共有フォルダに接続できない
- 評価
- クリップ 0
- VIEW 13K+
Windows Server 2012 R2 StandardのActive Directory環境下で、
ドメイン参加済みのクライアントPCにログイン後、ドメイン環境の共有フォルダにアクセスすると下記のメッセージが表示される現象が起こりました。
「ログオン失敗: アカウントは現在無効に設定されています。」
「システム エラー 1331 が発生しました。」
クライアントPCにログインした時点でAD認証は上手くいっているかと思いますが、
ログイン後、ファイルサーバの共有フォルダへのアクセスを試みると上記エラーが発生します。
該当のADユーザは無効なってなく(無効であればクライアントPC自体にログイン出来ないと思います)エラーの発生原因が不明です。
症状が発生したクライアントPCに他のADユーザでログインした際は共有フォルダにアクセス可能でした。
なお、共有フォルダの権限は誰でも接続できる権限となっています。ADと共有フォルダは兼用しています。
結果としては、エラーとなるADユーザの削除・再作成で解決はしています。
個人的には下記の点を疑っていますが、見当違いでしょうか。
・クライアントPCの固定プロファイル破損に起因するエラーなのか
・共有フォルダアクセス時のプロセスでAD情報との整合性が取れていないのか
・AD認証が上手くいっていないのか(SecureChannel破損等)⇒こちらに関してはクライアントPCドメイン再参加しましたが改善されませんでした。
原因が全く掴めず、このような現象を経験した方からの有力な情報や解決の糸口になる情報など有れば共有頂けますと幸いで御座います。
宜しくお願い致します。
■追記
イベントログをサーバ側、PC側で確認しました結果、
PC側にて、資格情報を明示的に使用するログが残っていました。(イベントID:4648)
この資格情報のアカウントは、共有フォルダにアクセスできないアカウントになっているため、本エラーが発生したのではないかと思っています。ユーザの再作成で資格情報がクリアされエラーの解決に至ったと思います。
ADユーザと資格情報のユーザが設定している場合、意図的に何かをしない限り(Ranasなど)優先されるのはPCログインしたADユーザで共有フォルダへアクセスするかと思っていたのですが、資格情報が使われる契機がよく分からなくなりました。
資格情報が使われる契機についてご存じでしたらご教授頂ければ幸いでございます。
明示的な資格情報を使用してログオンが試行されました。
サブジェクト:
セキュリティ ID: S-1-5-21
アカウント名: ADユーザ名
アカウント ドメイン: ドメイン名
ログオン ID: 0x2b
ログオン GUID: {00000000-0000-0000-0000-000000000000}
資格情報が使用されたアカウント:
アカウント名: ADユーザ名(サーバ側では無効アカウント)
アカウント ドメイン: ドメイン名
ログオン GUID: {00000000-0000-0000-0000-000000000000}
ターゲット サーバー:
ターゲット サーバー名: xxxxx
追加情報: xxxxx
-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
checkベストアンサー
0
資格情報が優先されて、その情報で認証が通らないときに入力を求められる感じです。
https://technet.microsoft.com/ja-jp/library/jj554668(v=ws.11).aspx
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
0
イベントログをサーバ側、PC側で確認しました結果、
PC側にて、資格情報を明示的に使用するログが残っていました。(イベントID:4648)
この資格情報のアカウントは、共有フォルダにアクセスできないアカウントになっているため、本エラーが発生したのではないかと思っています。ユーザの再作成で資格情報がクリアされエラーの解決に至ったと思います。
ADユーザと資格情報のユーザが設定している場合、意図的に何かをしない限り(Ranasなど)優先されるのはPCログインしたADユーザで共有フォルダへアクセスするかと思っていたのですが、資格情報が使われる契機がよく分からなくなりました。
明示的な資格情報を使用してログオンが試行されました。
サブジェクト:
セキュリティ ID: S-1-5-21
アカウント名: ADユーザ名
アカウント ドメイン: ドメイン名
ログオン ID: 0x2b
ログオン GUID: {00000000-0000-0000-0000-000000000000}
資格情報が使用されたアカウント:
アカウント名: ADユーザ名(サーバ側では無効アカウント)
アカウント ドメイン: ドメイン名
ログオン GUID: {00000000-0000-0000-0000-000000000000}
ターゲット サーバー:
ターゲット サーバー名: xxxxx
追加情報: xxxxx
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 88.31%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる
質問への追記・修正、ベストアンサー選択の依頼
over
2017/10/30 16:11
クライアント端末にログインする際、明示的にドメインを指定(ドメイン名\ユーザ名)としてログインしていますか?クライアント端末ログイン後、コマンドプロンプトで「whoami」コマンドを実行して、ドメイン名が表示されていれば、ドメインユーザでログインしている証明になります。
gitya107
2017/10/30 16:34
「net user ユーザ名 /domain 」を実行したときに「アカウント有効」が「Yes」と表示されるでしょうか。結果を貼って頂けると回答しやすいです
ts_taro_yamada
2017/10/30 16:53
over様>ご回答ありがとうございます。ドメイン名\ユーザ名でクライアントPCにログインしました。優先対応でADユーザ再作成で復旧させてしまいましたので、「whoami」での確認は取れていません。それ以降発生していないので次回再発時には確認したいと思います。
ts_taro_yamada
2017/10/30 16:56
gitya107様>ご回答ありがとうございます。コマンドでのアカウント有効は確認取れていません。サーバ側からADユーザが無効になっていないことは確認しています。再発時に確認したいと思います。
ts_taro_yamada
2017/11/07 12:51
イベントログをサーバ側、PC側で確認しました結果、 PC側にて、資格情報を明示的に使用するログが残っていました。(イベントID:4648) この資格情報のアカウントは、共有フォルダにアクセスできないアカウントになっているため、本エラーが発生したのではないかと思っています。ユーザの再作成で資格情報がクリアされエラーの解決に至ったと思います。 ADユーザと資格情報のユーザが設定している場合、意図的に何かをしない限り(Ranasなど)優先されるのはPCログインしたADユーザで共有フォルダへアクセスするかと思っていたのですが、資格情報が使われる契機がよく分からなくなりました。 明示的な資格情報を使用してログオンが試行されました。 サブジェクト: セキュリティ ID: S-1-5-21 アカウント名: ADユーザ名 アカウント ドメイン: ドメイン名 ログオン ID: 0x2b ログオン GUID: {00000000-0000-0000-0000-000000000000} 資格情報が使用されたアカウント: アカウント名: ADユーザ名(サーバ側では無効アカウント) アカウント ドメイン: ドメイン名 ログオン GUID: {00000000-0000-0000-0000-000000000000} ターゲット サーバー: ターゲット サーバー名: xxxxx 追加情報: xxxxx