- - PR -
2003からドメイン参加ができない
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-09-06 14:56
お世話になっております。
Windows Server 2003をクライアントとして、ドメイン参加させたいのですが 参加中にエラーが出てしまいます。 現状は、Windows Server 2003でたてたドメインコントローラが2台ます。 エラー内容は、 「ドメイン"ドメイン名"に参加中にエラーが発生しました」 このワークステーションからログオンできません。 というエラー内容です。 IPの設定等は間違っておらず、名前解決もできています。 ドメインコントローラのDNSはActive Directory統合としています(2台とも) 何か分かりましたら、よろしくお願いいたします。 | ||||
|
投稿日時: 2004-09-06 16:28
こんにちは。
あくまで確認ですが、Active Directoryに「ユーザー追加」と 「コンピューター名の追加」は、設定されているんですよね? | ||||
|
投稿日時: 2004-09-06 16:32
ヨッシーさん返答ありがとうございます。
>あくまで確認ですが、Active Directoryに「ユーザー追加」と >「コンピューター名の追加」は、設定されているんですよね? はい、あらかじめActive Directoryにてユーザ、コンピュータを追加してあり、 その追加情報にてドメイン参加させようとしました。 よろしくお願いいたします。 | ||||
|
投稿日時: 2004-09-06 16:47
あとActive Directory(2台あるうちのどちらか)のServer上の
イベントビューアの中に疑わしいエラーや警告のログって出ていませんか? それをコピペしていただけるとありがたいのですが…。 | ||||
|
投稿日時: 2004-09-06 17:38
SEVENです。
事前にコンピュータアカウントを作成していて、その同一のコンピュータ名を持つコンピュータをドメインに参加させようとして出来ない。ということですよね? 2000のActiveDirectoryではコンピュータアカウントを作成する際に、 「次のユーザまたはグループを使うと、このコンピュータをドメインに参加させることができます」という項目があり、規定では「Domain Admins」になっています。 かなり前で記憶が曖昧なんですが、ここの設定と参加時に入力したユーザの権限が異なってると駄目だったような気が・・・。 一度確認してみてはいかがでしょう? | ||||
|
投稿日時: 2004-09-06 18:39
ヨッシーさん、SEVENさん返答ありがとうございます。
>あとActive Directory(2台あるうちのどちらか)のServer上の >イベントビューアの中に疑わしいエラーや警告のログって出ていませんか? >それをコピペしていただけるとありがたいのですが…。 ログを確認しましたが、ログオンした時間に、警告orエラーログは残っていませんでした。 またクライアントの方もログは残っていなかったです。 >2000のActiveDirectoryではコンピュータアカウントを作成する際に、 >「次のユーザまたはグループを使うと、このコンピュ>ータをドメインに参加させることができます」という項目があり、規定では「Domain >Admins」になっています。 コンピュータ追加時に、Domain Usersに変更して追加しました。 追加するユーザはDomain Usersに所属しています。 (他のクライアントは(OSは2000ですが)そのようにしてコンピュータの追加をしてきました) また、ユーザは他のものをコピーして追加したため、新規に追加してテストすると、次のような現象になりました。 コンピュータをワークグループ→ドメインへ変更。ユーザ・パスワードを問われるので そこで設定した内容を入力。 その後、「コンピュータはドメイン"ドメイン名"に参加できませんでした。ドメイン管理者に連絡して、Active Directoryコンピュータ アカウントのdnsHostName及びservicePrincipalName(SPN)属性が更新できなかったことを示してください。問題が解決されれば、コンピュータを"ドメイン名"に参加させることができます。」というメッセージが出て、Active Directoryのコンピュータ名が無効になっていました。 DNSにはクライアントの情報が登録されています。 前の情報が変に残ってしまっているのでしょうか・・・ 何か分かりましたらよろしくお願いいたします。 | ||||
|
投稿日時: 2004-09-07 00:46
こんばんは。
気になる事がひとつ。 「ユーザは他のものをコピーして追加した」とありますが、もっと具体的に何をどうしたか教えてください。(もちろんアカウント名は伏せていただいて結構です) 次に、これはご理解されているかと思いますが、ドメインにユーザー・コンピュータを参加させるには、「Domain Admins」グループに所属しているドメインのアカウントが必要です。 最悪今回参加させたいユーザーアカウントとコンピュータアカウントを一度完全に削除し、再度作成しなおしてから、ドメインに参加させることをお勧めします。 なお、参考までに下記のサイトにて今回エラーになったキーワードなどを検索することをお勧めします。 Microsoft TechNet | ||||
|
投稿日時: 2004-09-07 09:35
こんにちは
>ドメインにユーザー・コンピュータを参加させるには、「Domain Admins」グループに所属しているドメインのアカウントが必要です。 この件ですが、コンピュータアカウントに関してはDomain Adminsである必要は無いのでは? ドメインコントローラセキュリティポリシーの「ドメインをワークステーションに追加」に設定されているユーザ(デフォルトではAuthenticated Usersかな?)です。 事前にコンピュータアカウントを作成せずにクライアントをドメインに参加させるのであれば、既にAuthenticated Userで参加させることが出来ます。→Computersにアカウントが作成されます。但し、このユーザでは参加させることが出来る台数に上限があります。(10台?) このアカウントを変更する(名前を変えたり)ことが出来るのが、デフォルトの設定ではDomain Admins(とその他の強い権限を持つユーザグループ)となっています。 一方、事前にコンピュータアカウントを作成している場合は先ほど記述しましたがDomain Adminsとなっているようで、このコンピュータアカウントと実際のクライアントをリンク付けするにはここで設定したユーザとなるようです。 実際先ほど試してみたのですが、ドメインに追加できるユーザをDomain AdminsからDomain Usersに変更してコンピュータアカウントを作成し、同名のクライアントをDomain Usersのアカウントで追加させてみるとあっさり追加できました。 そのコンピュータアカウントのセキュリティを見てみると分かるのですが、該当のユーザ・グループに以下の権限が与えられているはずです。(表示されたエラーは下記権限が無いということをさしているのでは?) ・DNSホスト名への検証された書き込み ・サービスプリンシパル名への検証された書き込み ということで前述のポリシーを確認。また、コンピュータアカウントも再作成してみるのもよろしいかと。 あと、確認なのですが、ドメイン参加時に入力しているユーザは既にドメインログオンにも利用できていて(つまり有効なアカウントで)、他のクライアント追加時にも既に追加実績があるのでしょうか? | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。