ドメインにログインするのにタイムアウトありますか？

ADドメインで運用しているのですが、
クライアントのパソコンを起動してから、
ログインするまでに２～３分くらい遅れると
ログインできない現象が起こります。

起動してからログインするまでに時間をかけなければ
ログインは正常に動作しますし、
その他のドメイン設定も有効なのですが、

ドメインにログインするまでの
タイムアウト設定などがあるのでしょうか？



どなたか知っている方、いましたら教えてください。
よろしくお願いします。



[環境]
サーバー：Windows2008server R2 (Active Directry)
クライアント：WindowsXP SP1 or SP2
※ファイル・プリントサーバとして使用しています。
※DHCP・DNSサーバーも兼用しています。

No.5 ベストアンサー 回答者： maesen 回答日時： 2011/10/05 13:39

＞ID=18 「このワークステーションとプライマリドメインとの信頼関係に失敗しました」＞なぜ、信頼関係に失敗するのでしょうか？

＞何か設定の確認ありますか？

信頼関係を確認するのは以下のコマンドで出来るのですが、クライアントがXPなのでこのコマンドはXPでは標準コマンドではないのでサポートツールをインストールしないならないです。（信頼関係に問題があるのは間違いないと思うのでこのコマンド実行は重要ではないでしょう）
nltest /SC_VERIFY:ドメイン名

それで信頼関係の失敗はいろいろ原因はありますがほとんどの場合はコンピュータアカウントのパスワード不一致です。
コンピュータアカウントのパスワードというと「えっ」と思われるかもしれませんがActiveDirectory（以下、AD）ではコンピュータアカウントにパスワードを持っていて定期的にパスワード変更も行っています。
これはきちんとドメインに参加したPCと、コンピュータ名を詐称して同じ名前のコンピュータ名で正規のPCになりすますようなセキュリティ問題に対応するためのものです。

なぜパスワードの不一致が発生したかは今となっては追及は難しいですね。

この状態を是正する一番簡単な方法はドメインに参加し直すことです。
手順はこんな感じ。
・該当PCをドメインからワークグループに変更する（ドメイン離反）
・DCで該当PCのコンピュータアカウントを削除
・該当PCをワークグループからドメインに変更する（ドメイン参加）

＞フォレスト、ドメインも新規に作成しました。
＞ただし、元々別のDCサーバが有り、入れ替えで新規サーバを設置しました。
＞元々はWin2000server によるADから
＞サーバ名を同じのWin2008serverR2に入れ替え
＞ドメイン設定は手動で新規作成して入れ替えをしました。
＞クライアント側のユーザ名やパスワードも変えたくなかったので、

残念ですが、ドメインコントローラのサーバー入替時の移行手順が正しくありません。
正しくは同じように設定するのではなくドメインの情報全てを新しいサーバに複製するような形で移行します。（実際の手順はもう少し複雑です）

問題点の大本はここにあるのかもしれません。
移行をやり直すわけにはいきませんが、上に書いたクライアントのドメイン参加のやり直しでほとんどが是正されるはずです。

この回答への補足

いろいろな助言ありがとうございます。


指摘された通り
ドメインに参加し直すことで現象は直りました。
※ログオンできなくなる現象も時間の同期サーバに接続できない現状も。


調査方法に関しても、いろいろ伝授していただいて、
すごく勉強になりました。
自分があまり知らずに適当に作業していたことが
浮き彫りになって恥ずかしい限りです。


＞残念ですが、ドメインコントローラのサーバー入替時の移行手順が正しくありません。

確かに正しい手順ではないのは薄々分かっていましたが、
Win2000server SP1でインターネット環境に接続できないPCでしたので、
アップデートもできず移行ツールを使うのを断念しました。
それが、今回のような問題を引き起こしましたみたいですね、、　残念です。


実は、他にも問題ありますので、改めて質問しようと思います。


長い間、お付き合い頂いて本当にありがとうございます。

また機会ありましたら、よろしくお願いします。

補足日時：2011/10/06 13:29

この回答へのお礼

長い間、お付き合い頂いて、

いろいろ伝授していただいて、

本当に助かりました。　ありがとうございます。

ぜひぜひ、また別の機会ありましたら、よろしくお願いします。

本当にありがとうございます。

お礼日時：2011/10/06 13:31

No.4 回答者： maesen 回答日時： 2011/10/04 17:47

＞私のレベルが低く、手間をとらせています。

そんなことはないです。
今回の不具合は結構難しい事象だと思います。

＞net timeコマンドで同期サーバーを確認しましたが、

時刻同期関係の内容を確認するにはw32tmコマンドを使用して下さい。
下記のコマンドでドメイン内に同期するか否かがわかります。
w32tm /dumpreg /subkey:Parameters

