質問内容

タイトルの通りなのですが、PL/SQLで別サーバへのファイル書き込みが「ORA-29283: 無効なファイル操作です。」によってエラーになります。
原因や権限設定で他に確認すべきことをご教示お願いいたします。

ソース

処理が終了したことを示すファイルなので、中身は空です。

sql
1   WK_FILENAME := 'complete_' || TO_CHAR(SYSDATE, 'yyyyMMddHHmmss') || '.csv; 
2   WK_FILEHANDLE := UTL_FILE.FOPEN( 'target_dir', WK_FILENAME, 'w' );
3   UTL_FILE.NEW_LINE(WK_FILEHANDLE);
4   UTL_FILE.FCLOSE(WK_FILEHANDLE);

結果

UTL_FILE.FOPENの'target_dir'のパスによって変わります。

CREATE DIRECTORY target_dir AS 'C:/tmp';
→成功する
CREATE DIRECTORY target_dir AS 'L:/output/csv';
→ORA-29283
CREATE DIRECTORY target_dir AS '//10.90.X.XX/output/csv';';
→ORA-29283

上記のように、C直下のローカルディレクトリを指定した時は問題なく実行でき、同じディレクトリに別のパスで指定した場合に権限エラーになります。
※Grantでディレクトリに対しread, write権限を付与しております。

確認したこと

・書き出し先のサーバへエクスプローラーからアクセスできること。
・タスクマネージャーでoracleの実行ユーザを確認するとSYSTEMなので、割当したLドライブへの権限もフルコントロールを設定されていること。

確認したこと

接続元：windows server 2003
接続先：windows server 2016
接続元がDBサーバなのですが、確認はadminユーザで行いました。
PL/SQLは自分の端末のクライアントツールで行なっています。

dameo

2022/12/06 11:43

Windowsサーバーで動作させてるoracleはまともに触ったことがありません。経験のないことで全然見当違いなことだったらすみませんが、調べた限りではネットワークドライブの割当はユーザーごとだとかで(正式文書見つけられてません)、oracleの実行ユーザーとは違うためにドライブが見えてないのではないかと思います。UNCでそのまま記述すると実は行けるとか書いてある記事もありました。とりあえず同じような現象の報告を載せておきます。 https://community.oracle.com/tech/developers/discussion/2423637/sys-utl-file-ora-29283-invalid-file-operation-on-windows-system

haraoji

2022/12/06 12:36

ありがとうございます。おっしゃるようにネットワークドライブの割当がユーザごとなので、私が確認に使ったユーザとoracleの起動ユーザが別なのでアクセスできていないようです。リンクのコミュニティの内容も確認して何か手がかりがないか確認させていただきます。

Orlofsky

2022/12/06 21:31

この件はオラクル・サポートに質問したことがあります。オラクル・サポートの了解を得ない限りサポートからの回答は公開できません。直接オラクル・サポートに問い合わせては？要サポート契約。

回答1件

まず、ネットワークドライブ(L:)に関してですが、この情報はPCではなく、ユーザが持っており、他のユーザのものを参照できません。

次に UNC でのアクセスに関してですが、SYSTEM アカウントは他のマシンのリソースにアクセスできません。
サービスを起動するアカウントを Administrator 権限を持つ他のものに変更するとアクセスできるようになるようです。

変更したアカウントでサーバーにログインし、ネットワークドライブの接続を行えば、サービスを再起動したときにネットワークドライブも使えるようになるかもしれません。

追記

共有フォルダに NULL セッション（匿名アクセス）を許可するとアクセスできるようです。
「ネットワークセキュリティ: LocalSystem による NULL セッションフォールバックを許可する」
https://learn.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-security-allow-localsystem-null-session-fallback

投稿2022/12/06 11:57

編集2022/12/06 23:18

KOZ6.0

総合スコア2292

回答へのコメント

haraoji

2022/12/06 12:48 編集

ありがとうございます。・私が確認したAdmin権限のユーザとSystemは別ユーザなので、systemユーザは参照できるようになっていない。・SYSTEM アカウントは他マシンのリソースにアクセスできないので、oracleがSYSTEMユーザで起動されているので起動ユーザを変更しないとアクセスできない。このように理解しました。oracle等サーバ管理は別の人が担当しているため、現状の起動設定だと難しいことお伝えし別手段も視野に入れて検討したいと思います。

dameo

2022/12/06 13:01

とりあえずこんな記事(ただし古い)を見つけたのですが、「SYSTEM アカウントは他のマシンのリソースにアクセスできません」は本当なのでしょうか？ https://atmarkit.itmedia.co.jp/ait/articles/0905/08/news095.html マイクロソフトの資料だとやはりよくわかりません。 https://learn.microsoft.com/ja-jp/windows/security/identity-protection/access-control/local-accounts#sec-localsystem ※手元にWindowsは1台しかなく、確認できない

haraoji

2022/12/06 14:52

先ほどのコミュニティ以外にも調査いただきありがとうございます。確かに「ネットワークリソース（ネットワークを経由して利用するリソース）にも、ローカルのコンピュータアカウントの資格情報でアクセスできる」と書かれてますね。。 SYSTEMアカウントについてはドキュメントも曖昧ですし、他のユーザのようなログインもできないため調査が難しいように感じました。コミュニティの投稿者も最終的には別の手段を探すと書いておりますので、別の手段が現実的ではと考えておりますが、明日サーバ管理者に相談してみます。

KOZ6.0

2022/12/06 15:47

こんな書き込みがありますが、リンク先の多くが消滅しちゃってますね・・・ https://social.msdn.microsoft.com/Forums/windows/ja-JP/5a04ab56-3a30-4bdb-8070-4afd3a190870/12525125401245912523124711247312486125121245012459124541253112?forum=windowsgeneraldevelopmentissuesja ドメインコントローラ上の Local System アカウントは例外でドメインすべてのリソースにアクセスできるようです。

dameo

2022/12/06 23:52

この辺だとできそうな感じに書かれています。ただ自分で確かめられないので分かりません。 https://superuser.com/questions/1319097/share-folder-with-system-user-from-another-machine https://learn.microsoft.com/en-us/answers/questions/793838/system-account-can-access-shares-without-explicit.html 確認手段としてはドメイン環境でフォルダ共有して、所定のコンピュータのローカルシステムアカウントに対してアクセス権を付けたら、アクセスできるかどうか？だと思います。とりあえず質問には「タスクマネージャーでoracleの実行ユーザを確認するとSYSTEMなので、割当したLドライブへの権限もフルコントロールを設定されていること」とあったので、確認済みなのかと思ってましたが…

KOZ6.0

2022/12/07 03:37

ActiveDirectory に所属している全てのマシンの SYSTEM ユーザーがドメインに対して完全なアクセス権をもつ？これが出来たら相当悪辣なことが出来ると思うんですが・・・ RDSサーバーが AD を兼ねてたんじゃないでしょうか。

KOZ6.0

2022/12/07 03:41

あ、上のリンクを見てませんでした。なんだか出来そうな感じですね。