Active Directory と ファイルサーバへのアクセス

Active Directory と ファイルサーバへのアクセス

すみません、教えてください。

Windows Server 2008 にてADサーバとファイルサーバを構築しております。

ファイルサーバ上に共有フォルダを作成し、AD参加クライアントからアクセスさせてます。

ADサーバが停止時に、クライアントはキャッシュログオンによりWindowsにログインする事はできるのですが、ファイルサーバに接続する事ができません。（できないというか、ID/Password を聞かれます）

問題点は、ADサーバが障害なのであって、ファイルサーバは起動しているのにアクセスできない事です。

よろしくお願いいたします。

No.3 回答者： riveron77 回答日時： 2010/10/02 21:59

#1です。

補足拝見。
思いついた対応とかも書いてしまったので、長文はお許しをｗ

> IDとPasswordを入力すると、

多分アクセス不可の可能性大とは思っていたものの、そういうMSGだと…ちょっと意味不明ですね。情報提供、ありがとうございます。

> 「ADが障害でこけた場合
> ファイルサーバも使えなくなります！」
> とお客様にご説明し、そういうものだと
> 理解してもらうべきですかね・・・

状況の説明としてはそれしかないです(汗)
でも手ぶらで客先に向かうのもあれなので、代替案の用意を。

お客の懐具合やお互いの信頼関係にも拠りますが、
ドメコンを買ってくるのか、それともADをあきらめるのかで対応も変るかと。

ADはもうやめる、となれば以下の作業が発生。
(ご存知でしたらスルーを)。

・ファイル鯖など、必要な鯖をドメインからはずして、ワークグループへ。
・ファイル鯖など、必要な鯖に必要な全ユーザーを登録。
・共有フォルダのセキュリティ設定、共有アクセス権設定を各鯖のユーザーに変更。
・クライアントをドメインからはずして、ワークグループへ。
・クライアントにユーザーを登録。

たかだか5行ですが、クライアント数(≒ユーザー数)と鯖の数、共有フォルダ数により、作業量は鼠算式に(汗)バッチの活用が鍵になりますねｗ

ADを続ける、つまりドメコンを購入なら↑のワークグループ云々は無駄になるかも(汗)
なので、

・ファイル鯖など、必要な鯖に必要なユーザーを登録。
・クライアントから接続するとき、ユーザー＆パスワードを聞かれたら
　　ユーザー名：(ファイル鯖名)￥ユーザー名
　　パスワード：設定したパスワード
で、アクセスできるかも。
※手元にAD環境が無い為、確認しようが無いので…


> アクセス権限を設けていない共有フォルダもあり、
> そちらにはDCが停止している、いないに関わらず
> アクセス出来てもいいのになぁ～

everyoneに対して「フルコントロール」とかやってませんかね(汗)

↑このeveryoneは「ファイル鯖に登録してあるユーザー全て」という意味。もしファイル鯖にユーザーなし(Administratorとか除く)ならアクセス不可かと思われｗ


それから、質問者様に関係あるかも知れない為、愚問を。
規約違反でしたらご容赦を。

#2様。
もしご覧になったら、以下の愚問にお答えいただけると幸甚。

> ADサーバの自動ログオンパッチ

ドメコンが臨終なのに自動ログオンとは？ログオンできるのか、私の少ない経験ではわかりかねます。どのようなものか、URLとかあればご紹介ください。

> Unixサーバ（Sambaサーバ等）ですと、管理が楽なのですが・・・。

Unixに疎い為、甚だ愚問かも知れませんが、Sambaということなので、NAS等を想像します。仮に質問者様の問題の環境にNAS(≒Samba？)が100台あったら、100台個々のNASに対してユーザーを登録する必要があるように思いますがいかがでしょうか？ADの場合、ドメコン1台にユーザーを登録すればよく…もし個々に登録するなら、回答で仰っている「管理が楽」と矛盾してしまう気がしますが…

No.2 回答者： nnori7142 回答日時： 2010/10/02 09:17

　お尋ねの件ですが、クライアントPC側にADサーバの自動ログオンパッチをそれぞれ入れておく形ですと、駄目ですか？

　そのあたり、Unixサーバ（Sambaサーバ等）ですと、管理が楽なのですが・・・。

No.1 回答者： riveron77 回答日時： 2010/10/01 19:26

> できないというか、ID/Password を聞かれます

で、IDとPWDをいれるとアクセスできるのか、できないのか…そのような状況に出くわしたことがないので、是非補足いただけると幸甚。

ID/PWDを聞かれ、入力してもアクセスできないとしたら、それは正しいことかと。

> 問題点は、ADサーバが障害なのであって、
> ファイルサーバは起動しているのに
> アクセスできない事です。

全然問題じゃない気がします。
※AD鯖が障害なのは問題ですが(汗)

AD鯖(ドメコンのことでOKですか？)にユーザーを登録していますよね。で、おそらくファイル鯖はAD鯖のユーザーに対して、アクセス権を設定しているのでは？だとすれば、ユーザーを管理しているAD鯖が参照できないのでアクセス不可。スジが通っている気がします。



ファイル鯖自体にも、AD鯖とは別のユーザーが登録されていて、ファイル鯖のユーザー情報を元にクライントからアクセス、というのなら仰る通りですが、ちょっと想定し辛い状況ですよね。

この回答への補足

早速ご回答戴きありがとうございます！

＞で、IDとPWDをいれるとアクセスできるのか、できないのか…そのような状況に出くわしたことがないので、是非補足いただけると幸甚。

IDとPasswordを入力すると、「入力されたIDは既にログイン済みのIDと同じです．．．」のようなエラーメッセージのポップアップが出ます。

＞AD鯖(ドメコンのことでOKですか？)

はい。

＞おそらくファイル鯖はAD鯖のユーザーに対して、アクセス権を設定しているのでは？だとすれば、ユーザーを管理しているAD鯖が参照できないのでアクセス不可。スジが通っている気がします。

仰る通り、ファイルサーバの共有フォルダにはアクセス権限を設けてます。AD鯖(DC)に作成したユーザのみがアクセスできるように権限を付けました。ただ、アクセス権限を設けていない共有フォルダもあり、そちらにはDCが停止している、いないに関わらずアクセス出来てもいいのになぁ～、、、と思うのですが、ファイルサーバ自体に蹴られてしまいます。

「ADが障害でこけた場合ファイルサーバも使えなくなります！」とお客様にご説明し、そういうものだと理解してもらうべきですかね・・・

補足日時：2010/10/01 20:55