• 締切済み

アカウントロックアウトの調査

2000のネイティブシングルドメインです。 クライアントは2000とそれより下位のOS(MS製)があります。 ユーザーのアカウントがロックアウトした場合の調査手順を確立したいと思います。 監査設定もこれから行います。 さてさて本題ですが、ドメインログオンに関するイベントはどのFSMOを持つサーバーのセキュリティログを調査したらよいのでしょうか(どこに記録されるのでしょうか)。 グローバルカタログ、RID、インフラストラクチャ、PDCエミュレータは担当ドメインコントローラが別れています。 下位OSクライアントはログオンの際にPDCエミュレータを使う・・・ネイティブドメインではログオンにグローバルカタログが必要・・・というような断片的な知識から、「はて?」と混乱しています。 実際にテストしてみれば良いのでしょうが、請け負っているお客様のネットワーク環境で、ドメインアドミン権限がなく、監査設定時も調査時も、最低限の権限のみを付与してもらう形になります。 お判りの方、情報をお持ちの方、どうぞよろしくお願い致します。

みんなの回答

  • nta
  • ベストアンサー率78% (1525/1942)
回答No.1

DCとグローバルカタログサーバとの通信が必要になるようですが、Windows2000 Serverはマルチマスタなので認証可能なDCであれば、どこにでも記録されます。 http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/prodtechnol/ad/windows2000/deploy/projplan/adarch.asp  また、監査ポリシを設定したとしても、必ずしもログイン・ログオフイベントを記録するわけではありません。http://www.monyo.com/technical/windows/35.html  PDCエミュレータはパスワードの合否の最終決定権を持っており、他のDCで解決しなかった認証結果が最終的にPDCエミュレータに送られて裁定された後で、拒否・許可の応答が送られる仕組みになっています。近くのDCで認証されればそれでOKです。成功失敗のセキュリティログはそれぞれのサーバに残るはず(これは自信がない)。 アカウントロックアウトについては以下の情報にもご注意下さい。 http://www.monyo.com/technical/windows/01.html

shiiccc
質問者

お礼

ありがとうございます。 2000クライアントおよび下位クライアントのドメインログオンプロセスについてはそれなりに調査したつもりだったのですが、実際のログがどこに記録されるのかがわからなかったものですから皆様のお力をと思い投稿いたしました。 ロックアウト=ログオン失敗ですから、PDCエミュレータか担当DCのどちらかかとは思うのですが・・・ PDCエミュレータという確実回答が出ましたらそのサーバーに対する権限だけを付与してもらう事で調査可能かなと思っておりました。 しかしながら、読み流していた重要点もあらためて確認させていただく事ができ、情報提供には大変感謝しております。 引き続き、どなた様か ・ネイティブモード ・クライアント所属サブネットが複数あり各サブネット内にDC有り ・PDCエミュレータとグローバルカタログが別サーバで、上記サブネット外 ・ドメインアドミン権限あり というような恵まれた環境をお持ちの方がいらっしゃいましたら、是非「ログオン失敗(パスワードエラー)のイベントログはどのサーバーに記録されるか」を教えていただけたらと存じます・・・ 書いていて、回答をいただくのは結構難しいような気がしてきましたが(^^;、気長に待ってみようかと思っております・・・

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Windows
  4. Windows NT・2000

関連するQ&A

  • ドメイン環境のWindowsXPによるRSH実行

    環境) ・ドメコンサーバ: Windows Server 2003,Standard Edition SP1 ・RSH Client: Windows XP Pro SP3 お世話になります。 > C:\> rsh 172.22.45.155 -l DN1000 ACOP 20010000 > 172.22.45.155:接続が拒否されました > rsh: can't establish connection rch clientから監視パトランプ機へのrshコマンド実行で、エラー接続となっており、 エラー内容から、原因がドメインプロファイルによるものか切り分け中です。 一般にドメインプロファイルとは、ドメイン環境内のPC側(今回はWindowsXP)で 設定されるものの様ですが、ドメコンサーバ側でも設定箇所はございますでしょうか? ご存知の方、いらっしゃいましたら、何卒、ご教示下さい。 ちなみに、ドメコンサーバは、以下の役割を設定済みです。 ドメインコントローラー FSMO:スキーママスター FSMO:ドメイン名前付けマスター FSMO:RIDマスター FSMO:PDCエミュレーター FSMO:インフラストラクチャーマスター グローバルカタログサーバー Active Directory 統合 DNS サーバー よろしくお願い申し上げます。

