- - PR -
ドメインコントローラを使ったユーザ認証で不具合
| 投稿者 | 投稿内容 | ||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-12-25 20:53
初めての書き込みになります。
私は社内システムの管理担当という位置づけですが、 配置されてから間もなく、ActiveDirectoryについては初心者です。 よろしくお願いします。 問題発生前の状況から順を追っていきます。 1つのドメインがあり、それに対しドメインコントローラ4台があり、 4台のサーバはいずれもWindows2000serverを使用しています。 その内1台は複数機能を持っており、使い始めてから5年超経っているため、スペック面で厳しくなってきていました。 そこでこのサーバは外し、新しくドメインコントローラ1台を追加することになりました。 新サーバの追加は無事終わり、外す機器のActiveDirectoryをアンインストールしました。 ここで問題が発生したらしく、次の2点においてドメインコントローラを使ったユーザ認証ができなくなりました。 1.社内用Webサイトの1つでログイン時に利用していたが、エラーが返るようになった。 2.サービスのログオン設定で利用していたが、 「指定されたドメインがないか、またはアクセスできません。」とメッセージが出るようになった。 問題点ではありませんが他に判ったのは、Windowsログインや他のWebサイト等、 上記2点以外のログイン認証を用いる部分では正常に機能していた事です。 この事から、認証に利用するドメインコントローラの指定が今回外した機器だけになっているのではと考え、 外した機器にActiveDirectoryを再度インストールしました(下手にソースをいじるよりはと思ったので)。 これにより、問題点1については(根本的解決ではないですが)解消されました。 残った問題点2について、ここの過去ログを検索してもそれらしいものが見つからず、 他のWebサイト等を当たってみても解りませんでした。 以上を踏まえて質問させて下さい。 サービスのログオン認証において、利用するドメインコントローラを明示的に指定することはできるのでしょうか。 できる場合、その方法はどのようなものでしょうか。 できない(または考え方が間違っている)場合、問題点2への対処としてアドバイスを頂けないでしょうか。 よろしくお願いします。 | ||||||||||||||||||||||||||||||||
|
投稿日時: 2006-12-25 22:56
こんばんわ.
それはどこの computer の service なのですか? そもそも domain controller が複数あるにも関わらず, 1台が消失したら機能しなくなること自体に問題があるように思われます. 参照している DNS が,入れ替え対象だった1台だけということはありませんか? であれば,domain controller が見つからなくて そういったことがあるかもしれません. logon については同じ network segment に domain controller があったり, WINS server があったりすればそれで補われてしまうことも考えられるので, 「あれはダメでこれは大丈夫」といった現象に悩む人も多いと思います. いずれにせよ,環境の情報がもう少し細かく書かれていないと 憶測しかできないと思います. 以上,ご参考までに. | ||||||||||||||||||||||||||||||||
|
投稿日時: 2006-12-26 12:32
関係ないかもしれませんが、
マスタの役割やってるサーバ外してたりしないでしょうか? 念のため確認を。FSMOについては以下を参照。 http://support.microsoft.com/kb/324801/ja | ||||||||||||||||||||||||||||||||
|
投稿日時: 2006-12-26 15:40
kazさん、未記入さん、お返事ありがとうございます。
ドメインコントローラ、クライアントを問わず、(複数セグメントで)チェックしたLAN内PCは全てです。
このパターンはありませんでした。
このパターンもありませんでした。
4台のドメインコントローラはWINSサーバを兼ねており、 全て同一セグメント(192.168.1.0/24)に設置されています。 ……と、ここまで書いたところで開発からお呼びがかかり、行った先であれこれしていましたら、 とりあえずの形で認証エラーを回避することができました。 やったことは、これまでサービスのログオンアカウントに「ユーザID@ADドメイン名」と記入していたところを 「Windows2000以前のドメイン名¥ユーザID」と替えたことです。 このことで、WINSが大きく絡んでいるのでは、と想像できましたので、これからWINS周りを調べていこうと思います。
ドメインコントローラは前述の通り、WINSサーバ兼用で、4台ともに同一セグメント内に設置しています。 ネットワーク構成の概要は次の通りです。 ******************************** 192.168.1.0/24 ドメインコントローラ4台設置 | その他、社内システムのサーバを設置 | ├ 192.168.2.0/24 ├ 192.168.3.0/24 ├ 192.168.4.0/24 (以下同様に続く) ******************************** あとは、使用ドメインが現在ネイティブモードである、ということくらいでしょうか。 これ以上は、どの情報が必要なのか、私ではまだ判断できていません。 足りないものがあれば、またご指摘をお願いします。 では、引き続き調査に入ります。 ありがとうございました。 | ||||||||||||||||||||||||||||||||
|
投稿日時: 2006-12-26 18:53
こんにちわ〜
DNSがきちんと機能していないのでは? DNS名がきちんと解決できていれば、プリンシパル名で解決できる はずですよ。 windows2000以前のドメイン名\ユーザIDだとWinsで解決されている ことが確定しているように思われます。 | ||||||||||||||||||||||||||||||||
|
投稿日時: 2006-12-26 21:52
こんばんわ.
全ての PC で個々にそういった設定をしているのですか? 手動で設定するのでなければそういった設定はしないと思うんですが? ※といってもこれは話の本筋ではありませんね.
pattern の問題ではなく,要するにジーちゃん様の指摘にあるように DNS による名前解決の仕組みに支障はないのか?という意味です. 単に「1台しかないか否か?」ということではありません.
WINS Server があるなら network segment は関係ありません. DNS も同様です. その辺は WINS Server の必要性を考えれば理解できる内容です. ですので,
調べるべきはそちらではありません. DNS のほうです.
Active Directory 用の DNS はどこですか? Active Directory に参加しているそれぞれの PC は どの DNS Server を参照していますか? | ||||||||||||||||||||||||||||||||
|
投稿日時: 2006-12-27 14:11
じーちゃんさん、kazさん、お返事ありがとうございます。
WINSで解決した、というだけで、WINSが問題に関っている訳ではない、ということですね。 勘違いしていたようです。
ドメインサーバは4台とも、ActiveDirectory用DNSとなっています。 ドメインに参加している各PCは、TCP/IPを自動取得すれば、 4台とも参照するDNSサーバとして指定するようになっています。 | ||||||||||||||||||||||||||||||||
|
投稿日時: 2006-12-27 14:55
こんにちわ。
幾つか確認させてください。 DCはそれぞれ自分のDNSを見ていると取れるのですが、DNS名はきちん と解決できていますか(AD統合モードですよね?)。 上記の文面では各PCへDHCPがIPアドレスを配布しているようですが、 このDHCPはDNSへの自動登録を設定済みってことですか。 DCは固定IPなのでしょうか。 また、DHCPが参照しているDNSサーバは見えて(名前解決ができて) いますか? ちなみにGCやFSMOが存在していて、エラーなどは出ていないのです よね? | ||||||||||||||||||||||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。