>システム>ログオン
    のコンピューターの起動およびログオンで常にネットワークを待つ
    を有効にする

    これで、GPOが提供されればキャッシュログオンではないことが確認できます。もし成功したなら、本来の動作ではないという証明になるはずですね。

    もしGPOが適用されていないのであれば、やはりDCへのログオンが失敗していることになるはずです。

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2012年9月27日 3:02
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    前提として、参照先「優先DNSサーバ」に対して、「必ず先に問い合わせる」のが正しい、と思っておられるようですが、そういうことはありません。

    Windows XPでも、常に優先DNSサーバの問い合わせが優先されるわけではないことが、KBに書いてあります。参照先の有効性を示すリストがあり、優先DNSサーバが常に最優先ではない、ということです。

    http://support.microsoft.com/kb/320760/ja

    どうしてもWindows 7の動作がお気に召さない、というなら、「常に優先DNSサーバから問い合わせるよう」うえのKBのレジストリ値を設定して様子を見てみる、方法はあるでしょう。ただし、MSではおっしゃるような設定(ISPや社内DNSサーバを代替DNSサーバに入れる)ことは、不推奨です。ですから、こういう動作が起こっても当然といえますね。

    http://support.microsoft.com/kb/825036/ja


    2012年9月27日 3:19
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさんがおっしゃっている

    >前提として、参照先「優先DNSサーバ」に対して、「必ず先に問い合わせる」のが正しい、と思っておられるようですが、そういうことはありません。

    >Windows XPでも、常に優先DNSサーバの問い合わせが優先されるわけではないことが、KBに書いてあります。参照先の有効性を示すリストがあり、優先DNSサーバが常に最優先ではない、ということです

    のはテストでいろいろと切り替えていると設定しても、すぐには反映されないというですので、設定を変えたら常に再起動を行えばこの前提はなくなります。

    よって、設定を変えてテストを行う場合は再起動が鉄則ということになりますね。

    ただし、チャブーンさんもおっしゃっていますが、そもそものお話しとしてクライアントのDNS設定にLinuxのDNSを入れるのはやめた方がいいですね。

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク matsuatsu 2012年9月27日 5:46
    2012年9月27日 3:30
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    いろいろとご教示いただき、ありがとうございました。

    結局、原因は、わからないのですが、

    DNS設定からLinuxのDNSを外す方向で進めたいと思います。

    2012年9月27日 5:46
    |