Windows XP Professional のマシンがドメインに参加できない

提供: Samba-JP
移動先:案内検索
KB番号 J0071
最終更新日 2007/07/16
作成者 たかはしもとのぶ
最終更新者 たかはしもとのぶ

対象

この文書は、以下のプロダクトに付いて説明したものです。

  • Samba 2.0 / 2.2 系列のみ (3.0以降は含まず)
  • Windows XP Professional

※注)Samba 3.0以降ではWindows XPのデジタル署名に対応したため、下記の事項はあてはまりません。

概要

Windows XP Professional のマシンを Samba で構築したドメインに参加させようとしているのですが、図1のように、ドメインコントローラが見つからないというエラーが発生してしまって参加できません。

図1: ドメインコントローラが見つからないというエラーメッセージ

Samba サーバは Windows 2000 SP2 の参加をサポートしている Samba 2.2.2 を利用していて、実際 Windows 2000 SP2 のクライアントはちゃんとドメインに参加できます。

Windows XP Professional では特別な注意点が必要なのでしょうか?

対処策

Windows XP ではセキュリティが更に強化されたため、そのままではドメインに参加できなかったり、一度は参加できてもある時点から参加ができなったりするという現象が発生してしまいます。 このため、Windows XP から Samba で構築したドメインに参加する場合は、 Windows 2000 SP2 と同様にドメインへの参加が可能とするため、設定の変更を行なう必要があります。

「コントロールパネル」 - 「管理ツール」 - 「ローカル セキュリティ ポリシー」と順にメニューをたどると、「ローカル セキュリティ設定」というツールが起動されます。

ここで、図2のように「ローカル ポリシー」 - 「セキュリティ」 とフォルダを展開して、「ドメイン メンバ:常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する」を無効に設定してください。

図2: レジストリの変更画面

Windows XPマシンがActive Directoryに参加している場合は、GPOで一括設定することも可能です。

これらの操作により

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters

にあるRequireSignOrSealというDWORDの値が0になります(デフォルトは1)。

なお Samba 2.2.2 のdocs/Registry ディレクトリにある WinXP_SignOrSeal.reg というファイルをダブルクリックすることでも、本来は自動的に設定が行なわれるのですが、 Samba 2.2.2 に添付しているファイルは文法ミスのため正しく動作しません。 必要な方は、以下のように修正の上、御利用下さい。

REGEDIT4

;
; This registry key (gathered from the Samba-tng lists) is needed
; for a Windows XP client to join and logon to a Samba domain
;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
"RequireSignOrSeal"=dword:00000000

なお、 Windows XP (やWindows 2000 SP2) を Samba で構成したドメインに参加させる場合、 Samba のバージョンは 2.2.1a 以上である必要があります。 Samba 2.0 系列や、 Samba 2.2.1 以前では、そもそもドメインに参加させることができないので注意して下さい。

また、 Windows XP Home Edition についても、もともとドメインに参加する機能が削られているため、ドメインへの参加はできません。これはWindows側での仕様制限になりますので、ドメイン環境の構築を考えている方は購入時に注意して下さい。

出典

  • この技術情報は 「Linux Japan 2002年2月号: Samba-JP通信」の草稿を元に作成されています。