VPNで社外から社内のSQL Serverサーバーにアクセスしようとしていますが、うまくいきません。


社内ドメインに参加しているWindows 7のノートPCで、社内から直接Excel 2010のデータソースとしてSQL Serverを選択し、Windows認証で接続した場合に正常にデータを取得できることを確認しました。そのあと、同じ端末を社外からPPTPを用いてVPNログイン(ルーター : Buffalo BHR-4RV)して同じ作業をした場合に、サーバー接続時に「SSPI コンテキストを生成できません。」というエラーが出て接続できませんでした。なお、VPN経由で双方向のpingが通ることは確認しています。また、Windows認証を利用せず、直接SQL Serverで作成したユーザー名でアクセスした場合に接続できたことも確認しています。

VPNで接続した場合と直接接続した場合での違いに何が考えられるでしょうか?ドメインコントローラあたりのNetBIOS等のUDPブロードキャスト制御データがVPNを超えて届かない、といったあたりが原因だと思いますが、そのような可能性はあるでしょうか?

回答の条件
  • 1人5回まで
  • 登録:
  • 終了:2012/01/19 23:01:11
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

ベストアンサー

id:TransFreeBSD No.1

回答回数668ベストアンサー獲得回数268

ポイント60pt

http://support.microsoft.com/kb/811889/ja
SSPIは認証に関するインターフェースで、認証が完了できないとき、このメッセージが出ることがある様です。
色々条件があるようですが、ありそうな所は、

  • DNSで得られる完全修飾名(FQDN、ドメイン名を含む完全なホスト名)が間違っている。
  • フォレストが違う。

あたりでしょうか。VPN経由ではこういった部分で若干違うかも知れません。
あと、Kerberos関係のポートがフィルタリングされているとかもあるかも知れませんが、それならNTLMが使われるとか、ドメインへのログオンが成功しないとかありそうな気がします。

id:quesit

回答ありがとうございます。

ドメインツリーはシングルフォレスト・シングルドメインで運用しています。
また、データベースサーバーはIPアドレスで直接指定していますが、
そういえば端末名で指定した場合は接続できなかった気もします。
(今手元に端末がないので確認できていませんが…)
こちらの操作ではDNSのホスト名は使わずにIPだけで端末指定してますが、
Windows側がバックグラウンドの制御でホスト名が使われていれば、
DNS周りでトラブルを起こしている可能性が高いのかもしれませんね。

Windows 7 では、一度社内ドメインのユーザーでログインPCからは、
社外でネットワークがないところでPCを起動しても、
ドメインのユーザーでログオンできる仕様なんですね。
(ドメインのパスワードが端末側に保存されてるのかな…?)
なので、社外からネットワークで端末にログインして、
その後VPNで接続して初めてドメインコントローラと通信できるようになるんですが、
社外でドメインにログインしたことで、うまく認証できなくなっているのかな…?

端末側のファイアウォールは切っていますが、
一度VPNに入ってしまったらローカル扱いになると考えているので
ルータのファイアウォールの設定は無関係ですよね。
例えば、NetBIOS系のパケットはルータ外へ出さない設定になってますが
VPNには関係ないと考えてよいですよね。

もう少し調べてみます。

2012/01/16 04:21:40

その他の回答1件)

id:TransFreeBSD No.1

回答回数668ベストアンサー獲得回数268ここでベストアンサー

ポイント60pt

http://support.microsoft.com/kb/811889/ja
SSPIは認証に関するインターフェースで、認証が完了できないとき、このメッセージが出ることがある様です。
色々条件があるようですが、ありそうな所は、

  • DNSで得られる完全修飾名(FQDN、ドメイン名を含む完全なホスト名)が間違っている。
  • フォレストが違う。

あたりでしょうか。VPN経由ではこういった部分で若干違うかも知れません。
あと、Kerberos関係のポートがフィルタリングされているとかもあるかも知れませんが、それならNTLMが使われるとか、ドメインへのログオンが成功しないとかありそうな気がします。

id:quesit

回答ありがとうございます。

ドメインツリーはシングルフォレスト・シングルドメインで運用しています。
また、データベースサーバーはIPアドレスで直接指定していますが、
そういえば端末名で指定した場合は接続できなかった気もします。
(今手元に端末がないので確認できていませんが…)
こちらの操作ではDNSのホスト名は使わずにIPだけで端末指定してますが、
Windows側がバックグラウンドの制御でホスト名が使われていれば、
DNS周りでトラブルを起こしている可能性が高いのかもしれませんね。

Windows 7 では、一度社内ドメインのユーザーでログインPCからは、
社外でネットワークがないところでPCを起動しても、
ドメインのユーザーでログオンできる仕様なんですね。
(ドメインのパスワードが端末側に保存されてるのかな…?)
なので、社外からネットワークで端末にログインして、
その後VPNで接続して初めてドメインコントローラと通信できるようになるんですが、
社外でドメインにログインしたことで、うまく認証できなくなっているのかな…?

端末側のファイアウォールは切っていますが、
一度VPNに入ってしまったらローカル扱いになると考えているので
ルータのファイアウォールの設定は無関係ですよね。
例えば、NetBIOS系のパケットはルータ外へ出さない設定になってますが
VPNには関係ないと考えてよいですよね。

もう少し調べてみます。

2012/01/16 04:21:40
id:kodairabase No.2

回答回数661ベストアンサー獲得回数80

ポイント40pt

Kerberosが透過していないのかもしれません。
http://support.microsoft.com/kb/811889/ja

リモートPC側のパーソナルファイアウォールの設定がLAN接続とVPN接続で異なっており、VPN接続時に389/tcpが閉じているのではないでしょうか。
ご確認ください。

id:quesit

回答ありがとうございます。
リモート端末側のファイアウォールは確実に切った状態で試しています。
ルータのファイアウォールの設定は無関係ですよね。
確かに、Kerberos関係のエラーであることは間違いなさそうなのですが…

2012/01/16 04:21:49

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません