- - PR -
2000ADのDCに正しくログオンできない(ログオン認証失敗)
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-04-20 22:07
シングルドメインで、DCが2台という構成です。元はNTDC2台でしたが、12月に1台を2000DCにして、先週2台目も2000DCにアップグレードしました。どちらにもDNSをAD統合モードで入れています。nslookupで見る限り名前解決はうまく行っているようです。
2台目アップグレードの前から、クライアント(XP)にログオンするとパスワード有効期限の42日間(デフォルトのまま)よりも短い間隔でパスワード変更を求められへんだなぁと思っていました。 XPクライアントのイベントログを調べてみると、リブートのたびに次のようなログが残っていました。 (1)AutoEnrollment、エラー、ID=15 「ローカルシステムの証明書の自動登録でActive Directoryに連絡できませんでした。パスワードを更新できませんでした。現在のパスワードとして指定された値が間違っています。登録は行われません。」 (2)Userenv、エラー、ID=1053 「ユーザーまたはコンピュータ名を判断できません。(アクセスが拒否されました。)グループポリシーの処理は中止されました。」 また、別の2000Proクライアントでも次のようなログが残っていました。(詳細省略) (1)Userenv、エラー、ID=1000 (2)NETLOGON、エラー、ID=5789 (3)NETLOGON、エラー、ID=5788 いずれも、クライアントとDC間の通信がうまく出来ていないという主旨です。 いろいろ調べ、2000Proクライアントのnetdiagコマンドで調べたところ、Kerberos testのところと、LDAP testのところで失敗しています。 Kerberos test .... Failed [FATAL] Kerberos does not have a ticker for (PCNAME)$ LDAP test .... Failed [WARNING] The default SPN registration for 'HOST/(pcname).domain.branch.company.com' is missing on DC '(DC1name).domain.branch.company.com' [WARNING] The default SPN registration for 'HOST/(PCNAME)' is missing on DC '(DC1name).domain.branch.company.com' (同様に2台目DCについての[WARNING]) [FATAL] The default SPNs are not properly registered on any DCs. 現在はキャッシュされた証明書(credential)を使ってログオンしているようです。すべてのクライアントで同じ症状になっています。 多分クライアントが正しいKerberosチケットを持っておらず、そのためログオン認証が行われず、キャッシュされた証明書を使ってかろうじてつながっている状態なのではないかと考えています。 このような場合、正しいログオン認証を受けるためにはどのような対策をとったらよいでしょうか。 不躾な質問で恐縮ですが、皆様のお知恵を拝借したくお願いいたします。 [ メッセージ編集済み 編集者: zak 編集日時 2004-04-20 22:13 ] | ||||
|
投稿日時: 2004-04-21 11:21
この問題に結構密接に関係してるのではないかと思う来歴について情報を追加します。
始めにNTS-DC→2000ADに切り替えたDC(DC1)のアップグレード時にひとつ失敗をしました。DNS参照先として一つ上位階層のDNSドメインのDNSサーバーを指定していたため、アップグレード完了後、「システムのプロパティ」の「ネットワークID」で確認できるコンピュータ名が "(DCName).branch.company.com" となり、ドメインは "domain.branch.company.com" となってしまいました(コンピュータ名とドメイン名の不一致)。2台目(DC2)のアップグレード時にこの問題を解決しようとして次のように作業しました。 (1)DC2をアップグレード (2)アップグレードの最終段階でAD昇格しようとしたが、出来なかった。 (3)DC2をメンバサーバーとしてインストールを完了させた。 (4)上と同時にインストールしたDC2のDNSの前方参照ゾーンの _msdcs, _sites, _tcp, _udp の中を見たところ、DC1に関するサービスロケーションのデータが全て "(DCName).branch.company.com" になっていたので、全てのエントリーで"(DCName).domain.branch.company.com" に手編集で変更。 (5)DC2のADへの昇格を試したところ、成功。 (6)DC1をメンバサーバーに降格。 (7)DC1のコンピュータ名を"(DCName).branch.company.com" から "(DCName).domain.branch.company.com" へ変更。 (8)DC1をADへ昇格。 以上のように(普通でない)アップグレード作業を行いました。この過程でクライアント側のKerberosチケットなどがサーバー側の認証データと不一致になってしまったのではないかと推測しています。 なお、クライアントをドメインからはずし、再度ドメインに追加するという手順(以下)は既に試してみましたが、結果はだめでした。 (1)クライアントをワークグループに所属するよう変更。 (2)DCの「ADユーザとコンピュータ」で、クライアントのコンピュータアカウントを削除 (3)クライアントを再起動。 (4)クライアントをドメインに所属するように変更。メッセージ確認。 (5)クライアントを再起動。 どうも、DC1のアップグレード時の失敗が尾を引いているように思えます。 皆様のお知恵を拝借したく、どうぞよろしくお願いします。 | ||||
