- PR -

ドメイン環境からワークグループへのVPN通信

1
投稿者投稿内容
Pez
常連さん
会議室デビュー日: 2005/09/19
投稿数: 24
投稿日時: 2007-06-19 12:05
こんにちは。過去ログ検索したのですが見つからなかったので教えてください。

現在Aという拠点のネットワーク(192.168.10.0/24)にWin2kServer(ドメインコントローラ)があります。
クライアントはWinXpPro全10台でルータのDHCP機能を利用してます。
ルータはNetScreenでインターネットVPN構築済みです。

そしてBという拠点のネットワーク(192.168.20.0/24)にはWinServer2003があります。
こちらはドメインコントローラで運用しておりません(ActiveDirectory未構築)。
ワークグループ環境で運用しております。
クライアントは1台のみでWinXpProです。クライアントのアドレスは固定で割り当ててます。
ルータは同じくNetScreenでこちらもインターネットVPN構築済みです。

A拠点とB拠点のルータはping通ります。

・やりたい事
  @B拠点のWinServer2003をファイルサーバとして、A拠点のクライアントがアクセスできるようにしたい

・現状
  A拠点のクライアントがWinServer2003にアクセスするとアクセスが拒否されましたと出る。Win2kServerからWinServer2003にはアクセス出来ます。A拠点のクライアントは全てAdministratorsグループに所属しております。

どうがご教授ください。よろしくお願い致します。
 
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-06-19 12:14
認証エラーなので、まずVPN云々やネットワーク構成部分については
問題ないとは思います。認証の問題ですね。


で、どのユーザで認証させてアクセスさせたいんですか?
クライアントがドメイン参加してるなら、ドメインユーザでログオンして
使ってるんでしょうから、そのドメインユーザで認証させるのが
オーソドックスだと思いますが、
接続させたいファイルサーバがドメインに参加してないため、
ドメインユーザでの認証は使えませんね。
それについては、ファイルサーバをドメインに参加させて、
共有資源にドメインユーザやグループに対してアクセス権を付与すれば解決します。
(サーバを、別にドメインコントローラにする必要はないです。ドメインに参加させればOKです)
すでに参加させてるなら、アクセス権だけの問題かもしれません。

あくまでもそのサーバをドメインに参加させたくない、って場合は、
サーバ側にローカルユーザを作成して、認証させる必要があります。

引用:

Win2kServerからWinServer2003にはアクセス出来ます。

Windows2000側でローカルログオンしてるユーザと
同一ユーザ名・パスワードのユーザがWindows2003に存在してるだけ、
というオチはありえそうです。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
Pez
常連さん
会議室デビュー日: 2005/09/19
投稿数: 24
投稿日時: 2007-06-19 19:36
Mattunさま
ありがとうございます。

引用:
で、どのユーザで認証させてアクセスさせたいんですか?


Win2kServerでドメインにログオンしているユーザで認証させたいです。


引用:
(サーバを、別にドメインコントローラにする必要はないです。ドメインに参加させればOKです)


これはWinServer2003をActiveDirectoryにユーザとして登録するという認識でよろしいでしょうか?


引用:
Windows2000側でローカルログオンしてるユーザと
同一ユーザ名・パスワードのユーザがWindows2003に存在してるだけ、
というオチはありえそうです。


まさにこの通りのような気が私もしてきました。
ドメインにログオンとローカルにログオンの違いですね。
とりあえずは両サーバで同一ユーザ名・パスワードのユーザを作成し、検証してみます。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-06-19 21:01
こんばんわ.

余計なことかもしれませんが,
引用:

Pezさんの書き込み (2007-06-19 19:36) より:

引用:
で、どのユーザで認証させてアクセスさせたいんですか?


Win2kServerでドメインにログオンしているユーザで認証させたいです。

なのに
引用:

ドメインにログオンとローカルにログオンの違いですね。
とりあえずは両サーバで同一ユーザ名・パスワードのユーザを作成し、検証してみます。

というのは,Mattun 様の指摘を読み取れていないように思われます.
また,
引用:
引用:
(サーバを、別にドメインコントローラにする必要はないです。ドメインに参加させればOKです)


これはWinServer2003をActiveDirectoryにユーザとして登録するという認識でよろしいでしょうか?

という時点で「Active Directory を理解できていない」ように思われますが,
「domain に参加する」のと「user account として登録する」ことが
違う意味を持つのは理解できていますか?
あくまでもその Windows Server 2003 を Active Directory に参加させるだけです.
user account の登録は必要ありません.
Pez
常連さん
会議室デビュー日: 2005/09/19
投稿数: 24
投稿日時: 2007-06-20 11:42
kazさま
ありがとうございます。


引用:
あくまでもその Windows Server 2003 を Active Directory に参加させるだけです.


WindowsServer2003はワークグループから対象となるWin2kServerのドメインに参加させるということですね。ありがとうございます。確認してみます。
1

スキルアップ/キャリアアップ(JOB@IT)