[samba-jp:23020] Re: IPアドレスではアクセスできるのにホスト名ではアクセスできません
nakaml
nakafumi_ml @ yahoo.co.jp
2020年 1月 28日 (火) 13:05:50 JST
こんにちは。
IPアドレスでアクセスできるがマシン名でできない、
共有マシンまではアクセスできているが共有フォルダが開けない、
とすると、ADのケルベロス認証に問題がある気がしますが、
DCを移行した際に、マシン情報を正しく引き継げなかったと仮定して、
ファイルサーバーを一度ドメインから離脱して再参加してみてはどうでしょう。
----- Original Message -----
> From: KOBAYASHI Takashi <t-kobayashi @ organ-ndl.co.jp>
> To: 'Sambaについての様々な質疑応答用' <samba-jp @ samba.gr.jp>
> Cc:
> Date: 2020/1/22, Wed 14:45
> Subject: [samba-jp:23017] Re: IPアドレスではアクセスできるのにホスト名ではアクセスできません
>
> ご返信下さいまして有難うございます。
> PC側のWINSサーバを指定する設定は、移行後のDCである172.30.1.11になっています。このサーバーでWINSも稼働中です。
>
> -----Original Message-----
> From: samba-jp <samba-jp-bounces @ samba.gr.jp> On Behalf Of YANO Takashi
> Sent: Wednesday, January 22, 2020 12:34 PM
> To: samba-jp @ samba.gr.jp
> Subject: [samba-jp:23016] Re: IPアドレスではアクセスできるのにホスト名ではアクセスできません
>
> 矢野です。
>
> PC側のWINSサーバを指定する設定はどうなっているでしょうか。
>
> 2020-01-22 09:01 に KOBAYASHI Takashi さんは書きました:
>> 皆さんこんにちは、小林と申します。
>>
>> ActiveDirectoryのドメインコントローラー(以下DC)を別のサーバーに移行したの
>> ですが、移行後、以前からドメインに参加しているSambaの共有フォルダにIPアドレ
>> スではアクセスできるのにホスト名ではアクセスできなくなってしまい、困っており
>> ます。以前のようにホスト名でアクセスできるようにするにはどうしたらよいか、御
>> 教示を賜りたく、お願い申し上げます。
>>
>>
> ----------------------------------------------------------------------------
>> ------------------------
>> 環境は次のとおりです。
>>
>> ■移行前のDC
>> OS: Windows Server 2008 R2
>> ドメイン名: AD.LOCAL
>> ホスト名: DC1
>> IPアドレス: 172.20.1.11
>>
>> ■移行後のDC
>> OS: Windows Server 2016
>> ドメイン名: AD.LOCAL(変更なし)
>> ホスト名: DC1(変更無し)
>> IPアドレス: 172.30.1.11
>>
>> ■ファイルサーバー
>> CentOS release 6.10 (Final)
>> Samba Version 3.6.23-51.el6
>> ホスト名: FS1
>> IPアドレス: 172.20.1.12
>>
>> ■現象
>> \\dc1でも\\172.30.1.11でも共有フォルダの表示は可能ですが、\\dc1の場合のみ、
>> アクセス権のある共有フォルダにアクセスしても、ユーザー名とパスワードの入力が
>> 求められ、「アクセスが拒否されました」というエラーになります。
>>
>>
> ----------------------------------------------------------------------------
>> ------------------------
>> ファイルサーバーの各種設定ファイルは次のとおりです。
>>
>> ■/etc/hosts
>> 127.0.0.1 localhost.localdomain localhost.localdomain
>> localhost4
>> localhost4.localdomain4 localhost
>> ::1 localhost.localdomain localhost.localdomain localhost6
>> localhost6.localdomain6 localhost
>> 172.30.1.11 dc1.ad.local dc1
>> 172.20.1.12 fs1.ad.local fs1
>>
>> ■/etc/resolv.conf
>> ; generated by /sbin/dhclient-script
>> search ad.local
>> nameserver 172.30.1.11
>>
>> ■/etc/sysconfig/network-scripts/ifcfg-eth0
>> DEVICE=eth0
>> HWADDR=xx:xx:xx:xx:xx:xx
>> TYPE=Ethernet
>> UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
>> ONBOOT=yes
>> NM_CONTROLLED=yes
>> BOOTPROTO=none
>> IPADDR=172.20.1.12
>> NETMASK=255.255.255.0
>> GATEWAY=172.20.1.1
>> DNS1=172.30.1.11
>> IPV6INIT=no
>> USERCTL=no
>> PEERDNS=yes
>>
>> ■/etc/krb5.conf
>> [logging]