ドメインのメンバコンピュータはTypeの内容が以下のようになっているはずです。
Type REG_SZ NT5DS

実際にどのサーバに接続しているかはイベントログを参照します。
イベントソースがw32timeで、正常ならばイベントIDが35とか37とかが出ます。
そのイベント内容で同期元のサーバがわかるはずです。

＞ずれていました。1分30秒早いパソコンと
＞1分早いパソコンと15分早いパソコンがありました。

時刻を手動で合わせても問題は解決しなかったとのことですが、
このように時刻がずれているのはおかしいですね。
前にも言いましたがDCとクライアントの時刻は通常有っているはずです。
おそらくイベントログ（システム）にw32timeのエラー及び警告があるでしょう。

時刻同期をさらに言うと、DCの中のPDCエミュレータを外部ソース（インターネットや原子時計など）と同期させ、それをDCを通じてドメイン全体と同期させるようにします。
今回の問題にはちょっと関係ないですが。

＞ログオン不可になった状態から１分待って、
＞パスワード入力するとログオンできました。
＞ログオン不可にする時間をずらしても
＞1分待って入力するとログオンできました。（2台中2台）

なぞは深まるばかりですね。

念のため確認しますが、ドメインコントローラは質問の[環境]に記載されたサーバ1台のみでしょうか？
また、このサーバは新規フォレスト・新規ドメインでドメインコントローラにしましたでしょうか、それとも追加ドメインコントローラで構築しましたでしょうか。

＞同期させるDC側の設定・確認方法分かりましたら、教えてください。

特別な設定はありません。
Windows Timeサービスが開始しているかぐらいでしょうか。
あと、Windowsファイアウォールの影響を受けますので一時的にファイアウォールを無効にして検証を行うのも一つの方法だと思います。

この回答への補足

重ね重ね回答ありがとうございます。

指摘していただいた内容と質問の回答ですが、



＞w32tm /dumpreg /subkey:Parameters
＞Type REG_SZ NT5DS

”NT5DS”となっていました(3台中3台)

イベントログのチェックですが、
正常なクライアント1台はID=35 でDCのIPアドレスと同期していました。（正常）
ログオンできなくなるクライアントは、
ID=18 「このワークステーションとプライマリドメインとの信頼関係に失敗しました」
ID=29 「タイムソースから時間を取得するようにNtpClientは構成されていますが、
　　　　どのソースも現在アクセスすることはできません」
の警告とエラーがでていました。（異常）

maesenさんの指摘の通り、時間同期が正常に行われていないのが
原因のようです。

なぜ、信頼関係に失敗するのでしょうか？
何か設定の確認ありますか？
分かりましたら、教えてください。



＞ドメインコントローラのサーバ1台のみでしょうか？
＞また、このサーバは新規フォレスト・新規ドメインでドメインコントローラですか？

サーバは1台のみです。
フォレスト、ドメインも新規に作成しました。
ただし、元々別のDCサーバが有り、入れ替えで新規サーバを設置しました。
元々はWin2000server によるADから
サーバ名を同じのWin2008serverR2に入れ替え
ドメイン設定は手動で新規作成して入れ替えをしました。
クライアント側のユーザ名やパスワードも変えたくなかったので、
同じにして移行してるので、気持ち悪い（クライアント側にはゴミがありそうな）
感じはしています。

一様、ファイルサーバ、プリントサーバとしては機能していますが、
時々、接続不良が発生する問題はあります。
接続不良が発生しなければ、何食わぬ顔で機能しています。


実は、その時々おこる接続不良も治したいですけど、、、、、
分かっていません。
情報が小出しで申し訳ないです、、、、



＞Windowsファイアウォールを一時的に無効にして検証
午後からやってみます。



よろしくお願いします。

補足日時：2011/10/05 11:59

この回答へのお礼

本当に、重ね重ね回答ありがとうございます。

お礼日時：2011/10/05 12:01

No.3 回答者： maesen 回答日時： 2011/10/03 13:15

＞Kerberos認証　誤差５分の設定は、変更または設定確認できるんでしょうか？

＞知っていたら教えてください。

グループポリシーの設定の一部ですので変更は可能です。
ドメインにリンクするポリシーで設定します。（通常はDefault Domain Policy）
設定は以下の項目になります。
「コンピュータの構成」－「Windowsの設定」－「アカウント ポリシー」－「Kerberos ポリシー」－「コンピュータの時計の同期の最長トレランス」

確認は基本的に上記のグループポリシーの設定値を確認します。
グループポリシー管理コンソールで確認すればいいでしょう。

前の回答にも書きましたが、通常ドメインコントローラとクライアントは時刻が同期されているはずなので、この設定はデフォルトの5分から変更は一般的にはしません。

＞○nslookup：あまり使ったことがないので結果が正しいか
＞　　　　　　判断難しいですが、priority や port や hostnameは、
＞　　　　　　返ってきました。

