2010年10月12日

[samba-jp:21189]Windows7でドメイン参加は出来てもログオンが出来ない件

いけだ@三恵工務店と申します。

掲題の件について質問させてください。
■環境情報
 ・サーバ側OS:Solaris10(64bit)
 ・Samba:3.3.14(ソースからコンパイル)
 ・configureオプション:
  「$ ./configure --prefix=/opt/samba \

    --mandir=/opt/man \
    --with-libiconv=/opt/libiconv --enable-swat \
    --enable-socket-wrapper --enable-nss-wrapper --with-utmp \
    --with-pam --with-automount --with-syslog --with-quotas \
    --with-libsmbclient --with-acl-support」
 ・libiconv:GNU iconv 1.11(ソースコンパイル版)
 ・smb.conf(globalセクションのみ)
  [global]
unix charset = EUC-JP
display charset = UTF-8
workgroup = HOGE
ldap ssl = No
server string = UNIX SMB Server
interfaces = e1000g0
passdb backend = tdbsam
pam password change = Yes
encrypt passwords = Yes
log file = /var/log/samba/%m.log
time server = Yes
server signing = auto
logon path =
logon drive = Z:
logon home =
domain logons = Yes
domain master = Yes
os level = 64
preferred master = Yes
security = user
local master = Yes
wins support = Yes
utmp directory = /var/adm/utmpx
wtmp directory = /var/adm/wtmpx
utmp = Yes
admin users = root
hosts allow = 192.168.1., 192.168.2., 192.168.3., 192.168.100.
 ・クライアント:WindowsXP、Windows7(64bit)
 ・PDCとして構築。BDCは一応作ってはいるが動かしていません。

■本文
上記環境下にてPDCとしてSambaドメインを構築しており、WindowsXPでは問
題なくドメイン参加も出来ますし、ログオンも出来ております。

今回、Windows7への移行をする用件があり、着々と進めております。
Windows7のドメイン参加にあたり、ググったり書籍を見たりして、Windows7
側で以下レジストリを追加変更しました。
> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
> "DomainCompatibilityMode"=dword:00000001
> "DNSNameResolutionRequired"=dword:00000000
> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]
> "RequireSignOrSeal"=dword:00000000
> "RequireStrongKey"=dword:00000000

更に、ローカルセキュリティポリシーのセキュリティオプションにて「LM認
証とNTLM認証、可能な場合はNTLMv2認証を行う」に設定しました。

この結果、ドメインには参加出来たのですが、ログオンしようとすると、
「このワークステーションとプライマリドメインとの信頼関係に失敗しまし
 た。」
と表示され、ログオンが出来ませんでした。

Sambaの「PC名.log」ログを参照すると、
> [2010/10/12 11:43:35, 0] rpc_server/srv_netlog_nt.c:_netr_ServerAuthenticate2(555)
> _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client WORK-TMP2 machine account WORK-TMP2$
> [2010/10/12 11:43:35, 0] rpc_server/srv_netlog_nt.c:_netr_ServerAuthenticate2(555)
> _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client WORK-TMP2 machine account WORK-TMP2$
> [2010/10/12 11:43:50, 0] lib/util_sock.c:read_socket_with_timeout(939)
> [2010/10/12 11:43:50, 0] lib/util_sock.c:get_peer_addr_internal(1676)
> getpeername failed. Error was トランスポートの終端が接続されていません。
> read_socket_with_timeout: client 0.0.0.0 read error = 接続が相手側によってリセットされました。.

となっており、どうもマシン認証で弾かれているようです。

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=550043
こちらを見ると、どうもSamba3.3.6でFixされているように見えますが、同
じ状況が続いております。

また、
http://blog.kenichimaehashi.com/?article=12600130161
によると、domainsidとlocalsidが一致していないとダメだ、ということで、
net getdomainsidを実行したところ、
> # net getdomainsid
> Could not fetch local SID
と表示され、SIDが取得出来ませんでしたが、どうもこれはLDAPがある前提
なのかなと。

と言うことで、どうにも手詰まりとなってしまいました。
ユーザ数はわずかなのでLDAPは使わず、バックエンドにsmbpasswdを使い、
最近3.3.14を機にtdbsamに切り替えました。
ドメインログオンは必須要件ではないので、出来ないのであれば、それはそ
れで割り切った構築をしようと思っておりますが、出来ればドメインメンバ
としてログオンさせたいと思っております。

Sambaの最新版3.5.6を導入したところ、WindowsXP環境でドメインログオン
出来なくなってしまい、元に戻しました。
どうも3.4.0から大きな変更があったようなので、それまで使用していた3.3
系列の最新版3.3.14で可能であればそれがベストかなと。
3.4系列は3.5の問題の再来が怖く、まだ試していません。

…以上、ざっくりと必要と思われる情報とステータスを書き連ねましたが、
皆様のお知恵を拝借いたしたく存じます。

足りない情報や手順があればご教示いただければ幸いです。

以上、よろしくお願いいたします。

=============================================================
Information-system part.
Sankei-Koumuten Co.,Ltd.
Yuuichi Ikeda
Mail:yuichi@xxxxx
Tel.+81-3-3623-6474 Fax.+81-3-3623-6475
Our company promotes "Team minus 6 percent"
jus, Hatena Joined member.
LPIC-2 Certified.
=============================================================

投稿者 xml-rpc : 2010年10月12日 12:44
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/99085
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。