- PR -

Windows2003のActive Directory認証の共有フォルダアクセス

1
投稿者投稿内容
ライト
会議室デビュー日: 2006/03/22
投稿数: 5
投稿日時: 2006-03-22 02:15
以下のようなサーバ構成の2サイトのActive Directory構成を
外部信頼で認証しています。

Aドメイン、Bドメイン共に登録されているクライアントの
ログインに関しては、AドメインでもBドメインのユーザでも
ログインできるのですが、Bドメインのユーザでログインした場合、
Win2003の共有フォルダにアクセスすると、
[ログオン要求を処理できるログオンサーバーはありません。]
というエラーが発生して、サーバの共有フォルダに接続できません。

Aドメインのユーザで、A/Bドメインの4サーバの共有フォルダ、
及びBドメインのユーザで、AドメインのWin2Kサーバと
Bドメインの2サーバの共有フォルダには問題なく接続でき、
Bドメインのユーザで、Win2003の共有のみアクセスできません。

グループポリシー等は、なにも設定していないのですが、
Win2003の場合、デフォルトで、なにかセキュリティ部分の
設定がなされているのでしょうか?
Win2KとWin2003の混在等が原因でしょうか?
ファイヤウォールなどは、無効にしても同様の現象でした。

---
Aドメイン - Bドメイン
Win2003 Win2K
Win2K Win2K
---

イベントビューアでは、セキュリティで失敗の監査に
引っかかっていました。
ログオン/ログオフで、イベントID:537となっておりましたが、
接続もとのマシン名称等の情報のみで、
原因と思われる情報はでておりませんでした。

何か解決方法はありますでしょうか?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-03-22 09:14
おはようございます.

DNS の構成に起因する問題では?
Domain Controller を見つける手がかりは DNS server ですが,
別の Active Directory の Domain Controller を見つけるには
他の Active Directory 用の DNS server の zone を参照する必要があります.
とすると,相互に DNS の zone 情報を転送しあう必要があると思いますが,
その辺の構成はドウでしょう?
ライト
会議室デビュー日: 2006/03/22
投稿数: 5
投稿日時: 2006-03-22 10:00

DNSサーバに関しては、
A/Bドメインの両サーバがActive Directory統合にて、
DNSサーバとなっており、Aドメインのサーバは、Bドメインのセカンダリも管理、
Bドメインのサーバは、Aドメインのセカンダリも管理しております。

AドメインのサーバからもクライアントからもBドメインのサーバには、
アクセスでき、Bドメインのサーバ/クライアントからも
Win2000のサーバには、アクセスでき、Win2003のみ拒否されております。

その為、DNSは参照できているのではないかと考えており、
Win2003のDNSのイベントビューアにもエラー情報は
出力されておりませんでした。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-03-22 13:20
引用:

ライトさんの書き込み (2006-03-22 10:00) より:

DNSサーバに関しては、
A/Bドメインの両サーバがActive Directory統合にて、
DNSサーバとなっており、Aドメインのサーバは、Bドメインのセカンダリも管理、
Bドメインのサーバは、Aドメインのセカンダリも管理しております。

であれば,DNS の構成には支障は無いかもしれません.
ですが,
引用:

Win2003の共有フォルダにアクセスすると、
[ログオン要求を処理できるログオンサーバーはありません。]
というエラーが発生して、サーバの共有フォルダに接続できません。

とすると,やはり何らかの原因で Windows Server 2003 が
A の Active Directory の DNS から
B の Domain の SRV resource record が参照できていないように思えますが...
ちなみにその Win2k3 から B の DNS の entry はちゃんと引けているのですよね?
ライト
会議室デビュー日: 2006/03/22
投稿数: 5
投稿日時: 2006-03-23 16:04

はい、Win2003のDNSでセカンダリとしている
Bのドメイン情報は、Active Directory用のレコードも
取得できており、nslookupコマンドでは解決もできています。

また、Windows2003からグループポリシーが、
デフォルトでセキュリティが高くなっているとのことを
聞きましたが、ご存知のからいますでしょうか?

「常にディジタル署名を有効にする」等は、
無効にしてみたのですが、結果はかわらずでした。

他にも同じようなポリシーがありますでしょうか?
minminnana
大ベテラン
会議室デビュー日: 2004/02/05
投稿数: 246
お住まい・勤務地: 盛岡
投稿日時: 2006-03-23 21:27
引用:
---
Aドメイン - Bドメイン
Win2003 Win2K
Win2K Win2K
---

AドメインのDCが左列のWin2Kですか?
Win2003からそのWin2Kへのアクセスに問題は有りませんか。(DNSの設定等)
ライト
会議室デビュー日: 2006/03/22
投稿数: 5
投稿日時: 2006-03-23 22:37
はい、AドメインのDCがWn2003とWin2Kになります。

Aドメインのサーバ(2台)、及びAドメインのユーザでログインした
Win2000クライアントからは、全て(4台)のサーバに問題なく
アクセスできます。

Bドメインのサーバ(2台)、及びBドメインのユーザでログインした
Win2000クライアントからは、Win2003サーバのみアクセスできず、
Win2000サーバ(3台)には接続できます。

そのため、Win2003のグループポリシー等が、
セキュリティの為、デフォルトで有効化されているものが
あるのではないかとも考えています。




1

スキルアップ/キャリアアップ(JOB@IT)