  • セキュリティログ

    監査ポリシーを全て成功と失敗に設定しているのに、セキュリティログには何もありません。 どうすればログを取れるのでしょうか? クライアントはドメインに参加できており、サーバーの共有フォルダを利用でき、pingも通ります。 OSは、 サーバー:2000server クライアント:2000 です。

  • あるドメインのPDC(?)を探す方法

    あるWindowsドメインを管理しているサーバ(PDC?)がどれかを探したいと思っています。 そのドメインにログオンするときのユーザアカウント等を管理しているサーバです。 同じネットワーク上にいるクライアントPC(ドメインに未参加)からコマンド等で分かるものでしょうか?

  • 9x、NT4.0パソコンの2003ドメイン利用条件

    こんばんは。質問させて下さい。mcpの勉強をしていいるのですが、 9x、NT4.0の2003ドメインへのログオン可能条件がうまく理解できません。 赤本の158P~159Pに記載されている内容になるのですが、参加条件として、 ドメイン機能レベルが中間or混在の状態で、「PDCエミュレータまたはNT4.0BDCが利用できる場合」となっているのですが、PDCエミュレータとは、NTドメインの親玉のDCと通信する、一番初めに起動した2003のDCですよね?また、NT4.0BDCとはNTドメイン内の「設定をPDCから受けるだけのDC」ですよね?このどちらかが利用できる場合ということですが、そもそも9xでPDCエミュレータ(2003のDC)を利用できる場合とはどうゆう状態のことを言うのでしょうか?また、BDCが利用できればOKなら、その親玉のPDCが利用できればOKという事にはならないのでしょうか?また、「この場合、2003ドメインとは一方向の信頼関係でしかリソースを利用できない」と記載されているのですが、これは具体的にどうゆうことでしょうか?根本的なところで勘違いしているのかもしれません。識者の方がいらっしゃいましたら ご教授いただけませんでしょうか?何卒、よろしくお願い致します。

  • ルーター越えのブラウジングとDNS

    Windows2000環境(全部2000)のドメイン1つとNTドメインが複数あるネットワークです。 セグメントAに2000ドメインのクライアントがあり、ルータ越えのセグメントBに2000ドメインのドメインコントローラがあります。 2000ドメインクライアントの構成はWINS未使用、DNS使用、NETBT使用、2000ドメインコントローラのLMHOSTS記述なしです。 この環境だと、セグメントAにある2000ドメインのクライアントからブラウジングを行うと自セグメント内しか見えないと思っていたら、実際には他のNTドメインまで見えます。 ブラウジングに関するマイクロソフト等の情報では、ルータ越えドメインコントローラ(ドメインマスタブラウザ)がある場合はセグメントマスタブラウザがWINSかLMHOSTSでドメインマスタブラウザのNETBIOS名であるNETBIOS<1D>の名前解決が出来なければ、そのセグメント内のコンピュータは自セグメント外のブラウジングは出来ないとあります(と解釈しています)。 ちなみに一応申し上げると、セグメントAにある2000ドメインのクライアントはDNSサーバーの設定によってドメインへのログオンは可能です。 クライアントのDNSサーバー設定を外すとセグメント外のブラウジングが出来なくなります。 (よってルーターのブロードキャストスルーはブロックされていると考えます) 2000ドメインのドメインマスタブラウザ=PDCエミュレータだと思いますので、DNSのPDCエミュレータレコードをNETBIOS<1D>の代用として解決し、このような現象になっているのかと推測もしていますが、それに関する資料や情報がありません。 これらはお客さんネットワークなのですが、現象について確実な説明が出来ず窮地に居ます。 どなたが、この辺りに関する資料や情報をお持ちではないでしょうか。 別の解釈や、私の間違い、そして真実についての情報などありましたらそちらもよろしくお願いします。

