社内ドメインに参加しているWindows 7のノートPCで、社内から直接Excel 2010のデータソースとしてSQL Serverを選択し、Windows認証で接続した場合に正常にデータを取得できることを確認しました。そのあと、同じ端末を社外からPPTPを用いてVPNログイン(ルーター : Buffalo BHR-4RV)して同じ作業をした場合に、サーバー接続時に「SSPI コンテキストを生成できません。」というエラーが出て接続できませんでした。なお、VPN経由で双方向のpingが通ることは確認しています。また、Windows認証を利用せず、直接SQL Serverで作成したユーザー名でアクセスした場合に接続できたことも確認しています。
VPNで接続した場合と直接接続した場合での違いに何が考えられるでしょうか?ドメインコントローラあたりのNetBIOS等のUDPブロードキャスト制御データがVPNを超えて届かない、といったあたりが原因だと思いますが、そのような可能性はあるでしょうか?
http://support.microsoft.com/kb/811889/ja
SSPIは認証に関するインターフェースで、認証が完了できないとき、このメッセージが出ることがある様です。
色々条件があるようですが、ありそうな所は、
あたりでしょうか。VPN経由ではこういった部分で若干違うかも知れません。
あと、Kerberos関係のポートがフィルタリングされているとかもあるかも知れませんが、それならNTLMが使われるとか、ドメインへのログオンが成功しないとかありそうな気がします。
http://support.microsoft.com/kb/811889/ja
SSPIは認証に関するインターフェースで、認証が完了できないとき、このメッセージが出ることがある様です。
色々条件があるようですが、ありそうな所は、
あたりでしょうか。VPN経由ではこういった部分で若干違うかも知れません。
あと、Kerberos関係のポートがフィルタリングされているとかもあるかも知れませんが、それならNTLMが使われるとか、ドメインへのログオンが成功しないとかありそうな気がします。
回答ありがとうございます。
ドメインツリーはシングルフォレスト・シングルドメインで運用しています。
また、データベースサーバーはIPアドレスで直接指定していますが、
そういえば端末名で指定した場合は接続できなかった気もします。
(今手元に端末がないので確認できていませんが…)
こちらの操作ではDNSのホスト名は使わずにIPだけで端末指定してますが、
Windows側がバックグラウンドの制御でホスト名が使われていれば、
DNS周りでトラブルを起こしている可能性が高いのかもしれませんね。
Windows 7 では、一度社内ドメインのユーザーでログインPCからは、
社外でネットワークがないところでPCを起動しても、
ドメインのユーザーでログオンできる仕様なんですね。
(ドメインのパスワードが端末側に保存されてるのかな…?)
なので、社外からネットワークで端末にログインして、
その後VPNで接続して初めてドメインコントローラと通信できるようになるんですが、
社外でドメインにログインしたことで、うまく認証できなくなっているのかな…?
端末側のファイアウォールは切っていますが、
一度VPNに入ってしまったらローカル扱いになると考えているので
ルータのファイアウォールの設定は無関係ですよね。
例えば、NetBIOS系のパケットはルータ外へ出さない設定になってますが
VPNには関係ないと考えてよいですよね。
もう少し調べてみます。
Kerberosが透過していないのかもしれません。
http://support.microsoft.com/kb/811889/ja
リモートPC側のパーソナルファイアウォールの設定がLAN接続とVPN接続で異なっており、VPN接続時に389/tcpが閉じているのではないでしょうか。
ご確認ください。
回答ありがとうございます。
リモート端末側のファイアウォールは確実に切った状態で試しています。
ルータのファイアウォールの設定は無関係ですよね。
確かに、Kerberos関係のエラーであることは間違いなさそうなのですが…
回答ありがとうございます。
2012/01/16 04:21:40ドメインツリーはシングルフォレスト・シングルドメインで運用しています。
また、データベースサーバーはIPアドレスで直接指定していますが、
そういえば端末名で指定した場合は接続できなかった気もします。
(今手元に端末がないので確認できていませんが…)
こちらの操作ではDNSのホスト名は使わずにIPだけで端末指定してますが、
Windows側がバックグラウンドの制御でホスト名が使われていれば、
DNS周りでトラブルを起こしている可能性が高いのかもしれませんね。
Windows 7 では、一度社内ドメインのユーザーでログインPCからは、
社外でネットワークがないところでPCを起動しても、
ドメインのユーザーでログオンできる仕様なんですね。
(ドメインのパスワードが端末側に保存されてるのかな…?)
なので、社外からネットワークで端末にログインして、
その後VPNで接続して初めてドメインコントローラと通信できるようになるんですが、
社外でドメインにログインしたことで、うまく認証できなくなっているのかな…?
端末側のファイアウォールは切っていますが、
一度VPNに入ってしまったらローカル扱いになると考えているので
ルータのファイアウォールの設定は無関係ですよね。
例えば、NetBIOS系のパケットはルータ外へ出さない設定になってますが
VPNには関係ないと考えてよいですよね。
もう少し調べてみます。