- - PR -
ActiveDirectoryのブラウジング
| 投稿者 | 投稿内容 | ||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-02-13 18:48
失礼します。
社内LANにて、ADのComputerBrowser機能がうまく動作せず、困っています。 有識者の過去コメントを確認しながらやっていますが、うまくいきません。 薄識な私に教示おねがいします。 構成としては、 ADサーバが2台ある。共に、Windows2000Server。 DC-A1 DC-A2 VPNで遠方のADサーバ(別フォレストドメイン)と信頼関係を結んでいる。 DC-B1 DC-B2 WINSを構成している。ADサーバと遠方の信頼関係を結んでいるADサーバ。 Push/Pull設定。(ADが正常動作すれば不要と思っています) です。 自フォレストであるドメインのブラウズ(MicrosoftWindowsNetwork)が見れない状態です。 (そもそもドメインコントローラ2台でブラウズが失敗してしまう。) WINSを停止すると、遠方のADサーバにUNCでアクセスできなくなってしまう。 WINSを開始すると、UNCアクセス可能となるため、WINSは正常動作していそうです。 ということは、 ADの信頼関係がうまく結べていないと思いました。。。 しかし、dnslintでの通信結果では異常なし。 どこが悪いのか、ハマってしまってどこを触ればいいのかよくわからなくなってしまいました・・・ | ||||||||||||||||||||||||||||
|
投稿日時: 2007-02-13 22:28
こんばんわ.
ここでも繰り返し書いていることですが,
Active Directory と computer browse は直接の因果関係はありません. ですので「Active Directory の」というのは間違った認識です. 敢えて書くなら「Active Directory がある環境下での」でしょう.
これも何度も書いていますが, 「見える」ことと「繋がる」ことは理屈が少々違います. ですので「見える」のに繋がらないとか,見えないのに「繋がる」のも 状況としては正しいです. WINS はあくまでも NetBIOS 名を解決するだけのものですので, それが機能しなければ UNC で接続できないのは全く正しい動作です.
WINS Server の有無と Active Directory が正常に稼働するのとは やはり直接の因果関係はありません. Active Directory で必要な名前解決の仕組みはあくまでも DNS です. WINS ではありません.
ですので,Active Directory が正常に動いている, あるいは信頼関係が正常に機能していることと, computer browse が正常に機能していないことは別の問題です. まずは月並みですが,この辺 http://www.monyo.com/technical/windows/msnet/ をご参照ください. どこまで「見える」のか,どこが「見えない」のかを明確にしないと, どこまで機能していてどこが機能していないのかわかりません. | ||||||||||||||||||||||||||||
|
投稿日時: 2007-02-14 01:27
kazさんご返信ありがとうございます。
ごもっともです。環境下ですね。失礼しました。
こちらは理解できています。
DNSで名前解決するのはもっともですが、今回はWINSを外すと、解決不可です。 ということで、 DC-B1及びDC-B2との信頼関係がうまく結べていないと思いました。。。
こちらも理解できています。 DC-A1とDC-A22台だけの動作だけでもComputerBrowseが正常に機能しないのが不思議なのです。
見える、見えない。といった部分をまとめます。 見える部分として、(ComputerBrowserと関連抜きで、ざっくりと) WINSだとUNCアクセス可能。 WINS無しだと、IPでのアクセス可能。 フォレストドメイン以外のワークグループが参照できる。 DC-B1,B2(遠方DC)のフォレストドメインが参照できる。 見えない部分として、(ComputerBrowserと関連抜きで、ざっくりと) フォレストドメインのグループが参照できない。 最優先となるハズである、ドメインコントローラがマスタブラウザになっていない。 (他クライアントWindowsXPやWindows2000がマスタブラウザになっている) ドメインコントローラだけのネットワークにしても(DCサーバ2台しかLAN上にいない状態)、フォレストドメインのグループがブラウズできない。 参考サイトである http://www.monyo.com/technical/windows/msnet/ 1つ1つ原因つぶしをしてはいますが、難しいですね。 | ||||||||||||||||||||||||||||
|
投稿日時: 2007-02-14 13:11
こんにちわ.
なにが「解決不可」なのでしょうか? WINS が無いと computer name(つまり NetBIOS)の名前解決ができないのは 理屈の上では当たり前のことです. DNS で解決できるのは FQDN で, 例外として DNS suffix が定義されているとか,そういった事情だと思います. また,信頼関係を結ぶ際の DNS の構成もちゃんと理屈がありますし.
ちなみにここは「見える」こととは関係ありませんよね?
