- - PR -
ドメインにログオンできないときがある
1
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-11-02 11:32
お世話になっております。
環境: Windows2000Server2台がドメインコントローラ(DC1、DC2)のActiveDirectory (ネイティブモード) ドメインは1つ 以前にFSMOのドメインコントローラを再セットアップの実績あり (以前はDC1だったのですが、現在はDC2がFSMO) クライアントパソコンはWindows2000Pro 現象: Windows2000Proのパソコンからドメインにログオンすると、 「このドメインにログオンできません。 プライマリ ドメインのシステムに コンピュータアカウントがないか、アカウントのパスワードに誤りがあります。」 というメッセージが表示されてログオンできない。 その状態で何度かパソコンを再起動をすればログオンできる。 ログオン後、イベントビューアを確認するとエラー イベントID:3210が 出力されている。 確認: ・ローカルのadministratorでログオンすればローカルログオンできる。 ・その状態でドメインから抜けて再度ドメインに参加すればドメインにログオンできる。 ・ドメインコントローラで別なユーザを作成して、該当するパソコンでそのユーザでログオンしても ログオンできない。何度か再起動すればログオンできる。 ・set logonserverコマンドで set logonserver=\\\\\\\\DC1 とset logonserver=\\\\\\\\DC2 を試してみたが 同じくログオンできない。 ・別なWindows2000Proのパソコンで別のユーザでは1回でログオンできる。 ・別なWindows2000Proのパソコンでログオンできないユーザでログオンするとログオンできる。 以上のような内容なのですが、Webで色々調べてみたのですが (キーワード:イベントID 3210 、 ログオンできない プライマリ ドメイン)、 それらしい結果が出てきませんでした。 1回でログオンできるようにするにはどうしたらよいでしょうか? また、原因はどのようなことが考えられるのでしょうか。 よろしくお願いします。 | ||||||||||||
|
投稿日時: 2005-11-02 12:01
まず、ユーザアカウントの問題ではなく、コンピュータアカウントの問題だと
言うことを理解してください。ユーザを変えて云々の作業は無意味です。 コンピュータもアカウント情報を持ち、パスワードを持ちます。 ドメインにコンピュータアカウントが登録される=ドメインに参加 です。 パスワードはユーザが実際に入力したりする必要はなく、 ドメイン参加後は各ドメインメンバとドメインコントローラ間で 勝手に認証・変更処理が実行されます。 ドメインユーザがコンピュータに対話的にログオンするためには、 そのコンピュータがドメインに参加しており、 かつそのコンピュータがドメインに対する認証に成功している必要があります。 というのが前提知識。 それが分かってないと、
のエラーメッセージを理解できません。 細かいことはまた書きますが、とりあえずDC1とDC2の間で、 AD複製処理関連のエラーや警告は残ってませんか? 何度か実行すればログオン可能ってことは、 片方のDCに誤った情報が残っていて、そちらを参照している限り コンピュータアカウント認証に失敗、なんてシナリオが思いつくんですが。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||||||
|
投稿日時: 2005-11-02 15:21
Mattun さん、こんにちは。いつもお世話になっております。
イベントログのファイル複製サービスに ---------------------------------------- イベントの種類:警告 イベント ソース:NtFrs イベント カテゴリ:なし イベント ID:13562 説明: FRS 複製物セット構成情報の取得のためにドメイン コントローラ DC2 をポーリングしているときに ファイル複製サービスで発生した警告とエラーの要約です。 このコンピュータのコンピュータ オブジェクトが見つかりませんでした。次のポーリング サイクルで再実行します。 ---------------------------------------- ---------------------------------------- イベントの種類:情報 イベント ソース:NtFrs イベント カテゴリ:なし イベント ID:13516 説明: ファイル複製サービスが、これ以上、コンピュータ DC2 がドメイン コントローラ になるのを妨げなくなりました。 システム ボリュームは正しく初期化されて、 システム ボリュームが SYSVOL として共有される準備が 完了したという 通知を Netlogon サービスが受けました。 SYSVOL の共有を確認するには、コマンド プロンプトで "net share" を実行してください。 ---------------------------------------- というログがずっと出ていました。 またDirectoryServiceイベントでは ---------------------------------------- イベントの種類:情報 イベント ソース:NTDS KCC イベント カテゴリ:知識整合性チェッカー イベント ID:1308 説明: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=****,DC=****,DC=****,DC=jp との複製を連続して実行しようとしましたが、332653 分間に 57648 回失敗していることを ディレクトリ サービスの整合性チェッカーが検出しました。 このサーバーの接続オブジェクト はそのまま残し、新しい一時接続を確立して複製を続行します。 ディレクトリ サービスは CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=****,DC=****,DC=****,DC=jp との複製を再試行します。複製に成功すると、 一時接続は削除されます。 ---------------------------------------- サーバを起動した際に出ています。 イベント ID:13562で検索したところ、 support.microsoft.com/kb/312862/JA/ を参照したのですが、どこを確認すればよいかよく分かりませんでした。 ここは関係ないのでしょうか? | ||||||||||||
|
投稿日時: 2005-11-02 16:13
(以下略) DC1再インストールのときからそんな状態だったんじゃないですか? 少なくともDC2台構成としては、まともなドメイン環境じゃありません。
で言ってる正常に動作しているドメインメンバにおいては、 logonserver環境変数はDC1/DC2のどちらのものになってますか? そのDCではない、もう片方のDCをオフラインにして、 問題が起きているドメインメンバをドメインから外す→ドメイン参加 を行って、問題は継続しますか? これで改善するのであれば、オフラインにしたドメインコントローラを 正しい手順でちゃんと確認しながら再構築してください。 # 多分それがDC1だとは思いますが。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||||||
|
投稿日時: 2005-11-07 08:10
Mattun さん、こんにちは。
レス遅れて申し訳ありません。
確かにログを見る再インストールの時から出ていますので、きちんと再インストール の手順を踏んで行えなかったのかもしれません。
DC2になっていて、ずっと稼動していたサーバになっています。
休みの時にしかオフラインにできないので、今度の休みか、夜遅くに確認 してみます。 いずれにしても、再インストールの手順がおかしかったようなので、 もう一度手順を調べて再インストールしてみます。 | ||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。