Windows Active Directoryの複数ドメイン間で信頼関係を結んでリソースの共有を行なう場合があります。
基礎から分かるActive Directory再入門(2):Active Directoryドメインって何ですか
http://www.atmarkit.co.jp/ait/articles/1405/07/news010.html
サーバ稼働中は問題ないのですが、サーバ再起動を行なうとドメイン間で信頼関係の検証が行われなくてリソースにアクセスできない現象がでました。
具体的には共有ファイルのアクセス権が不明なグループ、ユーザになってしまいます。
暫く時間をおいても検証が行われないのでリソースにアクセス出来なくて、毎回手動で検証を実行していました。
この辺りの情報を調べたのですが見つけられませんでした。
サーバ再起動なんて頻繁に行なうこともないので手動でもいいのですが、念のために信頼関係検証のバッチファイルを作成しました。
|
1 2 3 4 |
@echo off set logfile=c:\netdom_trust.log echo %date% %time% > %logfile% netdom trust domainA.local /d:domainB.local /ud:domainB\administrator /pd:DomainBpass /uo:domainA\administrator /po:DomainApass /verify /twoway >> %logfile% |
ログ・ファイル
|
1 2 3 4 |
2016/07/12 16:49:52.99 domainA.local と domanB.local の間の信頼関係が正常に確認されました。 コマンドは正しく完了しました。 |
これをサーバ起動時にタスクで実行するように設定しておけば大丈夫かな。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 |
C:\>netdom このコマンドの構文は次のとおりです。 NETDOM [ ADD | COMPUTERNAME | HELP | JOIN | MOVE | QUERY | REMOVE | MOVENT4BDC | RENAMECOMPUTER | RESET | TRUST | VERIFY | RESETPWD ] コマンドは正しく完了しました。 C:\>netdom trust このコマンドの構文は次のとおりです。 NETDOM TRUST 信頼する側のドメイン名 /Domain:信頼される側のドメイン名 [/UserD:ユーザー] [/PasswordD:[パスワード | *]] [/UserO:ユーザー] [/PasswordO:[パスワード | *]] [/Verify] [/RESEt] [/PasswordT:新しい領域信頼パスワード] [/Add] [/REMove] [/Twoway] [/REAlm] [/Kerberos] [/Transitive[:{yes | no}]] [/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]] [/NameSuffixes:信頼名 [/ToggleSuffix:番号]] [/EnableSIDHistory[:{yes | no}]] [/ForestTRANsitive[:{yes | no}]] [/CrossORGanization[:{yes | no}]] [/AddTLN:TopLevelName] [/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName] [/RemoveTLNEX:TopLevelNameExclusion] [/SecurePasswordPrompt] NETDOM TRUST は、ドメイン間の信頼関係の管理や確認を行うコマンドです。 "信頼する側のドメイン名" は、信頼する側のドメインの名前です。 /Domain 信頼される側のドメインまたは非 Windows 領域の名前を指定し ます。 /UserD /Domain 引数で指定したドメインとの接続に使用するユーザー ア カウントです。 /PasswordD /UserD で指定したユーザー アカウントのパスワードです。* を指 定するとパスワードの入力を求めることができます。 /UserO 信頼する側のドメインとの接続に使用するユーザー アカウントで す。 /PasswordO /UserO で指定したユーザー アカウントのパスワードです。* を指 定するとパスワードの入力を求めることができます。 /Verify 信頼が正常に動作していることを確認します。 /RESEt 2 つのドメイン間の信頼パスワードをリセットします。ドメインの 指定順序は任意です。/PasswordT パラメーターを指定しない限り、 Kerberos 領域に対する信頼のリセットは無効です。 /PasswordT 新しい信頼パスワードです。/Add または /RESEt オプションと併 用し、かつ指定するドメインの 1 つが非 Windows Kerberos 領域 である場合に限り有効です。信頼パスワードは Windows ドメイン のみに設定されるため、Windows 以外のドメインに対して資格情報 は不要です。 /Add 信頼の作成を指定します。 /REMove 信頼の削除を指定します。 /Twoway 双方向の信頼関係であることを指定します。 /OneSide 信頼に含まれるドメインのうち 1 つに対してだけ信頼を追加した り削除することを示します。信頼される側のドメイン (/D パラメ ータで指定したドメイン名) に対して信頼を作成したり削除するに は、キーワード "trusted" を使用します。信頼する側のドメイン に対して信頼を作成したり削除するには、キーワード "trusting" を使用します。このコマンドが有効なのは /Add および /REMove オプションと併用する場合のみで、/Add オプションと併用する場 合は /PasswordT オプションが必要です。 /REAlm 非 Windows Kerberos 領域に信頼を作成することを示します。 /Add オプションと併用する場合のみ有効で、/PasswordT オプショ ンが必要です。 /TRANSitive 非 Windows Kerberos 領域に対してのみ有効です。"yes" を指定す ると推移的な信頼関係が設定され、"no" を指定すると非推移的な 信頼関係が設定されます。どちらも指定しない場合は、現在の推移 状態が表示されます。 /Kerberos ドメインまたはワークステーションとターゲット ドメイン間で Kerberos 認証プロトコルを確認することを指定します。オブジェ クトとターゲット ドメインの両方のユーザー アカウントとパスワ ードを指定する必要があります。 /Force /REMove オプションと併用する場合に有効です。一方のドメインか ら信頼オブジェクトおよび相互参照オブジェクトを削除するとき に、もう一方のドメインが見つからなかったり、対応する信頼オブ ジェクトがもう一方のドメインに含まれていない場合でも、強制的 に削除を行います。ドメインの指定には完全な DNS 名を使用する 必要があります。 注意: このオプションを使用すると子ドメインは完全に削除されま す。 /Quarantine 直接の、出力方向の、既存の信頼でのみ有効です。ドメイン検疫の 属性を設定または設定解除します。既定値は "no" です。"yes" を 指定した場合、認証中に返される承認データに対して許可されるの は、直接信頼されたドメインからの SID のみです。他のドメイン からの SID は削除されます。"yes" または "no" を指定しないで /Quarantine を指定した場合は、現在の状態が表示されます。 /NameSuffixes フォレスト信頼またはフォレストの推移性の非 Windows 領域の信 頼でのみ有効です。"信頼する側のドメイン名" で指定したドメイ ン上の "信頼名" に対する、経路変更された名前サフィックスを一 覧表示します。/UserO および /PasswordO の値を認証に使用でき ます。/Domain パラメーターは必要ありません。 /ToggleSuffix /NameSuffixes と併用し、名前サフィックスの状態を変更します。 先行する /NameSuffixes の呼び出しによって名前エントリの番号 が一覧表示されますが、この番号を指定して、どの名前の状態を変 更するかを示す必要があります。競合状態にある名前は、競合して いる信頼において名前が無効になるまで、状態を変更することはで きません。LSA では名前が常に同じ順序で返されるわけではないの で、このコマンドの前には常に /NameSuffixes コマンドを指定し てください。 /EnableSIDHistory 出力方向のフォレスト信頼でのみ有効です。"yes" を指定すると、 信頼されたフォレストへのユーザーの移行が他のどのフォレストか らも可能になり、ユーザーは SID 履歴を使用してこのフォレスト 内のリソースにアクセスできるようになります。この操作は、信頼 されたフォレスト管理者が十分に信頼されており、ユーザーの SID 履歴属性内にこのフォレストの SID を適切に指定できる場合 にのみ実行してください。"no" を指定すると、移行ユーザーは信 頼されたフォレスト内で、SID 履歴を使用してこのフォレストのリ ソースにアクセスできません。"yes" または "no" を指定しない で /EnableSIDHistory を指定した場合は、現在の状態が表示され ます。 /ForestTRANsitive 非 Windows 領域の信頼でのみ有効で、フォレストのルート ドメイ ンでのみ実行できます。"yes" を指定すると、この信頼はフォレス ト推移性の信頼としてマークされます。"no" を指定すると、この 信頼は非フォレスト推移性の信頼としてマークされます。"yes" ま たは "no" を指定しないで /ForestTRANsitive を指定した 場合は、この信頼属性の現在の状態が表示されます。 /SelectiveAUTH 出力方向のフォレストおよび外部の信頼でのみ有効です。"yes" を 指定すると、この信頼全体で選択的な認証が有効になります。 "no" を指定すると、この信頼全体で選択的な認証が無効になりま す。"yes" または "no" を指定しないで /SelectiveAUTH を指定し た場合は、この信頼属性の現在の状態が表示されます。 /AddTLN フォレスト推移性の非 Windows 領域の信頼でのみ有効で、フォレ ストのルート ドメインでのみ実行できます。指定された最上位レ ベルの名前 (DNS 名サフィックス) を、指定された信頼のフォレス ト信頼情報に追加します。名前サフィックスを一覧にする /NameSuffixes 操作も参照してください。 /AddTLNEX フォレスト推移性の非 Windows 領域の信頼でのみ有効で、フォレ ストのルート ドメインでのみ実行できます。指定された最上位レ ベルの名前の除外 (DNS 名サフィックス) を、指定された信頼の フォレスト信頼情報に追加します。名前サフィックスを一覧にする /NameSuffixes 操作も参照してください。 /RemoveTLN フォレスト推移性の非 Windows 領域の信頼でのみ有効で、フォレ ストのルート ドメインでのみ実行できます。指定された最上位レ ベルの名前 (DNS 名サフィックス) を、指定された信頼のフォレス ト信頼情報から削除します。名前サフィックスを一覧にする /NameSuffixes 操作も参照してください。 /RemoveTLNEX フォレスト推移性の非 Windows 領域の信頼でのみ有効で、フォレ ストのルート ドメインでのみ実行できます。指定された最上位レ ベルの名前の除外 (DNS 名サフィックス) を、指定された信頼の フォレスト信頼情報から削除します。名前サフィックスを一覧にす る /NameSuffixes 操作も参照してください。 /SecurePasswordPrompt 資格情報の指定に、セキュリティで保護された資格情報ポップアッ プを使用します。このオプションは、スマート カードの資格情報 を指定する必要がある場合に使用します。このオプションは、パス ワード値を * と指定した場合のみ有効です。 NETDOM HELP コマンド | MORE ではヘルプ画面が 1 ページずつ表示されます。 コマンドは正しく完了しました。 |