|
投稿日時: 2004-04-21 11:47
さらに追加します。
Windows2000クライアントで記録されているイベントログの詳細です。 アプリケーションログ ソース:Userenv 分類:なし 種類:エラー イベントID:1000 ユーザー:NT AUTHORITY\SYSTEM コンピュータ:(ClientName) 説明: ユーザーまたはコンピュータ名を判断できません。戻り値は (5) です。 イベントログ ソース:NETLOGON 分類:なし 種類:エラー イベントID:5789 ユーザー:N/A コンピュータ:(ClientName) 説明: Active Directory のコンピュータ オブジェクトの DNS ホスト名を更新しようとしましたができませんでした。更新された値は '(ClientName).domain.branch.company.com' です。 次のエラーが発生しました: アクセスが拒否されました。 イベントログ ソース:NETLOGON 分類:なし 種類:エラー イベントID:5788 ユーザー:N/A コンピュータ:(ClientName) 説明: Active Directory のコンピュータ オブジェクトのホスト サービス プリンシパル名 (SPN) を更新しようとしましたができませんでした。更新された値は '<UNAVAILABLE>' および '<UNAVAILABLE>' です。 次のエラーが発生しました: アクセスが拒否されました。 あれ? 今この本文を書きながら気が付いたのですが、イベントID= 5788, 5789 の「説明」内容が昨日のものと異なっています。「次のエラーが発生しました: 」の次の部分が、こうなっていました。「相互認証または委任などの要求したサービスの質に欠陥があるため、セキュリティコンテキストを確立できませんでした。」 もしかすると昨日行った、「クライアントを一旦ワークグループ所属とし、その後ドメインに再参加させる」手順の実行で、状況が変わったのかもしれません。 「アクセスが拒否されました。」という理由なら、マイクロソフト サポート技術情報の257734で説明されている解決法が適用できるかもしれません。 もう少し試してみます。 | ||||
|
投稿日時: 2004-04-21 18:32
とても気がかりです。 DNS情報を手作業で書き換えたようですが、ADデータベース内の情報が書き換わっていないのでは? 「Active Directory ドメインと信頼関係」のドメイン名はどのように表示されていますか? | ||||
|
投稿日時: 2004-04-21 18:39
お騒がせしました。うまく行きました。
マイクロソフト技術情報262958に従って、Domain ControllersコンテナのGPOからたどって、「ネットワークを経由してコンピュータへアクセス」権のリストに、Authenticated User と Everyone を追加したら、あっさりうまく行きました。 「ネットワークを経由してコンピュータへアクセス」権のリストには数字と英文字からなるエントリが2つありましたので、Authenticated User と Everyone のエントリがアップグレード時のゴタゴタで切られてしまったのではないか?と思っています。 結構勉強になりました。 また何かありましたらよろしくお願いします。 [ メッセージ編集済み 編集者: zak 編集日時 2004-04-21 21:55 ] | ||||
|
投稿日時: 2004-04-21 21:50
ななさん、ご心配頂き恐縮です。返信が行き違いになったようですみません。
DNSサーバーの説明が不足でした。現在はAD統合モードで動作させていますが、アップグレード作業中には標準プライマリモードで動作させていました。 DC2のDNSを標準プライマリで動作させた状態でDC2のAD昇格にトライしました。DC2が既存のDCのサービスにアクセスして、DC情報を得る段階で、"(DC1Name).domain.branch.company.com"の名前解決をしようとしたけれども、DC2のDNSのサービスロケーションのエントリはすべて"(DC1Name).branch.company.com"になっているので名前解決できず、既存DCの情報取得に失敗してDC2のAD昇格が失敗したのだろうと踏みました。それでDC2のDNSのサービスロケーションのエントリを修正したのです。 「Active Directory ドメインと信頼関係」のドメイン名はひとつで、"(DC1Name).domain.branch.company.com" になっています。 イレギュラーなアップグレードを行ったので、今後も何か問題が起きるかもしれませんが、じっくり考えれば何とかなるかな、と思ってます。 また、何かありましたらよろしくお願いします。 [ メッセージ編集済み 編集者: zak 編集日時 2004-04-21 21:56 ] | ||||
|
投稿日時: 2004-04-22 08:06
いえいえ、解決してなによりです。 
| ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。