おそらく正常にSRVレコードが返っていると思います。
ネットワーク上の問題はなさそうです。

私が挙げたチェック項目が全てOKでもエラーが出るとなるとちょっと厳しいですね。

この回答への補足

回答ありがとうございます。
私のレベルが低く、手間をとらせています。

Kerberos認証の設定確認　ご教授ありがとうございます。
確認したところ、5分になっていました。
試しに30分に変更しました。（変化なし）


クライアントとDCの時間を確認したところ、
ずれていました。1分30秒早いパソコンと
1分早いパソコンと15分早いパソコンがありました。
net timeコマンドで同期サーバーを確認しましたが、
登録は、ディフォルトのtime.windows.comでした。
時間を合わせて、試しましたが、
ログオン不可の状況は改善しませんでした。


コンピュータクライアントをDC上から削除の件ですが、
試しましたが、改善はされませんでした。（1台のみテスト）


3台のクライアントPCで試して分かったのですが、
問題ないPCもありました。（3台中 1台）

ログオンできなくなる時間にも差異がありました。
PCのスイッチONからの時間で、
PC(1) :2分30秒～ ログオン不可
PC(2) :2分00秒～ ログオン不可
※初回パスワード入力までの時間で
　2分, 2分30秒, 3分, 3分30秒, 6分でテスト。
※両方ともログオン画面表示まで約50秒でした。

ログオン不可になった状態から１分待って、
パスワード入力するとログオンできました。
ログオン不可にする時間をずらしても
1分待って入力するとログオンできました。（2台中2台）




ログオンできない状態には、規則はありそうなのですが、
さっぱり、原因が分かりません。
何か他に分かりましたら、よろしくお願いします。

同期させるDC側の設定・確認方法分かりましたら、教えてください。

補足日時：2011/10/04 11:35

この回答へのお礼

何回も回答ありがとうございます。
レベル低いですがよろしくおねがいします。

お礼日時：2011/10/04 17:41

No.2 回答者： maesen 回答日時： 2011/09/30 12:59

＞「ログオン メッセージ ドメインに接続できません。

ドメインコントローラがダウンしているか利用できない状態になっている。またはコンピュータアカウントが見つからなかったことが原因として

原因となりそうな部分のチェック項目を挙げてみます。
レベルの低い内容も含まれていますがご了承ください。

チェックはログオン出来ない端末にローカル管理者でログオンして実施すればいいです。

・クライアントからドメインコントローラ（以下、DC）にpingが通るか
この時ターゲット名はFQDNで指定して下さい。

・クライアントのDNS設定は正しいか
ipconfig /all コマンドの結果でDNSサーバーの項目がADを管理しているDNSのみになっているか
（構成から判断するとここはDCのIPアドレスになっているはず）

・DCの検索が正しく行われるか
コマンドプロンプトなどからnslookupコマンドを実行し、以下のサブコマンドを実行する。
>set type=srv
>_ldap._tcp.ドメイン名
2行目はドメイン名がexample.comならば_ldap._tcp.example.comになります。
正常にDCの検索出来ればSRVレコードの内容などか返ってきます。

ここまでで問題が無ければ、ネットワークの問題の可能性は低くなりますので、コンピュータアカウントのチェックです。

・ログオンに問題があるコンピュータのコンピュータアカウントはDC上に存在するか

・クライアントのコンピュータ名は重複していないか
ADではコンピュータ名はユニークである必要があります。

・クライアントをADから離反し、該当コンピュータアカウントをDC上から削除したのち再度ADに参加して、ログオンの問題が発生するか

あと、
＞時間の同期などは特に設定を変えてません。

ちょっと言葉足らずで申し訳ありません。
ご存じかもしれませんが、ADではクライアントとDCの時刻が5分以上食い違うとログオン認証（Kerberos認証）が出来ないようになっています。
通常、クライアントがドメインに参加すると自動的にWindowsの時刻同期の設定がDCと同期するように変更されます。

しかし、フリーソフトなどを常駐させてDC以外のソースから時刻同期すると時刻の違いが出る場合が出てきます。
こういう可能性がありませんかという質問でした。

一応、ログオンでエラーが出たクライアントにローカルユーザーでログオンして、そのクライアントとDCの時刻をチェックした方がいいですね。（何台かでチェックしたほうがいい）

