- - PR -
Active Directory 混在環境について
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-01-31 11:30
Windows Server 2003の混在環境では Windows 98 First Edition(Version:4.10.1998)
はドメインに参加出来ないのでしょうか? 何か情報をお持ちの方がいらっしゃいましたらご教授願いたく。 問題の Windows 98 First Edition にドメイン設定と、 共有のアクセス権をユーザ管理で行う設定を行いました。 再起動後、ドメインアカウントでログインし、共有フォルダに ドメインユーザのアクセス権を設定しました。 上記で設定したドメインユーザでログインした他の Windows から、 Windows 98 First Edition の共有フォルダへのアクセスを試みた所、 共有フォルダへのアクセスが拒否されてしまいました。 (ドメインコントローラ(Windows Server 2003)からもアクセス不可) Windows 95, Windows 98 Second Edition, Widnows Me, に対しては、 共有フォルダにアクセスできる状態となっていますが、文頭に記載している Windows 98 First Edition のみがアクセスできません。 ※ PDC は1つ(Windows Server 2003 混在環境モード)で、 全 PC は同一セグメントに配置しています。 Windows Server 2003 のセキュリティポリシーの設定は、 Microsoft 社から提供されている「Windows Server 2003 Security Guide」の レガシークライアントを含む場合の設定にしています。 ※ [ メッセージ編集済み 編集者: Tylor 編集日時 2006-01-31 11:33 ] | ||||||||||||
|
投稿日時: 2006-01-31 12:20
こんにちわ.
これまでここでも何度か話題になっていますが, 混在であれ native であれ, regacy な Windows は Active Directory に参加できません. 一部の機能を利用できるだけです. これも何度か話題になっていますが, 一部の機能を使う場合でも,Extention が「必要だ」と Microsoft は情報を公開しています. 以上. | ||||||||||||
|
投稿日時: 2006-01-31 13:25
こんにちは。情報提供ありがとうございます。 Active Directory に関して、まだまだ入門者でして 初歩的な質問で申し訳ありません。 混在環境モードの場合、legacy Windows は NT ドメインと 認識するとの情報が Microsoft のサイトに記載されていたと 見たことがあります。 実際、Windows 98 First Edition 以外の legacy Windows は、 ドメインユーザでの共有アクセス権コントロールが出来ています。 この違いについて何かご存知ではないでしょうか? 一部機能が利用可能というのは、どの機能が使用可能という 情報はMicrosoft から情報公開されているのでしょうか? >一部の機能を使う場合でも,Extention が「必要だ」と >Microsoft は情報を公開しています. 情報を公開している URL 又は、公式文書の有り所を教えて頂けると 非常に助かります。 *質問ばかりで申し訳ありません。よろしくお願いします。 | ||||||||||||
|
投稿日時: 2006-01-31 14:36
「混在モードの場合」を除けば、合ってます。 レガシなWindowsは、ActiveDirectoryドメインをNTドメインのように 認識します、が正解です。 モード云々は、NTなDCが存在し得るか否かにしか関係がありません。
設定が違う部分があるから、セグメントが違うから、変なソフトが入ってるから あたりを徹底的に確認してください。 Windows98 1stEdition固有の問題なんて無いはずですから、 何か設定や環境に不備があるんでしょう。
http://www.microsoft.com/japan/windows2000/server/evaluation/news/bulletins/adextension.asp あってもなくても、NTドメインと同等の機能は利用できます。 ちなみに、ドメインに参加(クライアントとドメインが信頼関係を結ぶ)と、 ドメインの認証機能を利用することは別物です。 Windows9xでは前者はできませんので、今回の問題を「参加」と呼ぶのは誤解のもとです。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||||||
|
投稿日時: 2006-01-31 17:26
こんにちは。
返信ありがとうございます。 >「混在モードの場合」を除けば、合ってます。 >レガシなWindowsは、ActiveDirectoryドメインをNTドメインのように >認識します、が正解です。 >モード云々は、NTなDCが存在し得るか否かにしか関係がありません。 なるほど。NT が DC として稼動可能か否かによる訳ですね。 モードはどうあれ、Active Directory を NT ドメインと認識し、 一部の機能を利用可能になるということですね。 >設定が違う部分があるから、セグメントが違うから、変なソフトが入ってるから >あたりを徹底的に確認してください。 >Windows98 1stEdition固有の問題なんて無いはずですから、 >何か設定や環境に不備があるんでしょう。 Windows 9x 系はデフォルトインストール状態で、設定も同じように 行っていますので、Windows 98 First Edition に問題があるのかと 思っていました。 更にもう少し調べてみます。ありがとうございます。 >あってもなくても、NTドメインと同等の機能は利用できます。 