- - PR -
Windows95、98SEクライアントをWindows Server 2003ドメイン..
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-01-17 16:37
桜井です。
Windows95、98SEクライアントで 新規作成したユーザでWindows Server 2003ドメインにログオンすると以下のようなエラーメッセージが表示されログイン出来ません。 ----------------------------------------------------------------------- 入力されたドメイン パスワードが正しくないか、またはログオン サーバーへの アクセスが拒否されました。 ----------------------------------------------------------------------- ※しかし、ログインユーザーをAdministratorにするとログイン出来てしまいました。 以下URLを参考に、設定を変更しましたが改善されませんでした。。 http://support.microsoft.com/default.aspx?scid=kb;ja;811497 Windows95、98SEクライアントをWindows Server 2003ドメインに参加させる為には、 上記URLの他にどの設定を変更したらいいのか、宜しければどなたかご教授御願い致します。 [ メッセージ編集済み 編集者: 桜井 編集日時 2005-01-17 16:41 ] | ||||||||
|
投稿日時: 2005-01-17 18:00
こんばんわ.
手元で実績はあるので出来ないはずはないのですが, password は当然間違ってませんよね? Domain の user account で logon していますよね? その user account は以前に Windows9x で local に使っていたりしていましたか?
具体的に,最新の DC client を導入したり, Windows Server 側で SMB packet signature を 無効にしたりしたと理解してよろしいですか? | ||||||||
|
投稿日時: 2005-01-17 18:39
こんばんわ。桜井です。
kaz様 返答有難うございます。 >password は当然間違ってませんよね? ->何回もやり直したので、大丈夫です。 >Domain の user account で logon していますよね? ->しております。 >その user account は以前に Windows9x で local に使っていたりしていましたか? ->2003ドメイン(AD)に新規で作成したユーザ等でlocalでは使っていません。 >具体的に,最新の DC client を導入したり, >Windows Server 側で SMB packet signature を >無効にしたりしたと理解してよろしいですか? ->はい。 その後検証して見ましたが、 クライアントが参加できない2003ドメインは「ドメインコントローラーセキュリティポリシー」を 変更しています。 ※全てデフォルト設定にて構築した2003ドメインにはクライアントは参加出来ました。 「ドメインコントローラーセキュリティポリシー」が怪しいのでしょうか。。。 ご教授御願い致します。 | ||||||||
|
投稿日時: 2005-01-17 19:53
>「ドメインコントローラーセキュリティポリシー」が怪しいのでしょうか。。。
ネットワークセキュリティ:LanManager認証レベル を一つづつメニュー上の項目に上げる 現在はNTLM応答のみ でしょ?(この設定は98SEはOKと思いましたが) ちなみに変更したら5分待つか、当該DCでgpupdate&他のDCで強制同期(ADサイトとサービス)する必要があります。 | ||||||||
|
投稿日時: 2005-01-18 09:51
おはようございます。桜井です。
zousan様 返答ありがとうございます。 >現在はNTLM応答のみ でしょ? ->はい。そうなっておりました。 >ネットワークセキュリティ:LanManager認証レベル を一つづつメニュー上の項目に上げる ->zousan様のアドバイスにしたがって設定変更してみました。 また以下のURLを見つける事が出来ました。 http://www.ipa.go.jp/security/fy10/contents/crack/research/windows2k/2-20.htm 結果としては、95,98SE共に改善されませんでした。。 他の設定がおかしい(セキュリティポリシーを強化しすぎ)のでしょうか。 ご教授御願い致します。 | ||||||||
|
投稿日時: 2005-01-18 12:33
以下は95クライアント混在で実績あるドメインコントローラセキュリティーポリシーです。甘すぎる設定のはずですので、参考まで。一つづつ試していくのが良いかもです。ちなみにセキュリティ緩和とあるのが、追加のポリシーです。規定のポリシーを直接編集したくなかったものですから。
Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う 無効 セキュリティ緩和 Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う 無効 セキュリティ緩和 ドメイン コントローラ: LDAP サーバー署名必須 なし Default Domain Controllers Policy ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する 有効 Default Domain Controllers Policy ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する 無効 セキュリティ緩和 ネットワーク セキュリティ: LAN Manager 認証レベル LM と NTLM 応答を送信する セキュリティ緩和 ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる 無効 Default Domain Policy [ メッセージ編集済み 編集者: zousan 編集日時 2005-01-18 12:37 ] | ||||||||
|
投稿日時: 2005-01-18 20:00
こんばんわ。桜井です。
zousan様返答有難う御座います。 zousan様の設定をしてみましたが、やはり改善されませんでした。これはおかしい(改善されないはずがない)と思い以下の設定及び検証を実施してみました。 -------------------------------------------------------------------------- Aドメインサーバー:95,98SEログイン可能(全てデフォルト) Bドメインサーバー:95,98SEログイン不可可能(構築後設定) 上記ふたつのサーバーのドメインコントローラーセキュリティポリシーを、 比較しながらAドメインサーバーのポリシーを変更していく。 その結果、セキュリティオプションと監査ポリシーをBと同じにしてもログイン出来る所まで検証出来ました。 残る個所は「ユーザ権利の割り当て」ですが、Bドメインは「全ての項目が未定義」でした。 -------------------------------------------------------------------------- そこでご質問なのですが、ユーザ権利の割り当ての何処を変更すれば良いのかご教授 御願い出来ますでしょうか。。それとも地道に一つずつ設定していくしかないのでしょうか。 度々ですが、宜しく御願い致します。 | ||||||||
|
投稿日時: 2005-01-21 10:38
>残る個所は「ユーザ権利の割り当て」ですが、Bドメインは「全ての項目が未定義」でした。
ここの内容はドメイン名¥アカウント名とかですから、他ドメインのをそのまま流用は無理でしょう。やはり地道に手入力でしょうかね。 | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。