ActiveDirectoryユーザでログインできない

私も同様の内容で困っています。

環境もほぼ近い状態です。

「Active Directory との統合が向上しました」とアップデートの内容に書かれていますが、

恐らく完全には改善されていないような気がします。

バインドは成功していてログインオプション欄は緑(AD側にもオブジェクトが作成されている)にも関わらず、

ディレクトリエディタでユーザーの検索ができない【Connection failed to node 'ADドメイン名' (2100)】、

ネットワークアカウントでログインできない、

モバイルアカウントも作成できない、

等の問題が起こっています。

10.6.Xでは問題ないのですが・・・。

ADとの時間も誤差0.1秒程でしたので時間のズレという問題でもなさそうです。

個人利用には特に問題のない部分ですが・・・。

Lionはまだ法人利用には早いのでしょうか。

何か良い改善案をお持ちの方が居られたら、

私も是非教えて頂きたいです。

よろしくお願いします。

とりあえずですが解決したので解決方法を記載します。

1:10.7.2へバージョンアップする。

2:ADサーバーへpingが通る事、名前解決ができることを確認。

3:ADへバインド。

4:ログイン時にモバイルアカウントを作成のチェックを外す。

5:再起動後、ローカルの管理者アカウントでログイン。

システム環境設定->アカウント->ログインオプション

->ネットワークカウントサーバー(ここのコネクションの状態が緑になるまで待つ)

6:ターミナルを立ち上げ下記のコマンドを実行

sudo /system/library/coreservices/managedclient.app/contents/resources/createmobileaccount -n "ユーザー名"

7:ローカルの管理者アカウントからログオフ。

8:追加したネットワークカウントでログインする。

以上の手順でネットワークアカウントでログインする事ができました。

私が作業した時は、バインドするのとコネクションの状態が緑になるまで、

異常に時間がかかりました。

また、もしNTPサービスが社内にあるのであれば、

MACのNTPサーバーもそれを参照するように

変更しておいたほうが良いかもしれません。

10.6.X シリーズの様にスムーズにバインドできるように修正が入ることを望みます。

私も同様で困っております。（おもち様の対応は各ユーザ名での対応と思われるのでちょっと別で考えさせて下さい）

まず現状ですが、mac-soft-dev様と同様に以下にはなってますが、

ディレクトリユーティリティでバインドはできていて、ログインオプションの所は緑色になっています。

実は、複数台で試すと、ログオンできるものと出来ないものがあり、その違いとしては、ログオンオプションの所は緑でも、

その上に、チェックができる項目で

「ネットワークユーザにログインウィンドウでログインすることを許可」と出る場合は、まずログインできており、この項目が表示されていないものはログオンできません。

その場合でも、最初のログオン画面で、ＩＤ入力の右に赤丸が付く場合もありますが、数十秒でそれが消えます。

「ネットワークユーザにログインウィンドウでログインすることを許可」が出ないものは、いつまでたってもネットワークログオンはできません。

回答ではないのですが、この項目が出るのと出ないのは、いったい何処に原因があるのでしょうか。それが分かれば、今回の解決の見通しが立つように思います。

追伸．

おもち様のいう通り、ＮＴＰなどでサーバとクライアントの時間を合わせないとログオンできない問題は以前のバージョンからありましたが、今回の問題はＬｉｏｎになってからかと思います。

