- PR -

NTドメインにログオンできません。お助けください。

投稿者投稿内容
HEAD
会議室デビュー日: 2008/03/23
投稿数: 11
投稿日時: 2008-12-20 16:51
NTドメインを構築しているのですが、ユーザー名とパスワードを入力しログオンしようとすると、、ある日突然一部のパソコンで以下のメッセージが表示されNTドメインにログオンできなくなります。

ログオン メッセージ
「ドメインに接続できません。ドメイン コントローラーがダウンしているか利用できない状態となっている、またはコンピュータ アカウントが見つからなかったことが原因としてかんげられます。後からもう一度やり直してください。このメッセージが引き続き表示される場合は、システム管理者に連絡してください。」

応急処置として
LANケーブルを抜くとログインでき、再度LANケーブルを接続すると通常通りドメインの資源を利用できます。

復旧方法は
一旦ワークグループに戻し、コンピュータ名を変更→リブート→再度ドメインに参加→リブート→正常にログオン
といった手順で完全復旧します。

ドメインに参加し、半年ほど経過したPC(WindowsXP SP2)が日を追って次々と同様の障害を発生しています。
1日数台であれば対応できますが、数十台となると大作業となり困っております。
原因がわからないため根本的な解決ができません。

どなたか原因と対策方法がお分かりでしたらご教示よろしくお願いいたします。

環境は
WindowsNT4.0(SP6)
接続台数:WindowsXP約150台です。
Kozoo
ベテラン
会議室デビュー日: 2005/11/10
投稿数: 52
お住まい・勤務地: コンクリートジャングル東京
投稿日時: 2008-12-24 14:27
検証できないので恐縮ですが、以下サイトは参考にならないでしょうか。
http://support.microsoft.com/kb/318266/ja

・NTサーバ側のイベントビューアにはメッセージは残っていないでしょうか。
・WINSの設定は正しく通信できていますでしょうか。
・サーバはNT4.0(SP6)1台のみでしょうか。通常はBDC含め2台はありそうですが。

上記部分の情報も開示頂ければ、もう少々回答が着くのではないでしょうか。
HEAD
会議室デビュー日: 2008/03/23
投稿数: 11
投稿日時: 2008-12-26 21:11
Kozoo様、お礼が遅れ申し訳ありません。
ご教示ありがとうございました。
ローカルセキュリティポリシーの設定とは無関係のようです。
・NTサーバ側のイベントビューアにメッセージはありませんでした。
・WINSとの通信も問題ありません。
・サーバーはPDC、BDCそれぞれ1台を設置しています。
-------------------------------------------
その後いろいろと調査を行ったのですが、SIDの重複が原因しているようです。
クライアント導入時に1台のPCのクローンを大量に作成しました。
sysprep.exeによりSIDを再生成することで解決するようなのですが、いまいち方法がわからない状況です。
ご助言いただければ幸いです。
よろしくお願いします。


[ メッセージ編集済み 編集者: HEAD 編集日時 2008-12-26 21:12 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-12-27 13:41
こんにちは.
引用:

HEADさんの書き込み (2008-12-26 21:11) より:
Kozoo様、お礼が遅れ申し訳ありません。

その後いろいろと調査を行ったのですが、SIDの重複が原因しているようです。


それはなにか根拠があるんでしょうか?
WindowsNT domain であれば,その問題は発生しなかったと思います.
引用:

クライアント導入時に1台のPCのクローンを大量に作成しました。
sysprep.exeによりSIDを再生成することで解決するようなのですが、いまいち方法がわからない状況です。


まず,sysprep.exe の何がわかりませんか?
というか,調べてみたのでしょうか?
それほど難しくはありませんし,情報も多いと思いますよ.
実行してみると mini setup が動くので,
あとはそれを順番に辿っていけばよいだけでしょう.
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2008-12-28 13:30
チャブーンです。

この件ですが、MSKB 318266 については、"Windows NT 4.0 SP3 以前のドメインコントローラ上で Windows XP を参加させたときに発生する問題" を扱っているのではないでしょうか (セキュアチャネルの暗号化や署名は SP4 以降で対応してるはずなので)。

状況から、SID 重複の問題なのでしょうね。SID が重複すると、セキュリティ上の問題が起こるので、「重複させない」ことが基本的な作法です。

Sysprep を利用する方法については、こういった情報を見たらよいのではないでしょうか?

http://www.atmarkit.co.jp/fwin2k/win2ktips/553sysprep/sysprep.html
HEAD
会議室デビュー日: 2008/03/23
投稿数: 11
投稿日時: 2008-12-29 09:44
チャブーン様
kaz様
ありがとうございます。
情報を参考にし、SysprepによりSIDの重複を解除してみます。
実施結果は年明けになりますが、ご報告いたします。
アウ
ベテラン
会議室デビュー日: 2008/12/18
投稿数: 72
投稿日時: 2008-12-29 14:55
(利用規約違反のため削除いたしました。@ITクラブメンバーシップセンター)
はげ男爵
常連さん
会議室デビュー日: 2008/11/14
投稿数: 20
お住まい・勤務地: パリ
投稿日時: 2008-12-29 21:08
はげ男爵である。

現状からSysprepによりSIDの重複を解除する方法は、マイクロソフトがサポートしていないと明言している方法でもあるので、やるからにはHEAD様にかなりの責任が発生します。

http://support.microsoft.com/kb/828287/ja
を見ると、
"運用環境での使用
実際に運用中のコンピュータの Windows インストール イメージを新しく作成するために Sysprep を使用することは、サポート対象外です。"
と説明されているため、現在の状況からsysprepによりSIDの重複を解除すると、まさにこの項目に当てはまります。

元々はsysprepを使わないでPCのクローンを大量に作成した担当者のミスですが、現在の状況からsysprepによりSIDの重複を解除し、何かの問題でも発生した日には、HEAD様の責任になってしまい、製造元からはサポートしていないので対応も期待できないでしょうから、よくよく検討してから実施してください。

PCのクローンを大量に作成した担当者が↓を見てればこんな問題は発生しなかったのでしょうけど。
http://support.microsoft.com/kb/314828/ja

全台再インストールがお勧め。

スキルアップ/キャリアアップ(JOB@IT)