Windows Server 2003 の場合、デフォルトインストール状態で セキュリティオプションの設定が未定義であったとしてても 「SMB署名を常に使用する」など、ドメインの機能を利用するに 当たり、Legacy Windows が DC にアクセスできなくなる事が あり、初回投稿した内容に記載したようにWindows Server 2003 の セキュリティポリシーの設定を変更する事で初めて、 利用可能となると考えていいのでしょうか? >ちなみに、ドメインに参加(クライアントとドメインが信頼関係を結ぶ)と、 >ドメインの認証機能を利用することは別物です。 >Windows9xでは前者はできませんので、今回の問題を「参加」と呼ぶのは >誤解のもとです。 ドメインの認証機能を利用する事は、ドメインの設定とはまた別の 設定項目としてあり、Windows 9x でドメインの設定していなくても 利用可能ですね。確かに、今回の問題を「参加」として扱うのは 誤解の元ですね。理解することができました。ありがとうございます。 Windows 9x はドメインに参加ができないということですが、 Windows Server 2000/2003 の Active Directory 環境で、 Windows 9x にドメインの設定を行った時、ドメイン参加権限のある ユーザ、パスワードの入力を促されます。 これは、ドメインに参加していることではないのでしょうか? Mattun 様が文頭に述べられたように、Windows 9x 系は Active Directory を NT ドメインと認識するはずですので、NT ドメイン相当のグループポリシーなど 一部機能は利用可能なはずではないのでしょうか? それとも、そもそも、ドメイン参加するという事と Active Directory を NT ドメインと認識し、NT ドメイン相当の一部機能を利用する事は別の 問題と考えないといけないのでしょうか? | ||||||||||||
|
投稿日時: 2006-01-31 18:16
SMB署名に関しては、AD Extension未導入のWindows95端末が無い場合は不要です。 Windows98以降、WindowsNT4.0以降な環境なら、AD側での準備は不要です。 SMB署名やNTLMv2に関しては、レガシなWindowsとひとくくりにまとめて語れません。
「ドメインに参加」は「(コンピュータが)ドメインに参加」です。 ユーザじゃないです。 ×: Windows9xコンピュータはドメインに参加する ○: Windows9xでドメインユーザで認証する
WindowsNTがADをNTドメインと認識して参加できる Windows9x(コンピュータ)はADにもNTドメインにも参加できない Windowsコンピュータからドメインユーザで認証に失敗してる(のが今回の質問) という話なんです。 参加云々はコンピュータの話なのに、ユーザ認証のトラブルの件で参加、 といってるのをおかしいと突っ込んでるだけなので、 それについては別で考えてください。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||||||
|
投稿日時: 2006-02-01 16:50
皆さんご教授ありがとうございます。
少し理解が進んだ気がします。 上記、問題に取り組んでいるなかでもう一点問題がでてきました。 Windows Server 2003の混在環境で、BDC として Windows NT 4.0 を 使用しているのですが、Windows Server 2003 のセキュリティポリシーを 前述した「Windows Server 2003 Security Guide」の設定にしてから Windows NT 4.0 を起動時に NETLOGON のサービスが起動しない現象が 発生しています。 現象の原因は Windows NT 4.0 が Windows Server 2003 の NETLOGON へ アクセスする際に、Anonymous で認証を行い、NETLOGON にアクセスして 拒否されているためのようです。 (Windows NT 4.0 には Administrator 権限ユーザでログインしています) NETLOGON のサービスがどの様な機能を提供しているのでしょうか? BDC の NETLOGON のサービスが起動しないでドメインの運営になにか 影響はでるのでしょうか? また、何故セキュリティポリシーの設定を変更したことで、 NETLOGON サービス起動できなくなったのか全く検討が付きません。 記載している情報では不十分かも知れませんが、ご教授のほどよろしく お願い致します。 | ||||||||||||
|
投稿日時: 2006-02-01 17:58
具体的にはどの設定項目をどういじったのか、 それを戻すとどうなるのか、押してください。 Windows Server 2003 セキュリティ ガイドは http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx だと思いますが、ざっくり読んだ感じだと、 「レガシなクライアントの存在」は想定しているだろうけど、 「レガシなドメインコントローラの存在」を考慮しているのかは読み取れませんでした。 元々ドメインレベルが混在モードな環境という物自体が 移行中の一時的なものであり、早々にネイティブモードへの切り替えが 推奨されていたはずですので、混在モードでのセキュリティ強化と その際の不具合というのが考慮されてなくてもまあ仕方ないかなぁとかちょっと思ってみた。 ドメインへのグループポリシー展開、って、思いっきりADの機能なわけですし。
NETLOGONサービスは、簡単に言えばドメインコントローラ機能をつかさどるサービスです。 これが起動しなければそのマシンはドメインコントローラの役割を成しません。 サービスが起動する状態にする、というのも当然の対応かと思いますが、 早々にネイティブモードに変更するのも一つの解決策かと思います。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。