ネットワーク上のシステム管理の経験がある人なら、自分のコンピューターの種類に適した、あらゆる管理タスクを実行するために必要なツールやコマンドを見つけることができます。例えば、Microsoftのシステム管理者は、Windowsベースのホストの管理にPowerShellを使用することが推奨されています。
しかし、均一なネットワークの時代は急速に終わりを迎えつつあります。BYODの推進により、様々なLinuxディストリビューションからiOSやAndroidのOSまで、あらゆるデバイスがネットワークに溢れかえっており、異機種混在ネットワークが急速に成長しています。
上記の企業の間でますます増えている傾向の一つが、中小企業がOS X、Windows、その他のオペレーティングシステムをネイティブサポートするAppleコンピュータへの移行です。WindowsデスクトップがActive Directoryドメインに参加するのと同様に、Macも複数のディレクトリベースのドメインへのバインドを提供し、ノードの集中管理を可能にします。
AppleはOS X Serverに独自のOpen Directoryを組み込んでいますが、他の標準ベースのディレクトリバインディングのサポートは向上しています。ただし、通信に支障をきたすような問題がいくつか残っています。そして、Active DirectoryドメインにバインドされたAppleコンピュータでは、こうした問題が時に非常にイライラさせられることがあります。
より一般的なエラーとその原因、そしてそれらをすぐに解決する方法をいくつか見てみましょう。
1. Active Directory (AD) でアカウントを事前ステージングする
症状: OS X を Active Directory にバインドしようとすると、アカウントまたはオブジェクトが見つからないというエラーが発生します。
原因:ほとんどの場合、クライアント(OS X)とディレクトリサーバー(AD)間の通信エラーが原因です。さらに調査を進めることで、DNSがリクエストを適切に転送していないことが原因か、ネットワーク構成に問題があるかが明らかになる場合があります。また、マシンのバインドに使用されているアカウント間の権限の問題、またはAD内のオブジェクトの追加や変更に関する権限の問題である可能性もあります。
解決策:サブネットやVLANの分離といったネットワーク構成の問題を除けば、Active Directoryでコンピュータアカウントを事前登録しておくことは、オブジェクトが見つからない問題に対する最も迅速かつ簡単な解決策の一つです。MacをActive Directoryにバインドする前に、必要な組織単位(OU)にコンピュータオブジェクトを手動で作成してください。Active Directoryが組織全体に複製されたら、再度バインドを試してください。
事前ステージングされたオブジェクトを作成することで、関連するDNSレコードとネットワーク設定に、バインド時にターゲットとするエンドポイントが設定されます。特に、バインドに使用するアカウントのアクセスレベルがドメイン管理者またはエンタープライズ管理者レベルの権限を持たない場合は、OS Xをディレクトリにバインドし、そのMacに関する情報をオブジェクトに入力するだけで十分な場合があります。
2. ネットワークユーザーのログインを許可する
症状: Apple コンピュータはユーザーによる AD サーバーへの認証を許可しないため、ログオンできません。
原因:ネットワークへの接続が失われたか、システム構成が変更されたため、アクセスがローカル アカウントのみに制限されています。
解決策:経験上、99%の場合、まずネットワークケーブル/Wi-Fiの電源状態を確認することをお勧めします。接続を確認したら、次のステップは「ネットワークユーザーがログインウィンドウでログインできるようにする」の横にあるチェックボックスがオンになっていることを確認することです。さらに確認すべきステップとして、その横にある「オプション…」ボタンをクリックし、ログインを許可する必要があるすべてのユーザーがホワイトリストに登録されていることを確認してください。
3. Active Directory 検索ポリシー
症状:コンピューターがアカウントを処理し、タイムアウトするか、無効なパスワードが入力されたかのように「いいえ」と応答するため、ユーザーは AD 資格情報を使用してログインできません。
