Q&A
クライアント端末にログインする際、明示的にドメインを指定(ドメイン名\ユーザ名)としてログインしていますか?クライアント端末ログイン後、コマンドプロンプトで「whoami」コマンドを実行して、ドメイン名が表示されていれば、ドメインユーザでログインしている証明になります。
Windows Server 2012 R2 StandardのActive Directory環境下で、
ドメイン参加済みのクライアントPCにログイン後、ドメイン環境の共有フォルダにアクセスすると下記のメッセージが表示される現象が起こりました。
「ログオン失敗: アカウントは現在無効に設定されています。」
「システム エラー 1331 が発生しました。」
クライアントPCにログインした時点でAD認証は上手くいっているかと思いますが、
ログイン後、ファイルサーバの共有フォルダへのアクセスを試みると上記エラーが発生します。
該当のADユーザは無効なってなく(無効であればクライアントPC自体にログイン出来ないと思います)エラーの発生原因が不明です。
症状が発生したクライアントPCに他のADユーザでログインした際は共有フォルダにアクセス可能でした。
なお、共有フォルダの権限は誰でも接続できる権限となっています。ADと共有フォルダは兼用しています。
結果としては、エラーとなるADユーザの削除・再作成で解決はしています。
個人的には下記の点を疑っていますが、見当違いでしょうか。
・クライアントPCの固定プロファイル破損に起因するエラーなのか
・共有フォルダアクセス時のプロセスでAD情報との整合性が取れていないのか
・AD認証が上手くいっていないのか(SecureChannel破損等)⇒こちらに関してはクライアントPCドメイン再参加しましたが改善されませんでした。
原因が全く掴めず、このような現象を経験した方からの有力な情報や解決の糸口になる情報など有れば共有頂けますと幸いで御座います。
宜しくお願い致します。
■追記
イベントログをサーバ側、PC側で確認しました結果、
PC側にて、資格情報を明示的に使用するログが残っていました。(イベントID:4648)
この資格情報のアカウントは、共有フォルダにアクセスできないアカウントになっているため、本エラーが発生したのではないかと思っています。ユーザの再作成で資格情報がクリアされエラーの解決に至ったと思います。
ADユーザと資格情報のユーザが設定している場合、意図的に何かをしない限り(Ranasなど)優先されるのはPCログインしたADユーザで共有フォルダへアクセスするかと思っていたのですが、資格情報が使われる契機がよく分からなくなりました。
資格情報が使われる契機についてご存じでしたらご教授頂ければ幸いでございます。
明示的な資格情報を使用してログオンが試行されました。
サブジェクト:
セキュリティ ID: S-1-5-21
アカウント名: ADユーザ名
アカウント ドメイン: ドメイン名
ログオン ID: 0x2b
ログオン GUID: {00000000-0000-0000-0000-000000000000}
資格情報が使用されたアカウント:
アカウント名: ADユーザ名(サーバ側では無効アカウント)
アカウント ドメイン: ドメイン名
ログオン GUID: {00000000-0000-0000-0000-000000000000}
ターゲット サーバー:
ターゲット サーバー名: xxxxx
追加情報: xxxxx
「net user ユーザ名 /domain 」を実行したときに「アカウント有効」が「Yes」と表示されるでしょうか。結果を貼って頂けると回答しやすいです
over様>ご回答ありがとうございます。ドメイン名\ユーザ名でクライアントPCにログインしました。優先対応でADユーザ再作成で復旧させてしまいましたので、「whoami」での確認は取れていません。それ以降発生していないので次回再発時には確認したいと思います。
gitya107様>ご回答ありがとうございます。コマンドでのアカウント有効は確認取れていません。サーバ側からADユーザが無効になっていないことは確認しています。再発時に確認したいと思います。
イベントログをサーバ側、PC側で確認しました結果、 PC側にて、資格情報を明示的に使用するログが残っていました。(イベントID:4648) この資格情報のアカウントは、共有フォルダにアクセスできないアカウントになっているため、本エラーが発生したのではないかと思っています。ユーザの再作成で資格情報がクリアされエラーの解決に至ったと思います。 ADユーザと資格情報のユーザが設定している場合、意図的に何かをしない限り(Ranasなど)優先されるのはPCログインしたADユーザで共有フォルダへアクセスするかと思っていたのですが、資格情報が使われる契機がよく分からなくなりました。 明示的な資格情報を使用してログオンが試行されました。 サブジェクト: セキュリティ ID: S-1-5-21 アカウント名: ADユーザ名 アカウント ドメイン: ドメイン名 ログオン ID: 0x2b ログオン GUID: {00000000-0000-0000-0000-000000000000} 資格情報が使用されたアカウント: アカウント名: ADユーザ名(サーバ側では無効アカウント) アカウント ドメイン: ドメイン名 ログオン GUID: {00000000-0000-0000-0000-000000000000} ターゲット サーバー: ターゲット サーバー名: xxxxx 追加情報: xxxxx
回答2件
0
ベストアンサー
資格情報が優先されて、その情報で認証が通らないときに入力を求められる感じです。
https://technet.microsoft.com/ja-jp/library/jj554668(v=ws.11).aspx
投稿2017/11/07 04:01
総合スコア706
0
イベントログをサーバ側、PC側で確認しました結果、
PC側にて、資格情報を明示的に使用するログが残っていました。(イベントID:4648)
この資格情報のアカウントは、共有フォルダにアクセスできないアカウントになっているため、本エラーが発生したのではないかと思っています。ユーザの再作成で資格情報がクリアされエラーの解決に至ったと思います。
ADユーザと資格情報のユーザが設定している場合、意図的に何かをしない限り(Ranasなど)優先されるのはPCログインしたADユーザで共有フォルダへアクセスするかと思っていたのですが、資格情報が使われる契機がよく分からなくなりました。
明示的な資格情報を使用してログオンが試行されました。
サブジェクト:
セキュリティ ID: S-1-5-21
アカウント名: ADユーザ名
アカウント ドメイン: ドメイン名
ログオン ID: 0x2b
ログオン GUID: {00000000-0000-0000-0000-000000000000}
資格情報が使用されたアカウント:
アカウント名: ADユーザ名(サーバ側では無効アカウント)
アカウント ドメイン: ドメイン名
ログオン GUID: {00000000-0000-0000-0000-000000000000}
ターゲット サーバー:
ターゲット サーバー名: xxxxx
追加情報: xxxxx
投稿2017/11/07 03:53
総合スコア21
あなたの回答
tips
プレビュー
