[samba-jp:21189] Windows7でドメイン参加は出来てもログオンが出来ない件

Yuuichi Ikeda (SKLC) yuichi @ sklc.co.jp
2010年 10月 12日 (火) 12:44:26 JST 

いけだ@三恵工務店と申します。

掲題の件について質問させてください。
■環境情報
 ・サーバ側OS:Solaris10(64bit)
 ・Samba:3.3.14(ソースからコンパイル)
 ・configureオプション:
  「$ ./configure --prefix=/opt/samba \
    --mandir=/opt/man \
    --with-libiconv=/opt/libiconv --enable-swat \
    --enable-socket-wrapper --enable-nss-wrapper --with-utmp \
    --with-pam --with-automount --with-syslog --with-quotas \
    --with-libsmbclient --with-acl-support」
 ・libiconv:GNU iconv 1.11(ソースコンパイル版)
 ・smb.conf(globalセクションのみ)
  [global]
	unix charset = EUC-JP
	display charset = UTF-8
	workgroup = HOGE
	ldap ssl = No
	server string = UNIX SMB Server
	interfaces = e1000g0
	passdb backend = tdbsam
	pam password change = Yes
	encrypt passwords = Yes
	log file = /var/log/samba/%m.log
	time server = Yes
	server signing = auto
	logon path =
	logon drive = Z:
	logon home =
	domain logons = Yes
	domain master = Yes
	os level = 64
	preferred master = Yes
	security = user
	local master = Yes
	wins support = Yes
	utmp directory = /var/adm/utmpx
	wtmp directory = /var/adm/wtmpx
	utmp = Yes
	admin users = root
	hosts allow = 192.168.1., 192.168.2., 192.168.3., 192.168.100.
 ・クライアント:WindowsXP、Windows7(64bit)
 ・PDCとして構築。BDCは一応作ってはいるが動かしていません。

■本文
上記環境下にてPDCとしてSambaドメインを構築しており、WindowsXPでは問
題なくドメイン参加も出来ますし、ログオンも出来ております。

今回、Windows7への移行をする用件があり、着々と進めております。
Windows7のドメイン参加にあたり、ググったり書籍を見たりして、Windows7
側で以下レジストリを追加変更しました。
> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
> "DomainCompatibilityMode"=dword:00000001
> "DNSNameResolutionRequired"=dword:00000000
> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]
> "RequireSignOrSeal"=dword:00000000
> "RequireStrongKey"=dword:00000000

更に、ローカルセキュリティポリシーのセキュリティオプションにて「LM認
証とNTLM認証、可能な場合はNTLMv2認証を行う」に設定しました。

この結果、ドメインには参加出来たのですが、ログオンしようとすると、
「このワークステーションとプライマリドメインとの信頼関係に失敗しまし
 た。」
と表示され、ログオンが出来ませんでした。

Sambaの「PC名.log」ログを参照すると、
> [2010/10/12 11:43:35,  0] rpc_server/srv_netlog_nt.c:_netr_ServerAuthenticate2(555)
>   _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client WORK-TMP2 machine account WORK-TMP2$
> [2010/10/12 11:43:35,  0] rpc_server/srv_netlog_nt.c:_netr_ServerAuthenticate2(555)
>   _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client WORK-TMP2 machine account WORK-TMP2$
> [2010/10/12 11:43:50,  0] lib/util_sock.c:read_socket_with_timeout(939)
> [2010/10/12 11:43:50,  0] lib/util_sock.c:get_peer_addr_internal(1676)
>   getpeername failed. Error was トランスポートの終端が接続されていません。
>   read_socket_with_timeout: client 0.0.0.0 read error = 接続が相手側によってリセットされました。.

となっており、どうもマシン認証で弾かれているようです。

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=550043
こちらを見ると、どうもSamba3.3.6でFixされているように見えますが、同
じ状況が続いております。

また、
http://blog.kenichimaehashi.com/?article=12600130161
によると、domainsidとlocalsidが一致していないとダメだ、ということで、
net getdomainsidを実行したところ、
> # net getdomainsid
> Could not fetch local SID
と表示され、SIDが取得出来ませんでしたが、どうもこれはLDAPがある前提
なのかなと。

と言うことで、どうにも手詰まりとなってしまいました。
ユーザ数はわずかなのでLDAPは使わず、バックエンドにsmbpasswdを使い、
最近3.3.14を機にtdbsamに切り替えました。
ドメインログオンは必須要件ではないので、出来ないのであれば、それはそ
れで割り切った構築をしようと思っておりますが、出来ればドメインメンバ
としてログオンさせたいと思っております。

Sambaの最新版3.5.6を導入したところ、WindowsXP環境でドメインログオン
出来なくなってしまい、元に戻しました。
どうも3.4.0から大きな変更があったようなので、それまで使用していた3.3
系列の最新版3.3.14で可能であればそれがベストかなと。
3.4系列は3.5の問題の再来が怖く、まだ試していません。

…以上、ざっくりと必要と思われる情報とステータスを書き連ねましたが、
皆様のお知恵を拝借いたしたく存じます。

足りない情報や手順があればご教示いただければ幸いです。

以上、よろしくお願いいたします。

=============================================================
  Information-system part.
  Sankei-Koumuten Co.,Ltd.
  Yuuichi Ikeda
  Mail:yuichi @ sklc.co.jp
  Tel.+81-3-3623-6474  Fax.+81-3-3623-6475
  Our company promotes "Team minus 6 percent"
  jus, Hatena Joined member.
  LPIC-2 Certified.
=============================================================

samba-jp メーリングリストの案内