24H2罠シリーズの9ですw 前回のはこんな感じですw
一応、たぶん結論のようなものが出たので書き記しておきます。昔、小さな事業所でもオールインワンでサーバを導入して、ユーザーが2,3人でもAD環境を組んだネットワーク環境なところって多いんじゃないかなと思います。弊社も同じ類で、でも、私がシステムをいじることが大好きなので、結構、自前でなんでもメンテしてたっていうところがあるんですが、導入にはそれなりにコストもかかってるので、サーバOSの入れ替えなんかはずっとしてきませんでした。
なので、大手さんでは信じられないような古いOSが動いているわけですが、幸い、ゲートウェイで侵入を不正ぐことはできているので、それなりのレベルのセキュリティは確保できているのではとは思ってます。まぁ、本気になれば破られるでしょうけど、うちみたいなところのファイルサーバを除いたってさほどいいものはありませんw まぁ、それはおいておいて、結論としては
「少なくとも2008サーバ以前のOSのAD DC環境ではWINDOWS11からの正常なネットワークネゴシエーションはできない」
というものです。一応、W2KS以降はKERBEROS認証もできるわけですので、要件としては揃っている「はず」なんですが、こちらで掴んでいる状況としては、WIN1123H2以降のクライアントOSの新規インストールではDCへのログオンができない、というものです。できたとすれば、それは、WIN10からアップグレードを繰り返し、データの引継ぎでしのいできたおかげでネットワークの特にセキュルティ部分の設定が書き換わらなかったためです。
WINDOWS11 23H2以降ですと、コンピュータのドメイン参加はできても、ドメインユーザーのログオンにおいて、ドメインコントローラとの通信ができない旨のエラーが記録され、ネットワーク上への資源アクセスはすべて「資格情報」を要求されることになります。さらに、この「資格情報」を「保存する」としても、次回ログオン時にはクリアされ、再度、資格情報の入力を求められます。
WireSharkで通信をトレースしますと、KERBEROS認証での通信でエラーを起こしています。また不思議なことに、FQDNでログオンしても、NETBIOS名でのドメイン名に置き変わってしまい、エラーが続きます。これをFQDNでログオンするように固定化すれば問題解決しそうでしたが、クライアントPC側にも、DC側にもそのような設定を見つけることができませんでした(知ってる!って方がおられましたら是非お知らせください。)。
さて、今回のネットワーク絡みの問題解決にはGoogleの「GEMINI」を使いました。いやま、すごかったですwww 時代はここまで進歩しているんだなぁと痛感いたしました。
GEMINIでこちらの状況を説明するときに、PCの画面のスクリーンショットを貼り付けことができるんですが、その内容をGEMINIはしっかりと判断することができるのです。さらに、こちらからの文章ですが、ほとんど、チャットで人間にサポートをしてもらうときのような文章でちゃんと内容を理解して、ここが重要なんですが、
「会話として成立させる」
文章がかえってきます。ちなみに、この画像の最後の部分で、
私が、OSが吐き出すエラーに少々ブチ切れ気味に、「どうしろ?というんでしょうか?」って投げかけたら、
こんな感じでしっかり答えを返してくれますwww このやり取りは昨日の夕方からずっと続いていたのですが、夜がふけてきたら「明日にしましょうか?」とか言ってくれますw で、やり取りしてて、もはや相手がAIであることも忘れ、生身の人間がチャットサポートしてくれてるんでわ?とおもっちゃうくらい丁寧です。
変なPCサポートに問題解決を依頼するより100万倍マシかもしれません。
そして、このやり取りは、リンクを公開することで参照することもできるんですが、ちょっとパスワードなんかも見えちゃってるんでやめときます。
あと、GEMINIから言われたこととして、「勉強になりました」というコメントがありましたw たぶんADやDC絡みではかなり情報を得たんだと思います。
