none
フォレスト信頼作成後のログオンについて RRS feed

  • 質問

  • 恐れ入ります。フォレスト信頼について質問です。

    -- 状況 --
    当方Hyper-V上にて仮想コンピュータを5台作成し、仮想ネットワークを使い2つのセグメントを持つネットワークを構築しました。
    ネットワークは、RASというRRASの機能をインストールしたWindows Server 2008で2つのネットワークを切り、左を192.168.0.0/24でドメインをdom1.localというドメイン、右を192.168.10.0/24でドメインをdom2.localというネットワークになっています。
    dom1.localにはWindows Server 2008 Enterpriseで動くDC1と、Windows Vista Enterpriseの動くPC1
    dom2.localにはWindows Server 2008 Enterpriseで動くDC2と、Windows Vista Enterpriseの動くPC2
    DC1は、dom1のAD統合ゾーンとdom2.localのセカンダリゾーンを持ち、DC2はdom2のAD統合ゾーンとdom1.localのセカンダリゾーンを持っています。
    dom1にはユーザーdom1\user1, dom2にはユーザーdom2\user2があります。

    ------------------------------(RAS)-----------------------------
    |       |  (192.168.0.0/24)                |                           | (192.168.10.0/24)
    PC1  DC1(dom1.local)                    DC2(dom2.local)     PC2


    これらのドメインでフォレスト信頼→双方向の信頼を作成しました。


    -- 質問 --
    PC1上でdom2\user2でログオンを試すとエラーメッセージ
    "指定されたドメインの名前またはセキュリティーID(SID)はそのドメインの信頼情報と矛盾します。"
    と出てしまいます。
    フォレスト信頼を作成したとき、別のドメインのコンピュータから、自分のいるドメインのユーザーアカウントでログオンしたいのですが、どうすれば良いでしょうか?
    (私の勘違いで、ログオンするコンピュータも同じドメインから出ないと、そもそもログオン出来ないものでしたか? 尚、相手側のファイル共有や、AD上のユーザー、コンピュータ検索は問題なくできています。)
    • 移動 三沢健二Moderator 2010年2月4日 5:25 AD カテゴリが適切と判断したため (移動元:Windows Server 2008 全般)
    2010年1月31日 14:35

回答

  • Takeshi Osato さん

    解決策 というわけではありませんが、確認手順の一環として、
    DC1 および DC2 で それぞれの 信頼関係の設定状態を確認してみてください。

    仮に DC1 から 信頼関係設定をした場合で、 DC1→DC2 と DC2→DC1 を設定したとすると
    DC2側にも 同じように信頼関係の設定が見れるはず、、、

    以前 信頼関係の設定検証などを行っていたときに これが 相手側のサーバの設定が上手く行っていない事がありました。
    この場合、DC2 側で信頼関係の設定をやり直すと うまくいくと思います。

    2010年2月4日 7:46
  • 自分の場合は、こちらの投稿にあるように、お互いのドメインのDNSサーバーで相手側ドメインのDNSサーバーを条件付きフォワーダとして設定した後に、フォレスト間の信頼関係を構築することによってうまくいきました。

     

    考えられることはお互いのフォレスト間で時刻合わせができているのか(5分以内で)、まずしたのページをみて信頼関係を検証してみてください。

    http://technet.microsoft.com/ja-jp/library/cc770264.aspx

    http://technet.microsoft.com/ja-jp/library/cc753821.aspx


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年2月5日 9:55

すべての返信

  • Takeshi Osato さん

    解決策 というわけではありませんが、確認手順の一環として、
    DC1 および DC2 で それぞれの 信頼関係の設定状態を確認してみてください。

    仮に DC1 から 信頼関係設定をした場合で、 DC1→DC2 と DC2→DC1 を設定したとすると
    DC2側にも 同じように信頼関係の設定が見れるはず、、、

    以前 信頼関係の設定検証などを行っていたときに これが 相手側のサーバの設定が上手く行っていない事がありました。
    この場合、DC2 側で信頼関係の設定をやり直すと うまくいくと思います。

    2010年2月4日 7:46
  • 自分の場合は、こちらの投稿にあるように、お互いのドメインのDNSサーバーで相手側ドメインのDNSサーバーを条件付きフォワーダとして設定した後に、フォレスト間の信頼関係を構築することによってうまくいきました。

     

    考えられることはお互いのフォレスト間で時刻合わせができているのか(5分以内で)、まずしたのページをみて信頼関係を検証してみてください。

    http://technet.microsoft.com/ja-jp/library/cc770264.aspx

    http://technet.microsoft.com/ja-jp/library/cc753821.aspx


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年2月5日 9:55
  • SHIMSOFTさん, 試験問題作成委員会さん

    貴方のアドバイスをヒントに、以下の手順をやってみました。

    1. お互いのDNSのセカンダリゾーンを削除して、条件付フォワーダーに変更
    2. 双方向の信頼を一旦削除
    3. 再度、双方向の信頼を作成

    これで、問題が解決されました。

    ありがとうございました。

    2010年2月6日 6:07