こんにちは
Windows サポート チームの石井です。
今回は Windows Server 2003 で構築された Active Directory 環境に、Windows Server 2012 R2 をドメインコントローラーとして追加した場合に生じる問題 (サポート技術情報 2989971) について取り上げます。
この問題は、ドメインに参加しているコンピューター (ドメインコントローラーを含む) において、Kerberos 認証が正常に行えず、ログオンができないなどの障害を引き起こします。
詳細はサポート技術情報にも記載されていますが、改めて問題の概要とその対処策を整理してお伝えします。
1. 問題の概要
===============================
Windows Server 2003 で構成された Active Directory ドメインに Windows Server 2012 R2 のドメイン コントローラーを追加します。
追加後、 おおよそ 2 ヶ月程度経過後に、ドメインのメンバー、ドメイン コントローラーで Kerberos 認証が正常に行えなくなります。
障害は、Windows Server 2003 で構成されていたドメインにおける Windows Server 2012 R2 ドメイン コントローラーのコンピューター パスワード更新処理に問題があるため発生します。
具体的には更新処理の結果、本来必要な暗号化キーが各メンバー コンピューター上に生成されないことが障害の原因です。
- 詳細
各メンバーは、既定で 30 日毎に自動的にコンピューター パスワードを変更しますが、この変更のタイミングでは暗号化キーの生成もおこなわれます。
Windows Server 2008 以降のドメイン コントローラーは新しく AES という暗号化方式をサポートしており、この新しい暗号化方式に対応している場合、 AES 用のキーも生成されます。
新しい暗号化方式によるキーが作成され、利用されるようになるのは、 Windows Server 2008 以降のドメイン コントローラーが追加されてから 2 回目のコンピューター パスワード変更後からです。
コンピューター パスワード変更の処理後、AES に対応した暗号化キーについても各メンバーは生成する必要がありますが、これを生成させるための Windows Server 2012 R2 のドメイン コントローラー側の処理に問題があり、暗号化キーが生成されないという問題が発生します。
コンピューターにユーザーがログオンするときには、そのコンピューターに対応した Kerberos チケットの取得と提示を実施し、認証されることが必要です。提示を受けたメンバー コンピューターが認証を成功させるためには、 Kerberos チケットの復号をおこないます。この復号処理では、適切な暗号化キーを保持している必要があります。
この問題が発生すると、メンバー コンピューターに暗号化キーが存在しないため、 Kerberos チケットの復号に失敗するため、認証に失敗し、結果としてログオンに失敗します。
この問題はサポート技術情報 2989971 として公開しており、修正プログラムについても入手が可能です。
—————–
文書番号 : 2989971
Can't log on after changing machine account password in mixed Windows Server 2012 R2 and Windows Server 2003 environment
http://support.microsoft.com/kb/2989971/en
—————–
—————–
文書番号 : 2989971 (日本語版)
Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウントのパスワードを変更した後にログオンできない
http://support.microsoft.com/kb/2989971/jp
—————–
(2015 年 10 月追記)
なお、この修正プログラムは 9 月または、9 月のロールアップを包含する 11 月のロールアップに含まれています。
—————–
Windows RT 8.1、8.1 の Windows、および Windows Server 2012 の R2 用の更新プログラムのロールアップ
2014年 9 月
http://support.microsoft.com/kb/2984006/ja
—————–
—————–
Windows RT 8.1、8.1 の Windows、および Windows Server 2012 の R2 用の 2014 年 11 月付け更新プログラムのロールアップ
2014年 11 月
https://support.microsoft.com/ja-jp/kb/3000850
—————–
2. どういったことが起こるか
===============================
事象が発生した端末では、ドメインユーザーによるログオンが行えなくなります。
また、当該の端末がサービスを提供するサーバーであった場合は、Kerberos 認証を利用しているサービスにアクセス出来ないといった問題が生じる可能性もあります。
3. 対象の OS
===============================
この事象は Windows Server 2012 R2 のドメインコントローラーの動作に問題があるため発生しますが、影響を受ける (ログオン障害が発生する) のは、ドメイン コントローラーを含むドメイン メンバーです。その対象 OS は AES を利用できるもの全てで、以下のとおりです。
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Vista
Windows 7
Windows 8
WIndows 8.1
4. 対処方法
===============================
現象が発生してしまった場合には、対象のコンピューターを再起動します。
再起動することで、起動時に対応した暗号化キーを生成するため、問題が解消します。
事象発生後に、以降の現象の発生を防ぐためには次の作業を実施します。
1. KB2989971 またはロールアップ パッケージ 3000850 を全ての Windows Server 2012 R2 のドメイン コントローラーに適用します。
—————–
Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウントのパスワードを変更した後にログオンできない
http://support.microsoft.com/kb/2989971
—————–
2. 全てのドメイン コントローラーに対する修正プログラムの適用処理 (再起動を含む) が完了後にドメイン コントローラーを含む全メンバー コンピューターを再起動します。
注意:
KB 2989971 の修正プログラムを適用するためには、下記の 2 点の条件が必要です。
・ KB 2919355 が適用されている事
・ Active Directory ドメインサービスがインストールされている事
※ 役割が追加されていれば、必ずしもドメインコントローラーに昇格している必要はありません。
※ ロールアップパッケージ 3000850 を適用する場合には、役割を追加しておく必要もありません。
こちらを Windows Update から適用したうえで、以下の修正プログラムを適用ください。
—————–
Windows RT 8.1、8.1 の Windows および Windows Server 2012 の R2 の更新プログラム:
2014 年 4 月
http://support.microsoft.com/kb/2919355/ja
—————–
5.その他
===============================
・ 技術情報には”混在” と記載がありますが、Windows Server 2012 R2 の追加後、すでに Windows Server 2003 のドメイン コントローラーが降格していてもこの問題は発生する可能性があります。
・ Windows Server 2012 R2 のドメイン コントローラーが存在しており、ログオンができないメンバー上でシステム イベントログに Microsoft-Windows-Security-Kerberos の ID 4 のイベントが記録されている場合には、この問題に合致している可能性が高いと判断できます。
・ Windows Update で最新の状態にした上でドメイン コントローラーへの昇格を実施すれば、この更新プログラムを含むロールアップ パッケージ 3000850 が適用されますので、この問題は発生しません。
以上です。
- 変更履歴
2014年10月15日 初回投稿
2014年10月16日 タイトルを変更しました。
2015年10月19日 更新プログラムの情報などを更新しました。
「コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。」