Windows Server 2008のドメインに参加できない

提供: Samba-JP
移動先: 案内検索
KB番号 J0096
最終更新日 2008/06/08
作成者 たかはしもとのぶ
最終更新者 たかはしもとのぶ

対象

この文書は、以下のプロダクトに付いて説明したものです。

  • Samba 3.0.29
  • Samba 3.0.28a
  • Samba 3.0.28
  • Samba 3.0.24
  • Samba 3.0 系列
  • Windows Server 2008

現象

Windows Server 2008 で構築されたドメインに

 security = ads

で構成された Samba 3.0.28 以前のサーバを参加させようとすると、以下のようなメッセージが出力され、参加に失敗します。

# net ads join -U Administrator
Administrator's password: 
Failed to join domain: Improperly formed account name

デバッグレベルを上げると以下のようなメッセージが確認できます。

[2008/05/10 02:24:21, 1] libsmb/clikrb5.c:ads_krb5_mk_req(602)
  ads_krb5_mk_req: krb5_get_credentials failed for not_defined_in_RFC4178@please
  _ignore (Server not found in Kerberos database)
[2008/05/10 02:24:21, 1] utils/net_ads.c:net_ads_join(1470)
  error on ads_startup: Server not found in Kerberos database
Failed to join domain: Improperly formed account name
[2008/05/10 02:24:21, 2] utils/net.c:main(1036)
  return code = -1

同様に

 security = domain

で構成された Samba 3.0.28a 以前のサーバを参加させようとすると、以下のようなメッセージが出力され、参加に失敗します。

# net rpc join -U Administrator
Administrator's password: 
[2008/05/10 16:35:35, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(356)
  Error in domain join verification (credential setup failed): NT code 0xc0000388
Unable to join domain W2K8AD1.

説明

これは Samba 3.0 系列の Samba の制限事項です。

security = ads 

の設定で Windows Server 2008 のドメインに参加させるには、Samba 3.0.28a 以降を利用してください。

また、

security = domain

の設定で Windows Server 2008 のドメインに参加させることはできません。

Samba 3.0.29 を利用すると、net rpc join は成功しますが、認証には失敗します。

参考情報