Windows XP マシンがドメインに参加できない

対象

この文書は、以下のプロダクトに付いて説明したものです。

• Windows XP Professional
• Samba 2.2.1a
• Samba 2.2.2

現象

Windows XP Professional のマシンを Samba で構築したドメインに参加させようとしても、「ドメインに接続できません。ドメインコントローラがダウンしているか利用できない状態になっている。またはコンピュータアカウントが見つからなかったことが原因として考えられます。(図1)」というエラーが発生してしまって参加できません。

原因

Windows XP のドメイン参加をサポートするためには、Samba 2.2.1a 以上を利用する必要があります。ただし、Windows XP では、Windows 2000 と比べてセキュリティが更に強化されており、ドメイン参加時の通信に SMB署名が必須になっています。そのため、Windows XP 側の設定を変更しないとドメインに参加できなかったり、一度は参加できてもある時点から参加ができなったりするという現象が発生します。

対処策

Windows XPからSambaで構築したドメインに参加する場合は、「コントロールパネル」 - 「管理ツール」 - 「ローカルセキュリティ ポリシー」と順にメニューをたどり、「ローカル セキュリティ設定」というツールを起動したうえで、「ローカル ポリシー」 - 「セキュリティ」 とフォルダを展開して、「ドメイン メンバ:常にセキュリティチャネルのデータをデジタル的に暗号化または署名する」を無効に設定します(図2)。

これでWindows 2000 SP2と同様にドメインへの参加が可能になります。

Windows XPマシンがActive Directoryに参加している場合は、GPOで一括設定することも可能です。なお、以下のレジストリを直接修正しても構いません。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
REG_DWORD: RequireSignOrSeal: 0 (デフォルト 1)

なおSamba 2.2.2のdocs/RegistryディレクトリにあるWinXP_SignOrSeal.regというファイルをダブルクリックすることでも、本来は自動的に設定が行なわれるのですが、Samba 2.2.2に添付しているファイルは文法ミスのため正しく動作しません。必要な方は、以下のように修正の上、御利用下さい。

REGEDIT4

;
; This registry key (gathered from the Samba-tng lists) is needed
; for a Windows XP client to join and logon to a Samba domain
;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
"RequireSignOrSeal"=dword:00000000

Windows XP Home Editionについては、もともとドメインに参加する機能が削られているため、Windows NT/2000で構築した場合も含め、ドメインへの参加はできません。これはWindows XP側での仕様制限になります。

この技術情報は「Linux Japan 2002年2月号: Samba-JP通信」の草稿を元に作成されています。