チャブーンです。
#いろんな意味で「う〜ん」です...
まず、この障害ですが、(パスワードを手動で変えたときに問題が起こることはあるのですが)、日数が過ぎると問題が発生して、パスワードを変えると直る、ということはあまりないので、基本的に情報を集めるのは難しいと思います。
状況から、したの 2 つの可能性はあり得ます。でも、どちらも可能性としてはとても低いので、この状況だけでは何が正しいのか、正直わからない状態です。すぐにきちんと直したい、というなら MS の有償サポートを受けたほうがいいでしょう。
可能性としては、
1.本当はユーザパスワードが期限切れなのに、クライアントでそのように認識していない(ファイルサーバは認識している)
2.複数のドメインコントローラ間で、パスワードポリシーの適用状況がちがってしまって、パスワードの有効期限が異なって設定されてしまっている
が、ありますが、どちらも通常のしくみでは考えられない状態なので、慎重に確認する必要があるでしょう。
ドメインアカウントの有効期限は、ドメインコントローラ上で net user [ユーザ名] と入れてあげると、簡単にわかります。複数のドメインコントローラがある場合、すべてのドメインコントローラ上でそれぞれ実行すると、そのドメインコントローラ上のデータベースでのユーザパスワードの期限がわかるはずです。
#本当はLDAPベースの情報を取って、計算で割り出した方がいいかもしれません
あとは、ドメインコントローラ、クライアント、共有ファイルサーバのイベントログをよく見て、認証に絡むエラーがでていないかどうか(kerberosに絡むものとか)、はもちろん確認の必要があります。できれば共有サーバ上で「セキュリティの監査」のログオンログオフの監査をとって、どんな認証の状態になっているのか、確認した方がいいかもしれません。
個人的には「お金を払ってきちんとサポートを受ける」ことをお奨めします。
なお、当たり前の話しですが、パスワードの有効期限はシステム管理者が任意に設定できる項目です。推奨かどうかは別ですが、「○○日以上に延ばすとシステムがおかしくなる」といったことは普通はあり得ません。
回答3 (この回答は回答2に対する回答です)
- 投稿ID:A2008050874
- 投稿日時:2008/07/27 20:51
チャブーンです。
ちょっと書き間違えましたね。
> ドメインアカウントの有効期限は、ドメインコントローラ上で net user [ユーザ名] と...
ドメインアカウントのパスワード有効期限は、...ですね。
ちなみにパスワードポリシーは、グループポリシーのセキュリティポリシーで設定されるので、グループポリシーまわりの問題(ドメインコントローラ、クライアント、共有サーバ上で)を確認するのも、手かもしれません。まず念のため、パスワードポリシーがすべて正しくドメインコントローラに適用されているか、各ドメインコントローラ上で gpresult /zコマンドで見てみるのあり、だとは思います。
回答6 (この回答は回答2に対する回答です)
- 投稿ID:A2008050915
- 投稿日時:2008/07/28 18:29
チャブーン様 ご指導ありがとうございます。
おっしゃる通り最近GP関係でトラブルが出ていましたが、今は解決してイベント上には出ていません。しかしながら現象としてはまだ、このような問題があるのでMSの有償サポートも考えてはいますが、如何せんお値段がお値段だけにためらっています。
今しばらく勉強を兼ねて、試行錯誤しどうにもならない場合はMSのサポートを受けたいと思います。
ありがとうございました。
(SIさんもさじ投げているのでMSに頼む時期ですね。原因が判明しましたら、この場で報告させていただきます。)