- PR -

kerberos認証を受けたユーザについて

投稿者	投稿内容
moto 会議室デビュー日: 2004/10/27 投稿数: 7	投稿日時: 2004-10-27 16:17 初歩的な質問でしたら申し訳ありません。現在、Windows2003のドメインコントローラをサイトごとに1つ構築しています。サイトA：最初のDCがある。クライアントは無しサイトB：2台目の追加DC、XP Proのクライアントが数台 ※ NETBIOS over TCP/IP有効 DNSは1台目にのみ実装し、統合ゾーンを使用しています。クライアント端末は優先DNSサーバをサイトAのDCを選択し、サイトを越えて１台目のDCに認証を受けに行きます。この環境であれば、１台目に障害があればDNSは参照できないので、クライアントはブロードキャストでNTLM認証を同一サイトのDCに受けに行くと思います。新規ユーザであれば、ポリシーも何も適用されず、とりあえずDCにログオンした、という形になると思います。そして、１度Kerberos認証を受けたユーザは、次回ログオン時DNSが落ちている状態でもDNSキャッシュを利用し、同一サイトDCにログオンできると聞きました。ただ、DNSキャッシュが無い状態（再起動後など）でログオンを試行すると、１度kerberos認証を受けたユーザはNTLM認証は行えず、同一サイトDCにもログオンできないと聞きました。 2000DC＋2000Proの環境では確認できたのですが、2003DC＋XP Proの環境では、ログオン出来てしまいます。以前のキャッシュを使用してローカルにログオンしている訳でもなく、サーバ側のイベントでもログオンはされていました。上記の環境であれば、1度Kerberos認証を受けたユーザはNTLM認証でログオン出来ないのが普通なのでしょうか？どなたか、アドバイス頂けないでしょうか？

投稿者

投稿内容

moto: 会議室デビュー日: 2004/10/27; 投稿数: 7

投稿日時: 2004-10-27 16:17

初歩的な質問でしたら申し訳ありません。

現在、Windows2003のドメインコントローラをサイトごとに1つ構築しています。

サイトA：最初のDCがある。クライアントは無し
サイトB：2台目の追加DC、XP Proのクライアントが数台

※ NETBIOS over TCP/IP有効

DNSは1台目にのみ実装し、統合ゾーンを使用しています。
クライアント端末は優先DNSサーバをサイトAのDCを選択し、サイトを越えて１台目のDCに認証を受けに行きます。

この環境であれば、１台目に障害があればDNSは参照できないので、クライアントはブロードキャストでNTLM認証を同一サイトのDCに受けに行くと思います。
新規ユーザであれば、ポリシーも何も適用されず、とりあえずDCにログオンした、という形になると思います。

そして、１度Kerberos認証を受けたユーザは、次回ログオン時DNSが落ちている状態でもDNSキャッシュを利用し、同一サイトDCにログオンできると聞きました。
ただ、DNSキャッシュが無い状態（再起動後など）でログオンを試行すると、１度kerberos認証を受けたユーザはNTLM認証は行えず、同一サイトDCにもログオンできないと聞きました。
2000DC＋2000Proの環境では確認できたのですが、2003DC＋XP Proの環境では、ログオン出来てしまいます。以前のキャッシュを使用してローカルにログオンしている訳でもなく、サーバ側のイベントでもログオンはされていました。

上記の環境であれば、1度Kerberos認証を受けたユーザはNTLM認証でログオン出来ないのが普通なのでしょうか？
どなたか、アドバイス頂けないでしょうか？

＠IT SpecialPR

kerberos認証を受けたユーザについて

スキルアップ／キャリアアップ（JOB@IT）