つまり local の network の domain controller も含めて, 手前の Active Directry に所属する computer は 全く参照できないという理解でよろしいですか? 「LAN 上」と表現されていますが,network segment は同じですか? 同じであるにもかかわらず domain controller が master browser になっていない? | ||||||||||||||||||||||||||||
|
投稿日時: 2007-02-14 15:16
kazさんご返信ありがとうございます。
UNCでのNetBIOS解決です。
WINSを外すと、名前解決ができなくなるという事ですね。 もちろん当然なのは理解できています。 なので、ADの信頼関係上でDNSの読み取りができていないのかな?と思ったのです。
AD環境を構築し、クライアントを参加させると、abc.local等といったSuffixが自ずと利用できるハズでは? (今回の件とは全く違うような気がしますけど)
もちろん関係ありません。 現状として、AD環境での名前解決ができていないからWINSを利用せざるを得ない部分となっています。 WINSを外したいのですが、AD環境上での名前解決ができないのがなぜなのか? という問題を抱えています。AD環境上のDNSが問題では?と推測しています.
その通りです。 LocalMasterBrowserとして動作しているPCがありますので、LMBは参照可能です。
NetworkSegmentは同一です。
SwitchHUBにDomainControllerのみ(DC-A1,DC-A2だけスイッチHUBへ接続。それ以外はスイッチHUBへ接続しない環境)で一度確認したのですが、DomainMasterBrowserになっていませんでした。 上記環境の私の認識では、DC-A1,DC-A2のどちらかがDomainMasterBrowserとなり、MicrosoftWindowsNetwork上でフォレストドメインが表示され、 フォレストドメイン内でDC-A1及びDC-A2の2台のみがComputerBrowseされると思っていました。 LocalMasterBrowserとしても動作していませんでした。 (MicrosoftWindowsNetworkへのBrowseも参照不可状態だったので) (エラー表示がありましたが、書き忘れました。うろ覚えですが、 “アクセス許可が〜〜”のエラーだったような気がします。) その時は、単体での動作調査時間がさほど掛けられなかったので、Networkを元へ戻し、ActiveDirectory参加させているWindowsServer2003をLocalMasterBrowserとして動作させました。 よって、他SegmentへのBrowseもできていません。 | ||||||||||||||||||||||||||||
|
投稿日時: 2007-02-14 17:40
主題とは関係ありませんが. 信頼関係を結ぶにはお互いの DNS での名前解決ができる必要があると思います. つまり,一方の DNS zone をもう一方でも解決できなければならないはずで, でないとお互いの domain controller が探せないでしょう. その場合,対岸の Active Directory 用の DNS zone を参照できるように ・slave zone として zone 情報を転送して貰う ・forward zone として対岸の DNS へ forward する という手法が必要になると思います. 少なくとも「WINS が機能していないと信頼関係が確立できない」のは 正常な状態ではないでしょう. で,
ここまでは切り離して考えを進めましょう.
認識は正しいと思います. 同じ Active Directory に所属していれば 同じ Workgroup に所属しているように参照できると思います. 無論,その場合は Active Directory に参加していなくても 同名の Workgroup があれば同様の扱いを受けると思います.
どのように「元に戻し」たのでしょうか? その状態で正常に動いているなら,そこに手がかりがあるのでは? あるいは同じ Workgroup 内に Samba Server があるなんてことはありませんよね? ※一部の NAS では Samba が動いています. | ||||||||||||||||||||||||||||
|
投稿日時: 2007-02-15 18:45
kazさんご返信ありがとうございます。
Domain Controllerだけの2台しかPCがないNetwork環境にしてある状態ですが、 MicrosoftWindowsNetwork表示でフォレストドメインは表示されているのに、 フォレストドメイン参照できなかったので、2台のDomain Controllerしか接続させていないSwitchHUBへ、他のサーバをSwitchHUBへ接続させました。 その状態で検証を続ける時間が採れなかったので、やむを得ませんでした。 DomainControllerのDNSがISPのDNSへフォワードしてありましたので、エンドユーザーのインターネット利用でどうしても必要でした。 単体での切り分けをしてみてどうなるか検証してみますね。
MacintoshやNas(LinkStationやTeraStation等)でのSambaも注意しながら検証しています。 MacintoshやNasは完全にNWから切り離しをしている状態でもこの現象ですから、DomainControllerが原因でしょうね。 | ||||||||||||||||||||||||||||
|
投稿日時: 2007-02-15 23:17
こんばんわ.
登場するのは domain controller の2台と standalone server 1台ですね? で,standalone server を domain と同名の Workgroup で network に接続して, standalone server から Workgroup に接続しようとしたのでしょうか? それで「参照できない」という error messages ですか?
DNS server の設定はそこから変える必要はないように思えますが? ...と思いましたが Windows 2000 Server なんですね. なので forward zone は作れないと... お互いが対岸の slave DNS となれば信頼関係は正常に結べるのでは? それで上位への forward との整合性も保てるのではないかと思われます. | ||||||||||||||||||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。