- - PR -
マルチホストなクライアントからだとログインできない
1
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-01-20 21:16
最近になってWindowsServer2003SEのPCサーバを個人購入しました。
我が家では以前からすべてのパソコンをマルチホストにして、192.168.1.を外部(ディフォルトルートで外へ)、192.168.2.を内部(ディフォルトルート無し)というように、ネットワークを分けています。これは、フィルタリングをしてくれるブロードバンドルータが古く、あまり当てに出来ないと言うことと、設定が面倒だから、といった理由からです。 この環境で、2003SEのActiveDirectoryを内部用のネットワークで使っていますが、マルチホストになっているクライアントからはログオンすることが出来ない、という現象がすべてのマルチホストになっているクライアントで発生しています。 お待ちください...の「コンピュータの設定を適用しています...」というステータスから進まなくなるのです。そして、外部用のUDPケーブルを抜き去ればとたんにログオンできます。 ちなみに、IPアドレスの構成は同じながら、ワークグループ構成していた頃はこのような問題は発生しませんでした。 なぜ、ここで引っかかってしまうのでしょうか? アダプタのアクセス順とバインドのアクセス順などの構成は次のようになっています。 1.Inner:Microsoftネットワーク用クライアントに、NetBEUIとTCP/IPをON 2.Outer:Microsoftネットワーク用クライアントに、NetBEUIとTCP/IPをOFF プロバイダの順序は、 Microsoft Windows Network Web Client Network Microsoft Terminal Servises としております。 ちなみに、内部用はIEEE802.3abで、外部用はIEEE802.3uとなっており、また、ログオンが完了すれば、外部用のUTPケーブルをさして、従来のように内部と外部の二つのネットワークを利用することが出来ます。 この現象はどのようにすれば解消できるでしょうか? ご存じの方がありましたら是非ご教示ください。よろしくお願いします。 | ||||||||||||
|
投稿日時: 2005-01-20 22:17
こんばんわ.
Workgroup では Server 同士で認証するなどの処理がないからだと思います. 良くわからないのですが,「全ての PC」でそのように? なぜそのような構成にされているのか今ひとつ理解しがたいのですが, Domain Controller もそのように構成されているのですか? その場合,外部向けの network interface の DNS 動的更新を無効にして, Domain Controller の DNS Server で 外部向けの network interface の ip address を削除します. これでもしかしたら解消しないでしょうか?
これも良くわからないのですが,どこの設定のことでしょう? | ||||||||||||
|
投稿日時: 2005-01-21 05:59
回答ありがとうございます。
まず、内部用と外部用を分けるようにしているのは、セキュリティの都合上、この方が利便性が高いからです。また、2003はマルチホームドホストにはなっていません。 ちなみにIPアドレスはすべてstaticです。 # UTPケーブルを抜くと、というのはクライアントの話です。
マイネットワークを右クリックでプロパティ、あがったウィンドウのメニューの詳細設定→詳細設定 です。 以上、よろしくお願いします。 | ||||||||||||
|
投稿日時: 2005-01-21 07:37
おはようございます.
よく言われることですが,利便性と security は両立しません. 全ての client が外界と接するのはむしろ security の点でよろしくないのでは? 普通に考えて「外界と接する部分は局所化する」ことで security 対策の箇所を絞込むほうが強度が高いのでは? それゆえの firewall だと思います.
ゴメンナサイ,結局良くわかりません. 各 client の DNS の設定は,内部/外部で別のものを指定されているのでしょうか? 前述にも通じますが,DNS の通信の流れが不可解かと. 環境から推察するに,default gateway は外界に向いていると思います. とすると,「外界向けの interface が死ぬと内部との通信が正常になる」のは, Domain Controller との通信時に「外界に見に行ってしまってる」のではないかと. | ||||||||||||
|
投稿日時: 2005-01-22 00:24
こんばんは。
そうですね。それで正しいと思います。しかし、一般論であると思います。往々にして、というだけで、いかなる場合にも通じる言葉じゃないとも思います。 外界との接点であるブロードバンドルータでは可能な限りのフィルタリングをしています。また、外部用のNICはInternet利用時だけONにするようにしており、基本的にはOFFなんです。 たとえば、ウィルスの定義ファイルなどをDLするときだけON、という具合です。 なぜこうしているかというと、ほとんどのパソコンがサーバとして機能しているからです。 こうしてマルチホームドホスト化しておけば、セキュリティ対策として固める箇所を絞り込むと同時に、もう一方で利便性を追求する、ということが可能です。 たとえばWindowsだと、外部向けNICではファイルと共有サービスは利用しないTCP/IPのみ利用、内部向けはNetBEUIでファイルの共有サービスを利用、というように設定することが可能なのですが、ファイルの共有サービスをNetBEUIだけで使えば、外部からのファイルアクセスは不可能になります。 また、たいていのサーバは、サービスを解放するNICを限定できます。ネットワークアドレスは内部用と外部用で異なるため、たとえば、外部からイントラネット用のApacheにアクセスすることはポートフォワードしない限り無理です(むろんさせてない)。しかも基本的には外部向けNICは無効とされているため、物理的に、と言っていいぐらい、外部からはアクセスが出来ません(なにせハブも別ですから)。 また、モニタリングするにしても、外とのコネクションだけを対象にすることが容易です。 5台のパソコンを利用する私の場合、セキュアなリモートコンソールだけでなく、VNCのようなものも利用してしまいます。この利便性を損なわずにセキュアな状態を保とうとすれば、守るべき入り口、を限定し、なおかつ、守らずにすむ入り口を併用するのがもっとも効率がよいのです。 パソコンとは言え、DBサーバ、ASサーバ間をSOAP通信させており、むろんCVSやWebサーバ、VNCなどが、ものによっては複数稼働しています。しかも今回ActiveDirectoryを追加していますから、ほぼ、会社での開発環境と同等です。この状態で通常と同じ運用を、というのは無理です。 私はシステム管理者じゃないので、運用管理についてはおおざっぱにしかしません。とはいえ、不便だなと思いながらもXPにはSP2を当てています。Web系の開発者なので、ネットワークについてはある程度は知っていますから、気になったらモニタリングしたりします。が、出口は所詮市販向けのブロードバンドルータですので信頼性はたかがしれています。そこで、外部との接続を完全に絶ちながらも、スタンドアローンにしない方法を考えたあげく、出した答えがパソコンのマルチホームドホスト化なんです。 って、実はこれ、よくやる手だったりします。Win系の管理者はあまりしないのかもしれませんが、たとえばUNIX系では、セッティング用のNICと公開用のNICとを分けるんです。むろん、都合がいいからです。 以上のように、マルチホームドホストであれば、利便性と安全性は両立できちゃう、というのが私の見解です。
DNS! それです。気づきませんでした。私、内部用のに設定してませんでした。 私は、 Inner:DNS なければ、 InnerのネットワークでActiveDirecotoryを探す なければ、 Outer:DNSを、、、 という順番かと思っていましたが、 Inner:DNS なければ、 Outer:DNS からActiveDirecotoryを、、、見つけられなくても諦めない。 となっているんですね。つまり、名前解決が出来たところでActiveDirectoryを探す、ということなんでしょう。 内部用NICにDNSを設定(むろん2003のIP)すると、ログインできました。 ありがとうございました。 | ||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。