- PR -

2つめのIPセグメントでActive Directoryのサービスだけ拒否される

1
投稿者投稿内容
nakshin
会議室デビュー日: 2007/02/06
投稿数: 1
投稿日時: 2007-02-06 16:03
はじめまして、
ActiveDirectoryのドメインとしてWindows2003サーバー2台が繋がっているネットワークがあります。

今回、物理的には同一のLAN(Switching HUBで接続)しているセグメントに
ルーターとActiveDirectoryのDCに新規にアドレスを追加しました(どちらも同一のインターフェイスにAddした形です)
従来のセグメントをA、追加セグメントをBとします。
ルーティングはスタティックでクライアントもIPを固定で持っています。
ルータのインターフェイスでのフィルタリングは無しにしました。
クライアントPCのIPアドレスをAからBセグメントに書き換えネットワークに繋ぐと
PINGの際の名前解決は可能です。PINGは無論OK。
ADサーバー(DC)だけをDNSに設定して実験しました。
また、DC以外に同一ドメインに参加しているWindows2003サーバーのフォルダは開くし
ファイルも読み書きできます。
しかし、ActiveDirectoryのDomainControllerのフォルダはアクセスを拒否されます。
DNSもmsのツールであるDnsmgmtでクライアントから接続しようとすると拒否

@ITの管理者のためのActiveDirectory入門第8回を参考に、Site(デフォルトサイト)に
新規に追加したBセグメントだけSubnetを構成して繋いで見ましたが状況に変わりはありませんでした。

何の設定を追加したら良いのでしょうか?

追記:16:35
クライアントPCに2つのLANの口をつけて立ち上げ時セグメントBだけ有効にしてActiveDirectoryにアクセス拒否されることを確認後、
セグメントAを有効にして、ActiveDirectoryのサービスを何でも良いから利用後
セグメントAを無効にした後であれば、ドメインコントローラのフォルダは利用できました。
ユーザーの承認手続きだけがうまく動作してないということなんでしょうか?


[ メッセージ編集済み 編集者: nakshin 編集日時 2007-02-06 16:04 ]

[ メッセージ編集済み 編集者: nakshin 編集日時 2007-02-06 16:37 ]
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-02-06 19:03
まあ、まず、DCのセキュリティログは見ようよというところですが・・・

同じ物理セグメントに、複数のネットワークアドレスを割り当てて
2つのネットワークが存在してる状況にした、ってことでしょうか?

とりあえず、それをやめるところからでしょう。
ただでさえマルチホーム化されたドメインコントローラは色々注意事項が多いのに、
同じ物理セグメントとなると正直しんどいですよ。
http://www.google.com/search?hl=ja&ie=Shift_JIS&oe=Shift_JIS&q=+site%3Asupport.microsoft.com+%83%7D%83%8B%83%60%83z%81%5B%83%80+%83h%83%81%83C%83%93+%83R%83%93%83g%83%8D%81%5B%83%89&lr=lang_ja
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-02-07 13:22
チャブーンです。

#時間がないモードで恐縮ですが

Mattun さんの例は、ブラウザマスタ周りを中心にした話しかな、と思うのですが、この件では、kerberos 認証がうまくいってないことが原因だと思いますよ。

とりあえずクライアントから、nslookup コマンドを使って

> set type=all
> _kerberos._tcp.[DNSドメイン名]

と入力して、後から登録した IP アドレスが引ける稼働か確認してみればどうでしょう。登録されていなければ、その時点でアウトです。
1

スキルアップ/キャリアアップ(JOB@IT)