原因:パスワードが間違っている場合もあれば、Mac がドメインに最初にバインドされた際に、検索ポリシーなどの特定の情報フィールドが自動的に入力される場合もあります。検索ポリシーは、AD プラグインがアカウントを認証するためにどのドメインを参照するかを指定します。入力された検索ポリシーは通常は正しいのですが、複数のドメインで構成されるフォレストではよくあることですが、誤ったエントリがデフォルトとして設定される場合があります。
解決策:ディレクトリユーティリティにアクセスし、「システム環境設定 | ユーザ | ログインオプション」を開いて「編集…」ボタンをクリックし、「ディレクトリユーティリティを開く…」ボタンを選択します。ここで「検索ポリシー」タブをクリックすると検索ポリシーのエントリが表示され、「+」または「-」ボタンを使ってエントリを追加/削除し、Macがバインドされている正しいドメインを参照できます。
4. ADプラグインのディレクトリ設定を構成する
症状:上記と同様に、コンピューターがアカウントを処理してタイムアウトするか、無効なパスワードが入力されたかのように「いいえ」を返すため、ユーザーは AD 資格情報を使用してログインできません。
原因: OS Xは、最大限の互換性を備えたデフォルト設定でADにバインドします。ただし、クライアントが正しいADサーバーと通信できるようにするには、特定の設定が必要になる場合があります。これらの設定は、手動で変更するか、スクリプトで変更する必要があります。
解決策:ディレクトリユーティリティで「サービス」をクリックし、Active Directoryサービスを選択すると、ネットワークプロトコル、カスタム属性、そして(最も重要な)優先ドメインサーバーの指定など、サービスで使用される設定を変更できます。また、クライアントを管理するための管理セキュリティグループを追加したり、フォレスト内の任意のドメインからの認証を許可したりすることも可能です。変更したい項目にチェックマークを付け、必要な情報を入力するだけで設定が完了します。
5. DNS名を確認する
症状:インターネット アクセスは問題なく動作しますが、ネットワーク上で他のコンピューターまたは Wake-on-LAN (WOL) との通信が困難です。
原因:コンピュータ名の変更は、多くの場合、ネットワークアクセスの変更に起因するとされています。たとえば、「MAC-FU」という名前のMacは、ネットワーク上に自身の「ゴースト」や同じ名前の別のコンピュータを検出すると、突然「MAC-FU (1)」に名前を変更することがあります。サブネットの変更は、両方のデスクトップがオフラインになるのを防ぐために、このような名前変更をトリガーすることがあります。また、デスクトップがドメインにバインドされ、バインド解除されてから再バインドされると、DNS情報がキャッシュされ、再バインド時にその情報に依存することがあります。これにより、新しく名前が変更されたコンピュータ(たとえば「MAC-123.domain.com」)のDNSホスト名が、以前のバインド名である「MAC-456.domain.com」になることがあります。
解決策:システム環境設定 | 共有 でコンピュータ名を確認し、表示されているコンピュータ名が、コンピュータをドメインにバインドした際に入力した名前と一致していることを確認してください。さらに、「編集…」ボタンをクリックすると、ローカルホスト名が表示されます。これら2つのエントリが異なる場合(上記の「原因」セクションの例のように)、マシンのバインドを解除し、コンピュータ名とホスト名を同じになるように変更してから、コンピュータを再起動し、Active Directoryに再度バインドしてください。これにより、DNS関連の問題が解決し、ローカルとディレクトリサーバーの両方で適切な名前が反映されるようになります。
これは、MacとADの接続に関する問題のトラブルシューティングを網羅したリストではありません。他のソフトウェアと同様に、残念ながら、特定の製品では誤動作や故障の可能性が無限にあるため、トラブルシューティングが非常に困難になる場合があります。
トラブルシューティングは、私にとって神聖な芸術です。特定の製品の開発者やエンジニアでなくても、私たちを取り巻く技術の世界の問題を解決できるからです。同時に、ADmitMacやCentrifyといった、開発者やエンジニアが直接提供し、こうした問題に真正面から取り組むことを目指した製品群が存在するため、特殊なネットワークのニーズには、ソフトウェアベースのソリューションの方が適しているかもしれません。
Active Directory を使用する際に、他にどのようなトラブルシューティングのヒントやコツをお勧めしますか? 以下のディスカッションスレッドであなたの経験を共有してください。