どうか宜しくお願い致します。

HSLabさんがログイン出来るか試されたユーザーIDはどの端末でも

同じものを使用されたのでしょうか？

（私と違うという事はモバイルアカウントを作らずにログインしたいという事でしょうか？）

私が各ユーザーのモバイルアカウントを作成した際は、

ActiveDirectoryのOUの階層が深い位置にあるユーザーほど、

作成に時間がかかる or 作成できないという現象が発生しました。

一度ログイン対象のユーザーをOUの最上位に移動してみて、

どうなるか試されるのは如何でしょうか？

また私が操作していた時は、

「ネットワークユーザにログインウィンドウでログインすることを許可」は、

ログインオプションが緑にならないと表示されませんでした。

更にログイン画面のユーザーIDの右の丸印ですが、

赤の時「ネットワークアカウントは利用できません」

黄色の時「一部のネットワークアカウントは利用できます」

（文言は画面を見ながら書いた訳ではないので完全に一致はしていないかもしれませんm(_ _)m）

という時がありました。

黄色の時、モバイルアカウントが作成できましたが、

OUの浅い階層にいるユーザーのみでした。

丸印が消えるとどのユーザーでも作成可能でした。

赤の時でも一度モバイルアカウントを作成してしまえば、

ログインに支障はでません。

また検索方法のところで、

/ActiveDirectory/All Domains

と

/ActiveDirectory/ドメイン名

というのがありドメイン名の方が優先順位が下でしたら、

All Domainsの上に持ってきてやったところ、

若干ログイン可能になるまで早くなった気がします。

もし複數のドメインを構成されている場合は、

優先して認証するドメインサーバーを指定するなどされてみても良いかもしれません。

公式の文書も見つけられず私も手探り状態なので、

上記の内容は間違っているかもしれません。

もし宜しければお試し下さい。

貴重な情報書き込みありがとう御座います。

＞HSLabさんがログイン出来るか試されたユーザーIDはどの端末でも

＞同じものを使用されたのでしょうか？

はい、幾つかテスト用ＩＤは作りましたが、テストのやり方の１つとして、同じＩＤでログインを行いました。

ログインできるものは同じＩＤであれば、別のマシンであっても同じ（ホームディレクトリ以下）環境を復元できました。

＞私が各ユーザーのモバイルアカウントを作成した際は、

＞ActiveDirectoryのOUの階層が深い位置にあるユーザーほど、

＞作成に時間がかかる or 作成できないという現象が発生しました。

実は、こちらではモバイルアカウントを作成せずに行っておりました。

最終的に使うところは、全てディスクトップ（ｉＭａｃ）なので、モバイルアカウントは不要と考えて

いたのですが、Ｗｉｎｄｏｗｓ系は１５年以上でもＭａｃは５年（しかも今回の様な使い方は数ヶ月）

の初心者なので、根本的なところで考え方を間違っているところがありそうです。

モバイルアカウントを作成するにチェックを入れて試すこともやってみようと思います。

＞一度ログイン対象のユーザーをOUの最上位に移動してみて、どうなるか試されるのは如何でしょうか？

現在、ＯＵは最上位のＩＤで行っています。

＞また私が操作していた時は、

＞「ネットワークユーザにログインウィンドウでログインすることを許可」は、

＞ログインオプションが緑にならないと表示されませんでした。

はい、当然緑にならないと表示されませんが、緑になっても表示されない場合があり、

その時がログイン画面で赤丸がついてネットワークのユーザーＩＤでログインできません。

＞また検索方法のところで、

＞/ActiveDirectory/All Domains

＞と

＞/ActiveDirectory/ドメイン名

＞というのがありドメイン名の方が優先順位が下でしたら、

＞All Domainsの上に持ってきてやったところ、

＞若干ログイン可能になるまで早くなった気がします。

ありがとう御座います。これは試してませんでした。

明日試してみます。

とにかく色々ありがとうございました。

この後、おもちさまへも伝える部分を追記する予定ですが、まずは、mac-soft-devさまの内容で、こちらで考えられる点を記載します。文章（説明）が下手な部分はお許し下さい。

（既に解決済みであれば、無視して下さい）

こちらの環境は、WindwosServer２００８R2でDNSも使ってますが、DHCPサービスは外してあります。

（MacOSXサーバはありません）

先に、私が複数台（会社内の３，４台についてはあまり問題は無かったが、１教室の４２台を管理していて半分位が問題）の対応をしている中間意見としては、10.7.2でActiveDirectoryとの接続改善があったように感じます。

