- PR -

ドメインに正しい資格でログインできていない

投稿者	投稿内容
みな常連さん会議室デビュー日: 2001/08/18 投稿数: 32	投稿日時: 2007-12-18 18:41 WindowsServer2003でActiveDirectoryドメインを構成しています。このドメイン内の特定のパソコン（WindowsXP）に特定のユーザでログインすると、共有フォルダにアクセスできなくなりました。（以前はアクセスできていましたが、該当ユーザがどんな操作をしたのかわかりませんが・・）ただし、このユーザでドメイン内の他のパソコンにログインすると共有フォルダにアクセスできます。またその特定のパソコンに他のユーザがログインすると共有フォルダにアクセスできます。共有フォルダにアクセスできないときのエラーメッセージは「・・・リンク先のドライブまたはネットワーク接続が利用できません。ディスクがあるか、またはネットワークリソースが利用可能であるかどうか確認してから、やり直してください。」と出る場合と「ユーザ名がありません。」と出る場合があります。この時、エクセルで Environ("USERNAME") や　Environ("DOMAINNAME")でログインしているユーザ・ドメインを調べると正しく表示されます。さらに、このパソコンから他のパソコンにpingをうったりすると共有フォルダに突然アクセスできるようになったりします。しかし、共有フォルダにアクセスできるようになっても、SQLサーバなどのWindows統合認証（Windowsログインの認証情報でソフトウエアの動作を許可する仕組み）を用いるものが常に正常に使えないことから（SQLサーバの場合ユーザ名が空欄になってしまっている）、どうも正しく認証されていないように思います。参考までに問題のパソコンの関連のありそうなイベントログとサーバのイベントログを示します。 ---クライアントのログ [アプリケーション] 「警告」ログオフ時にアプリケーションまたはサービスがレジストリをまだ使用している間に、 Windows はユーザー domain\\user001 のレジストリを保存しました。ユーザーのレジストリによって使用されたメモリは解放されていません。レジストリは使用されなくなったときにアンロードされます。ユーザーアカウントとしてサービスを実行していることが原因と考えられます。 LocalService または NetworkService アカウントでサービスを構成してみてください。「エラー」ソース：Userenv domein.it.jp ドメインにバインドできません。 (資格情報が無効です)。グループポリシーの処理は中止されました。ソース：Userenv グループポリシーオブジェクトの一覧を照会できません。この理由を説明するメッセージのログは、以前にこのポリシーエンジンによって記録されています。ソース：AutoEnrollment domain\\user001 の証明書の自動登録で、Active Directory (0x8007052b) に連絡できませんでした。パスワードを更新できませんでした。現在のパスワードとして指定された値が間違っています。登録は行われません [システム] 「警告」ソース：LSASRV サーバー cifs/adserver.domain.it.jp とのセキュリティで保護された接続を確立できませんでした。利用できる認証プロトコルはありませんでした。サーバー ldap/adserver.domain.it.jp/domain.it.jp@domein.it.jp とのセキュリティで保護された接続を確立できませんでした。利用できる認証プロトコルはありませんでした。 ---サーバのロググループポリシーオブジェクトの一覧を照会できません。このエラーの理由を説明するようなメッセージをポリシーエンジンが記録していないかどうか、イベントログを確認してください。よろしくお願いします。
チャブーン大ベテラン会議室デビュー日: 2006/11/25 投稿数: 149	投稿日時: 2008-01-03 05:17 チャブーンです。いくつかの状況が一緒くたになってしまっているようですが、いずれも「ドメインコントローラ情報が見つけられない」ことが起因となっているようです。ありきたりですが、該当するクライアントマシンと共有フォルダがあるサーバ「両方」のネットワーク接続の参照先 DNS が (普通は) ドメインコントローラ「だけ」になっているか確かめてみてください。参照先 DNS サーバに Active Directory ゾーンを含まない DNS サーバが含まれる場合このような状況がおきます。DNS からの名前解決結果は意図された順番・内容では必ずしも発生しないので、こういう不可解なことも起こります。