>> default = FILE:/var/log/krb5libs.log
>> kdc = FILE:/var/log/krb5kdc.log
>> admin_server = FILE:/var/log/kadmind.log
>>
>> [libdefaults]
>> default_realm = AD.LOCAL
>> dns_lookup_realm = false
>> dns_lookup_kdc = false
>> ticket_lifetime = 24h
>> renew_lifetime = 7d
>> forwardable = true
>>
>> [realms]
>> AD.LOCAL = {
>> kdc = dc1.ad.local:88
>> admin_server = dc1.ad.local:749
>> default_domain = ad.local
>> }
>>
>> [domain_realm]
>> .ad.local = AD.LOCAL
>> ad.local = AD.LOCAL
>>
>> ■smb.conf
>> [global]
>> dos charset = CP932
>> display charset = UTF-8
>> workgroup = AD
>> realm = AD.LOCAL
>> server string = ファイルサーバー
>> security = ADS
>> obey pam restrictions = Yes
>> map untrusted to domain = Yes
>> log file = /var/log/samba/log.%m
>> max log size = 50
>> client signing = required
>> wins server = 172.30.1.11
>> ldap ssl = no
>> host msdfs = No
>> template homedir = /home/%U
>> winbind enum users = Yes
>> winbind enum groups = Yes
>> winbind use default domain = Yes
>> recycle:exclude = *.tmp ~$* *.ldb *.laccdb
>> recycle:maxsize = 0
>> recycle:touch = yes
>> recycle:versions = yes
>> recycle:keeptree = yes
>> recycle:directory_mode = 0775
>> recycle:repository = .recycle
>> idmap config AD : range = 10000 - 69999
>> idmap config AD : base_rid = 0
>> idmap config AD : backend = rid
>> idmap config * : range = 10000 - 69999
>> idmap config * : base_rid = 0
>> idmap config * : backend = rid
>> create mask = 0664
>> directory mask = 0775
>> force directory mode = 02000
>> inherit permissions = Yes
>> inherit acls = Yes
>> nt acl support = No
>> delete veto files = Yes
>> store dos attributes = Yes
>> blocking locks = No
>> oplocks = No
>> dos filemode = Yes
>> dos filetime resolution = Yes
>> fake directory create times = Yes
>> vfs objects = recycle
>> [000掲示板]
>> comment = 000:掲示板
>> path = /data/samba/share000
>> valid users = @AD\dl_samba_users_a, @AD\dl_samba_users_b
>> write list = @AD\dl_samba_users_a, @AD\dl_samba_users_b
>> [900稟議]
>> comment = 900:稟議
>> path = /data/samba/share900
>> valid users = @AD\dl_samba_users_a
>> write list = @AD\dl_samba_users_a
>>
>>
> ----------------------------------------------------------------------------
>> ------------------------
>>
>> グループAD\dl_samba_users_bのメンバーは [900稟議] にはアクセスできないのは当
>> 然として [000掲示板] にはアクセスできる筈ですが、上述のようなエラーが発生し
>> てしまいます。
>>
>> 確認のためのコマンド実行結果は次のとおりです。
>>
>> # nslookup -type=srv _ldap._tcp.AD.LOCAL
>> Server: 172.30.1.11
>> Address: 172.30.1.11#53
>>
>> _ldap._tcp.AD.LOCAL service = 0 100 389 dc1.ad.local.
>>
>> # net ads join -U Administrator
>> Enter Administrator's password:
>> Using short domain name -- AD
>> Joined 'FS1' to dns domain 'ad.local'
>>
>> 以上、どうか御教示を賜りたく、お願い申し上げます。
>
> --
> YANO Takashi
>
samba-jp メーリングリストの案内