  • Windows98SE パスワードを求められない

    Windows98SE で、 優先的にログインするネットワーク=Microsoftネットワーククライアント WindowsNTのドメインにログインするにチェック NTドメイン名称の設定 がされていても、パスワードを求められないままログインしてしまいます。 Windowsログオンなのでしょうね。 当然、他のWindows共有フォルダなどにアクセスできません。 そして、一度ログオフすると、ドメインログオンするためのパスワード入力 ダイアログが表示され、その後はNTドメインにきちんとログオンできます。 (ただし、PDCはSambaで構築しています) WinMeのマシンは、すんなり行きます。 なぜ、起動と同時にパスワードが求められないのでしょうか。 PDCがあろうがなかろうが、パスワード入力は求められるはずですよね。

  • Win2000Serverのドメインへのログオン

    Server本体が障害が増えたため、新Serverへ入替を行っています。構成としては、旧Serverと全く同じ構成で新Serverを構築しましたが、クライアントから新Serverのドメインへログオンできませんでした。ログオン時のエラーメッセージが(サーバーが利用できません)と出てきます。クライアントPCを一度administrator権限でスタンドアロンでログオンしマイコンピュータのプロパティでドメインのチェックをはずしてワークグループに直し、再起動後再度ログオンしドメインにチェックを付ければドメインにログオンはできますが、クライアントPCの台数が多いため面倒です。 ワークグループに戻さなくてもサーバーを入れ替えたあとでもすぐにドメインログオンできる方法があれば教えてください。

  • WIN2000からNT4サーバーのドメイン参加ができません

    仕様 PDC WINNT4.0SERVER SP5 クライアント WIN2000PRO SP1 コンピュータ名 PRAC ですPDCは192.168.0.xxxでクライアントは192.168.1.xxxです 手順 PDC にはサーバーマネージャーからコンピュータ名を登録しています PRACにはルータ越えなのでLMHOSTSを書きました サーバー間はPING、UNCパス等も大丈夫なのを確認しましたので ドメインへ参加させようとしたら「ドメイン"XXXXXX"に参加中エラーが 発生しました。指定されたドメインがないかまたはアクセスできません」 と表示されログインできません。管理者権限をもつユーザ名、パスワード を使用しています。どなたかご指導お願いします。

  • NTドメインから2003へ移行後に

    NTドメインの運用を終了するために NT BDCを作りPDCに昇格した後に2000Server(ダミー)にしました。 この2000ServerのActiveDirectoryに2003Server(本番機)参加させFSMOを移行いたしました。 移行が終了した後にダミーの2000Serverを切り離したのですがドメインに参加している一部のXPが 他のマシンで共有している資源が見えなくなるようになりました。(2000では問題なく見えています。) また、イベントビューアーには「  ドメイン SOUMU では適切なドメイン コントローラがありません。  NT4 またはそれ以前のドメイン コントローラはありますが、 このコンピュータがメンバになっている  Windows 2000 またはそれ以降のドメインで認証に使用することはできません。 次のエラーが発生しました:  現在、ログオン要求を処理できるログオン サーバーはありません。 」と エラーが出るようになってしまいました。 大変申し訳ございませんがどのようにしたらいいのか分かる方がいれば教えてもらえないでしょうか?

  • FSMOの時刻同期設定について

    FSMOと子ドメインサーバと時刻同期ができずに困っています。 環境は下記のとおりです。 FSMO    : Windows Server 2008 R2 Standard 子ドメイン  : Windows Server 2008 R2 Standard クライアント : Windows 7 Professional 現在、2台のドメインコントローラーの構成で構築しており、 そのうちFSMOから別のNTPサーバへ時刻同期設定を行おうと思い、 FSMOで下記コマンドを実行しました。 【実行コマンド】 w32tm /config /manualpeerlist:<NTPサーバのIPアドレス>,0x1 /syncfromflags:manual w32tm /config /update 参照URL : http://www.atmarkit.co.jp/fwin2k/operation/winntp01/winntp01_03.html 実行後、w32tm /query /status で確認すると、 FSMOに設定は入っているように見えましたが、 子ドメインサーバの設定がローカルクロックを見るような設定になってしまっており、 FSMOと時刻同期しなくなってしまいました。 子ドメインがFSMOへ時刻同期されなくなってしまった原因がわからず、 あと、調査方法などもわからなかったので、質問させてもらいました。 調べ方、原因などをご存じなかたがおられましたら教えてください。 以上、よろしくおねがいします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する