Windows Server 2008のドメインに参加できない

対象

この文書は、以下のプロダクトに付いて説明したものです。

• Samba 3.0.29
• Samba 3.0.28a
• Samba 3.0.28
• Samba 3.0.24
• Samba 3.0 系列
• Windows Server 2008

現象

Windows Server 2008 で構築されたドメインに

 security = ads

で構成された Samba 3.0.28 以前のサーバを参加させようとすると、以下のようなメッセージが出力され、参加に失敗します。

# net ads join -U Administrator
Administrator's password: 
Failed to join domain: Improperly formed account name

デバッグレベルを上げると以下のようなメッセージが確認できます。

[2008/05/10 02:24:21, 1] libsmb/clikrb5.c:ads_krb5_mk_req(602)
  ads_krb5_mk_req: krb5_get_credentials failed for not_defined_in_RFC4178@please
  _ignore (Server not found in Kerberos database)
[2008/05/10 02:24:21, 1] utils/net_ads.c:net_ads_join(1470)
  error on ads_startup: Server not found in Kerberos database
Failed to join domain: Improperly formed account name
[2008/05/10 02:24:21, 2] utils/net.c:main(1036)
  return code = -1

同様に

 security = domain

で構成された Samba 3.0.28a 以前のサーバを参加させようとすると、以下のようなメッセージが出力され、参加に失敗します。

# net rpc join -U Administrator
Administrator's password: 
[2008/05/10 16:35:35, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(356)
  Error in domain join verification (credential setup failed): NT code 0xc0000388
Unable to join domain W2K8AD1.

説明

これは Samba 3.0 系列の Samba の制限事項です。

security = ads 

の設定で Windows Server 2008 のドメインに参加させるには、Samba 3.0.28a 以降を利用してください。

また、

security = domain

の設定で Windows Server 2008 のドメインに参加させることはできません。

Samba 3.0.29 を利用すると、net rpc join は成功しますが、認証には失敗します。

参考情報

• SPNEGO in Samba - Longhorn Server interop issues...
• Samba 3.0.29 Available for Download
• Samba 3.0.28a Available for Download
• 3.0.28a+windows 2008 server