＞実は、タイムアウトとゆうよりそもそもドメイン参加に失敗するのでしょうか、、、、＞２～３分遅れるとできなくなるんですがねぇ、実はただの勘違いでしょうか、、、、

タイムアウトということではないと思いますが、単純にドメイン参加に失敗したとは思えないです。
ドメイン参加の失敗ならば参加するときになんらかのエラーが出ると思いますので。

補足で回答して頂いたエラーメッセージは通常は出ませんので勘違いということはないと思います。

この回答への補足

またまた、親切な回答ありがとうございます。

確認内容を調べました。

＞クライアントからドメインコントローラ（以下、DC）にping
○ping：疎通しました。

＞クライアントのDNS設定は正しいか　ipconfig
○ipconfig:ADのIPアドレスのみでした。

＞DCの検索が正しく行われるか
○nslookup：あまり使ったことがないので結果が正しいか
　　　　　　判断難しいですが、priority や port や hostnameは、
　　　　　　返ってきました。

＞ログオンに問題があるコンピュータのコンピュータアカウントはDC上に存在するか
○コンピュータアカウントはDC上に存在はしました。

＞クライアントのコンピュータ名は重複していないか
○コンピュータ名の重複はありませんでした。

＞クライアントをADから離反し、該当コンピュータアカウントをDC上から削除
○コンピュータアカウントをDC上から削除したのち再設定は、
　本日できなかったので、来週試してみます。

＞クライアントとDCの時刻をチェック
○DCとクライアントの時間も確認、忘れてました。来週試してみます。

＞フリーソフトなどを常駐させてDC以外のソースから時刻同期すると時刻
○時間を変更するようなフリーソフトは入っていませんでした。



Kerberos認証　誤差５分の設定は、変更または設定確認できるんでしょうか？
知っていたら教えてください。


他にも、確認することありましたら、ぜひ教えてください。

本日は、会社を退社して確認できませんが、

来週、確認したいと思ってます。
よろしくお願いします。

補足日時：2011/09/30 20:59

この回答へのお礼

何回も回答ありがとうございます。
レベル低いですがよろしくおねがいします。

お礼日時：2011/10/04 17:41

No.1 回答者： maesen 回答日時： 2011/09/29 13:49

＞ドメインにログインするまでの

＞タイムアウト設定などがあるのでしょうか？

クライアントPCを起動してからログオンするまでの時間の制限は聞いたことがありません。
これはそのドメインに参加しているクライアント全てで発生するのでしょうか？

また、ログオン出来ない場合どのようなエラーメッセージが出ますでしょうか？
（メッセージ全文があるといいです）

ログオン関係の制限としては、
ログオン時間（例えば8:00から18:00の間のみログオン可能）
ぐらいだと思います。

＞クライアントのパソコンを起動してから、
＞ログインするまでに２～３分くらい遅れると
＞ログインできない現象が起こります。

ちょっと不可解な現象ですね。
２～３分というのが、また不思議な時間です。
ちなみにドメインユーザーではなくローカルユーザーでローカルコンピュータにはログオン出来るのでしょうか？

PC起動後の２～３分の間にネットワーク系の設定が変わるような事象があるとか、時刻が別のソースに同期してしまうとか、なにかがありそうな気がします。

この回答への補足

回答ありがとうございます。


質問の回答ですが、


＞クライアントPCを起動してからログオンするまでの時間の制限は聞いたことがありません。
＞これはそのドメインに参加しているクライアント全てで発生するのでしょうか？

私のテストしたクライアントPCで発生してますので、ほぼ全てです。




＞また、ログオン出来ない場合どのようなエラーメッセージが出ますでしょうか？
＞（メッセージ全文があるといいです）

「ログオン メッセージ ドメインに接続できません。ドメインコントローラがダウンしているか
利用できない状態になっている。またはコンピュータアカウントが見つからなかったことが原因として
考えられます。後でやり直してください。できない場合は管理者に連絡してください」がでます。

私が管理者なので、どうしたものかですわ（笑）

それで、昨日、いろいろと試してみたら、ログオンできない状態からしばらくしてから

再度ログオンしたらできる時もありました。（できない時もあり）

実は、タイムアウトとゆうよりそもそもドメイン参加に失敗するのでしょうか、、、、

２～３分遅れるとできなくなるんですがねぇ、実はただの勘違いでしょうか、、、、




＞ちなみにドメインユーザーではなくローカルユーザーでローカルコンピュータにはログオン出来るので＞しょうか？

ローカルにはログインできます。



力足らずですが、自分でサーバー初期セットアップからやってますので、

設定はディフォルトだと思います。

時間の同期などは特に設定を変えてません。


なにかあやしい箇所・気になる箇所ありますか？

補足日時：2011/09/30 10:24

この回答へのお礼

何回も回答ありがとうございます。
レベル低いですがよろしくおねがいします。

お礼日時：2011/10/04 17:41