投稿者

投稿内容

みな: 常連さん; 会議室デビュー日: 2001/08/18; 投稿数: 32

投稿日時: 2007-12-18 18:41

WindowsServer2003でActiveDirectoryドメインを構成しています。
このドメイン内の特定のパソコン（WindowsXP）に
特定のユーザでログインすると、共有フォルダにアクセスできなくなりました。
（以前はアクセスできていましたが、該当ユーザがどんな操作をしたのかわかりませんが・・）
ただし、
このユーザでドメイン内の他のパソコンにログインすると共有フォルダにアクセスできます。またその特定のパソコンに他のユーザがログインすると共有フォルダにアクセスできます。

共有フォルダにアクセスできないときのエラーメッセージは
「・・・リンク先のドライブまたはネットワーク接続が利用できません。ディスクがあるか、またはネットワークリソースが利用可能であるかどうか確認してから、やり直してください。」
と出る場合と
「ユーザ名がありません。」
と出る場合があります。この時、エクセルで Environ("USERNAME") や　Environ("DOMAINNAME")でログインしているユーザ・ドメインを調べると正しく表示されます。

さらに、このパソコンから他のパソコンにpingをうったりすると共有フォルダに突然アクセスできるようになったりします。

しかし、共有フォルダにアクセスできるようになっても、SQLサーバなどのWindows統合認証
（Windowsログインの認証情報でソフトウエアの動作を許可する仕組み）
を用いるものが常に正常に使えないことから（SQLサーバの場合ユーザ名が空欄になってしまっている）
、どうも正しく認証されていないように思います。

参考までに問題のパソコンの関連のありそうなイベントログとサーバのイベントログを示します。

---クライアントのログ
[アプリケーション]

「警告」
ログオフ時にアプリケーションまたはサービスがレジストリをまだ使用している間に、
Windows はユーザー domain\\user001 のレジストリを保存しました。
ユーザーのレジストリによって使用されたメモリは解放されていません。
レジストリは使用されなくなったときにアンロードされます。

ユーザーアカウントとしてサービスを実行していることが原因と考えられます。
LocalService または NetworkService アカウントでサービスを構成してみてください。

「エラー」
ソース：Userenv
domein.it.jp ドメインにバインドできません。 (資格情報が無効です)。
グループポリシーの処理は中止されました。

ソース：Userenv
グループポリシーオブジェクトの一覧を照会できません。
この理由を説明するメッセージのログは、以前にこのポリシーエンジンによって記録されています。

ソース：AutoEnrollment
domain\\user001 の証明書の自動登録で、Active Directory (0x8007052b) に連絡できませんでした。
パスワードを更新できませんでした。
現在のパスワードとして指定された値が間違っています。
登録は行われません

[システム]
「警告」
ソース：LSASRV
サーバー cifs/adserver.domain.it.jp とのセキュリティで保護された接続を確立できませんでした。
利用できる認証プロトコルはありませんでした。

サーバー ldap/adserver.domain.it.jp/domain.it.jp@domein.it.jp とのセキュリティで保護された接続を確立できませんでした。
利用できる認証プロトコルはありませんでした。

---サーバのログ

グループポリシーオブジェクトの一覧を照会できません。
このエラーの理由を説明するようなメッセージをポリシーエンジンが記録していないかどうか、
イベントログを確認してください。

よろしくお願いします。

チャブーン: 大ベテラン; 会議室デビュー日: 2006/11/25; 投稿数: 149

投稿日時: 2008-01-03 05:17

チャブーンです。

いくつかの状況が一緒くたになってしまっているようですが、いずれも「ドメインコントローラ情報が見つけられない」ことが起因となっているようです。

ありきたりですが、該当するクライアントマシンと共有フォルダがあるサーバ「両方」のネットワーク接続の参照先 DNS が (普通は) ドメインコントローラ「だけ」になっているか確かめてみてください。

参照先 DNS サーバに Active Directory ゾーンを含まない DNS サーバが含まれる場合このような状況がおきます。DNS からの名前解決結果は意図された順番・内容では必ずしも発生しないので、こういう不可解なことも起こります。

＠IT SpecialPR

ドメインに正しい資格でログインできていない

スキルアップ／キャリアアップ（JOB@IT）