実は、アップデート無しの初期状態１０．７で、DNSに、クライアントの正引き、逆引きの設定と、サーバとの時間誤差を１分以内にすると、９割方バインドができて、ログオンもできました。但し、しばらくするとログオンできないマシンが増えてゆくと言う、現象が多くみられました。その後、１０．７．１にした後は、もっと酷い状態になったのです。

現在、全部が１０．７．２にアップしていませんが、実は、今日試したところ、１０．７．２で、再バインドと諸々したものは今日の段階では完璧で、今でも１０．７のままでもログオンできるものがありますが、不思議と１０．７．１のものはほとんどログオンできませんでした。

前置きが長くなりましたが、私の場合以下のポイントが重要かと思ってます。

サーバに、数台のクライアントの場合なら

・サーバのDNSにクライアントの正引き、逆引きの設定

（DHCPならば、DNSがダイナミックDNSになっている必要あり）

・サーバの時間とクライアントの時間を出来るだけ合わせる。

両方とも同じNTPにするか、サーバにNTP昨日も持たせ、MacのNTPにサーバのIPを設定する

とこれだけで、数台なら大丈夫でした。但し、ログオンからディスクトップ画面が出るまでに１分位の

時間はかかってました。

こちらで、もっと多い台数の場合に追加した設定は、まず、おもちさまに提案頂いた

＞また検索方法のところで、

＞/ActiveDirectory/All Domains

＞と

＞/ActiveDirectory/ドメイン名

＞というのがありドメイン名の方が優先順位が下でしたら、

＞All Domainsの上に持ってきてやったところ、

＞若干ログイン可能になるまで早くなった気がします。

の部分が大きいです。

実際は、バインド後に、検索方法のところには、/ActiveDirectory/All Domains　しか追加されていないのですが、

これに/ActiveDirectory/ドメイン名　（例えば: /ActiveDirectory/xyz.local ) 　を追加し、それをAll Domainsの上に

持って行きましたところ、ログオン時間も１５秒以内になりました。

ただ、追加するときに、追加する（＋）の後に出る画面で、目的のドメイン名（例えば: /ActiveDirectory/xyz.local )

が表示されていない場合は、バインド時点に問題のある場合があるかもしれません。

実は、こちらでは、念のため　DNS以外に、クライアント側のMacの　/etc/hosts に、サーバのIPとホスト名を

追加してみました。

/ActiveDirectoryサーバが１台で、それにDNSや他のサービスも動いているときで、４０台が一斉にログオン

した場合に、サーバ本体やLANにそれなりに負荷が集中するので、追加しました。

（気持ち程度かもしれませんが・・・）

とりあえず、一旦これでUPします。

先に、mac-soft-devさまのところで、大部分を記載したので、それ以外で、以前からおもちさまに確認させて頂いている部分を中心に記載します。

先に、/ActiveDirectory/ドメイン名　を追加しAll Domainsの上にしたところ、こちらではとても安定してログオンが可能となりました。

また、以前から、出るときと出ないときがある

「ネットワークユーザにログインウィンドウでログインすることを許可」

は、バインド後、直ぐに出るものもありますが、出ないものも、先の、/ActiveDirectory/ドメイン名　を追加し

All Domainsの上にし「適用」を押すと、１秒後位に、

「ネットワークユーザにログインウィンドウでログインすることを許可」

が表示されるではありませんか。

MacOSXの１０．７．２では、内部で何（何のデータ）を調べている（ドメインの検索？）かは不明ですが、

１０．７や１０．７．１でバインドを始めてから、（ログオン出来る、出来ないは別として）バインド完了するまで、

３、４分かかってたのが、今日、１５台ほど再設定しましたが、１０．７．２では、殆どが、１分位でバインド完了

し、更に、それらは、（今日のところは）全て、再起動後もログオン画面に例え赤丸が少しでても３０秒以内に

消える（または、その後少し黄色丸が出るがすぐ消える）状態となりました。

後は、この状態が安定してくれることを願うばかりですが、以前よりかなり前進しました。

ありがとう御座いました。

取り急ぎ、今日の状態まで。