サーバーとの信頼関係が破局を迎えました

RINKASAではパソコンが数十台規模で稼働しています。データの管理はNASを配置して一元管理をしています。NASにはActive Directory互換のユーザー管理機能があるので、NASのドメインコントローラーを有効にしてユーザー認証と権限の管理を行っています。

そして悲劇は突然やってきます。ある日、Domain Controllerとして利用していたNASが不調を起こし始めました。バックアップサーバーを立てているので、データは問題なかったのですが、バックアップサーバーをDCにしたところ、多くのPCでログインできない事態が発生しました。どうやらクライアントからバックアップサーバーは違うドメインという認識となってしまった様子です。(そもそもそんなところで設定をミスるな!)

前置きが長くなりましたが、今回はドメイン間のユーザープロファイルを保持したままの移動方法をご紹介したいと思います。ちなみに、新規にドメインを立ててユーザープロファイルを引き継ぎ、その逆にも応用できます。

このあたりの情報があまりネット検索でもヒットしなかったため、自分の忘備録記事です。

必ずやっておくこと

個々のPCに必ずアドミニストレータ権限のユーザーを作成しておいてください。AD環境でローカルプロファイルを通常使用することはないと思いますが、DCとの信頼関係が破局を迎えている場合は、ローカルでのAdmin権限がないと手も足もでません。通常はAdministratorは無効化されていると思うので、新規PCのセットアップ時にはしっかりとパスワードを設定して有効化するか、新たにAdmin権限のユーザーを作成しておいてください。

まずないと思いますが、ローカルユーザーにAdministrator権限がない場合はこのあたりの情報が役立つと思います。セーフモードで再起動してnetコマンドでユーザーを追加します。

過去にドメイン環境でAdmin権限のユーザーでログインしていた場合は。ネットワークを切断した状態(WifiやLANケーブルを引っこ抜いた状態)だと、さくっとAdmin権限のユーザーでログインできたりします。この状態でADのユーザーでログインすることもできます。NASにも普通にアクセスできるので、とりあえず普通に使用することはできます。

いずれかの方法でローカルのAdmin権限のユーザーを作成して次に進みます。

ドメインコントローラーとの信頼関係の確認

このあたりはネット検索ですぐに出てくるので、詳しくは書きませんが、以下のコマンドを問題のあるクライアントで管理者権限のCMDかPowerShellで実行します。

nltest /sc_verify:<ドメイン名>

問題があると次のように表示されます。

C:\>nltest /sc_verify:hogehoge.local
フラグ: 80
信頼された DC 名
信頼された DC 接続状態 Status = 5 0x5 ERROR_ACCESS_DENIED
信頼の確認 Status = 5 0x5 ERROR_ACCESS_DENIED
コマンドは正常に完了しました

「コマンドは正常に完了しました」と表示されますが、正常に完了したのはnltestコマンドで、ADの信頼関係はよく見ると、信頼されたDC名が表示されていなかったり、DENIEDと拒否されています。DCとの信頼関係が破綻していることがわかります。

信頼関係を結ぶには?

信頼関係の再構築にはざっくりと分けて次の2つの方法があります

  1. 修復コマンドを使用する
  2. ドメインに参加し直す

このあたりの情報はネット上にごろごろしているので、検索していただければと思います。ただ、相手がWindowsServerではなく、NASのためうまくいかなかったり、ユーザー環境をうまく引き継げなかったりするので別の方法で対策しています。

デスクトップ環境を維持したままドメインに参加

Google先生にいろいろ聞いてみたりしても、ネット上には有用な情報が転がっていなかったので、力技でForensiT社が提供しているUser Profile Wizardというソフトを使用します。

User Profile Wizardというソフトの無料で使用できるPersonalEditionでは、ローカルユーザーの環境を維持したままドメインに参加したり、ドメイン間で環境を維持したままユーザー移動ができます。

本来はセキュアチャネルが壊れている際に使用するツールではないので検索に引っかからないのかもしれません。詳しい使用方法はこちらの「レミのよもやま話」さんのこの記事が詳しく説明されているので御覧ください。

最後に

そもそも、ADを使いような規模じゃないとか、データはクラウドでしょ!とかいろいろな声が聞こえてきそうですが、複数拠点になっていたり、サーバーが乱立していたり、データベースが走ってたり、やたら写真データが多かったりすると、権限の管理や通信速度を考慮するとなかなかクラウドへの移行もしずらいし、何らかのディレクトリサービスを走らせていないと管理が非常にめんどい!ということでこのような環境となっています。

また、この問題はすぐに症状が出るPCとしばらく経ってから症状が出るPCがいるため、問題が長期にわたって発生し続けました。また、応急的な対処方法として、「ネットワークケーブルを抜け!」と指示したために、いつまでもネットワークケーブルを引っこ抜いてログインしているひともおり、しばらくはサーバーログとのニラっメッコでした。ドメイン環境は冗長性が大切というのは知ってはいたけど、改めて再認識されられました。

仕事のこと

Posted by A.K.