スタートライン
NetAppをCIFSファイルサーバとして使う場合、その大半はActiveDirectory(AD)を認証基盤として使用します。
※WORKGROUP環境での運用も不可能ではありませんが、特別な理由がない限りは2020年代の社内ネットワーク環境では利用されません。
ADを使用するので、アクセスの際に使用するユーザアカウントはAD内に存在しており、その認証情報(ほとんどの場合、パスワード)が正当であることはADサーバ(ドメインコントローラ)が保証してくれます。
通常は、こうした利用が一般的ですし、利便性が高いものです。
しかしながら、ADサーバが利用できないケースというのも状況によっては発生します。
ネットワークの障害など、一時的なものなら復旧を待つことができる場合もありますが、社内ネットワーク(≒AD環境)がマルウェアに侵害された場合などは長期間にわたってファイルサーバ(NetApp)とADサーバが通信できない、あるいはそのままADサーバを再構築せざるを得ないケースというのも発生することがあります。
そうした場合にもファイルサーバ内のファイルにアクセスしたい、という需要は変わらず発生するため、管理者は一時的にファイルサーバ内からファイルを取り出す操作を要求されることがあります。
こうした場合の方法の1つはファイルサーバ(SVM上のcifs)をWORKGROUP環境として再構築することですが、ファイルサーバ管理者がONTAPのこうした操作に習熟していることは日本では稀ですので、今回は「ADを前提に構成されたvserverで、ローカルadministratorユーザを利用して、一時的にファイルを取りだす」方法について紹介します。
SVM: NetApp内に作成される仮想マシン(Storage Virtual Machine)。詳細は以前の私の投稿記事( https://qiita.com/NorihisaUchida/items/bcfd6675b489c973cbfe )も参照ください。
実際にやってみる
以降の環境はLoD(Basic Concepts for NetApp ONTAP 9.7)を用い、Lab Guideの内容を完了した時点を使用しています。実際に動作を試してみたい場合には参考にしてください。
通常のADユーザアクセス(普段の状態)
以下は、NetApp(ファイルサーバ)の共有の1つをWindowsクライアントからネットワークドライブ(S:)としてマウントした状態です。
PS C:\Users\Administrator.DEMO> net use
New connections will not be remembered.
Status Local Remote Network
-------------------------------------------------------------------------------
OK S: \\svm1\nsroot Microsoft Windows Network
\\tsclient\Cloud Storage Microsoft Terminal Services
The command completed successfully.
PS C:\Users\Administrator.DEMO>
PS C:\Users\Administrator.DEMO> s:
PS S:\> dir
Directory: S:\
Mode LastWriteTime Length Name
---- ------------- ------ ----
d----l 11/26/2025 6:54 AM engineering
PS S:\>
ADが停止した状態でも試してみる(失敗する)
ADDSを実行している仮想マシンを停止した状態で、クライアントからファイルサーバにアクセスを試してみます。
ここでは大きく、2つの原因(DNSがない、ADDSがない)で失敗することになります。
それぞれを実際に確認してみる場合には、以下のようにして確認することができます。
1.\\(SVMのホスト名)の指定はエラーになる(ADサーバ内のDNSを利用して名前解決をしているので)
2.\\(IPアドレス)の指定もエラーになる(疎通できるが、ユーザ認証ができないので)
管理者ユーザの状態を確認する(ロックされている)
cifsサービスを構成したSVMでは、自動的にadministratorローカルユーザがdisabled状態で作成されています。
cluster1::> vserver cifs users-and-groups local-user show
Vserver User Name Full Name Description
------------ --------------------------- -------------------- -------------
svm1 SVM1\Administrator Built-in administrator account
cluster1::>
cluster1::> vserver cifs users-and-groups local-user show -fields is-account-disabled
vserver user-name is-account-disabled
------- ------------------ -------------------
svm1 SVM1\Administrator true
cluster1::>
ロックを解除し、使用可能にする
disabledをfalse(=enable)にし、アカウントのパスワードを設定します。
この操作により、ローカルadministratorユーザが利用できるようになります。
(他の設定が既定値で構成されている場合。別のオプション設定で禁止されている場合もあるため、この段階でうまくいかない場合には無理せずサポートを頼りましょう)
cluster1::> vserver cifs users-and-groups local-user modify -user-name administrator -vserver svm1 -is-account-disabled false
cluster1::> vserver cifs users-and-groups local-user show -fields is-account-disabled
vserver user-name is-account-disabled
------- ------------------ -------------------
svm1 SVM1\Administrator false
cluster1::>
cluster1::> vserver cifs users-and-groups local-user set-password -user-name administrator -vserver svm1
Enter the new password:
Confirm the new password:
cluster1::>
アクセスできることを確認する
(名前解決ができない場合は)ホスト名やFQDNの代わりにIPアドレスを使用し、
接続に別のユーザ名(ローカルのadministratorユーザのIDとパスワード)を指定することで
共有に接続可能です。
PS C:\Users\Administrator.DEMO> net use
New connections will not be remembered.
Status Local Remote Network
-------------------------------------------------------------------------------
OK T: \\192.168.0.131\nsroot Microsoft Windows Network
\\TSCLIENT\Cloud Storage Microsoft Terminal Services
The command completed successfully.
PS C:\Users\Administrator.DEMO> T:
PS T:\> dir
Directory: T:\
Mode LastWriteTime Length Name
---- ------------- ------ ----
d----l 11/26/2025 6:54 AM engineering
PS T:\>
最後に
問題の原因がどこにあっても、結果としてファイルサーバにアクセスできないのであればファイルサーバの管理者が矢面に立たされることはままあります。
この記事がそうした管理者の一助になれば幸いです。
※今回の手順は定常的な運用を想定したものではなく、あくまでも一時避難的な対応になります。
事前に検討された運用手順などがある場合には、本記事の内容ではなく運用手順書などを参照してご対応ください。
We Are Hiring!