ドメイン コントローラーが対話型ログオンを許可しない、エラーが表示される: サーバー上のセキュリティ データベースに、このワークステーションの信頼関係のコンピューター アカウントがありません

この記事では、ドメイン コントローラーが対話型ログオンを許可しない場合に発生するエラーの解決策について説明します。

適用対象:Windows Server 2012 R2、Windows 10 - すべてのエディション
元の KB 番号: 2015518

現象

再起動後、Windows Server 2012 R2 DC はもうログオンできません。 これは、コンソール ログオンまたはターミナル サービス/リモート デスクトップの両方で表示されます。 表示されるエラーは次のとおりです。

サーバー上のセキュリティ データベースには、このワークステーションの信頼関係のコンピューター アカウントがありません

Directory Services 復元モード (DSRM) でコンピューターを再起動し、 システム イベント ログを調べると、次のように表示されます。

ログ名: システム
ソース: NETLOGON
Date: <DateTime>
イベント ID: 5721
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
ドメイン NWTRADERS のWindows NTまたは Windows 2000 ドメイン コントローラー\\2008r2spn-01.northwindtraders.comへのセッションセットアップが失敗しました。ドメイン コントローラーには、このコンピューター 2008R2SPN-02 によるセッションのセットアップに必要なアカウント 2008R2SPN-02$ がありませんでした。
その他のデータ
このコンピューターが指定されたドメインのメンバーまたはドメイン コントローラーである場合、前述のアカウントは、指定したドメイン内のこのコンピューターのコンピューター アカウントです。 それ以外の場合、アカウントは、指定されたドメインを持つドメイン間信頼アカウントです。

And

ログ名: システム
ソース: Microsoft-Windows-Security-Kerberos
Date: <DateTime>
イベント ID: 3
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
Kerberos エラー メッセージが受信されました。
ログオン セッション時
クライアント時間: サーバー時間: 18:35:19.0000 1/27/2010 Z エラー コード: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN拡張エラー: 0xc0000035 KLIN(0) クライアント領域: クライアント名: サーバー領域: サーバー名: NORTHWINDTRADERS.COM ホスト/2008r2spn-02.northwindtraders.com ターゲット名: ホスト/2008r2spn-02.northwindtraders.com@NORTHWINDTRADERS.COM エラー テキスト: ファイル: 9 行: efb エラー データがレコード データにあります。

ログオンが試行されるたびに、 セキュリティ イベント ログに次の情報が表示されます。

ログ名: セキュリティ
ソース: Microsoft-Windows-Security-Auditing
Date: <DateTime>
イベント ID: 4625
タスク カテゴリ: ログオン
レベル: 情報
キーワード: 監査エラー
ユーザー: N/A
コンピューター: <ComputerName>
説明:
アカウントのログオンに失敗しました。

件名：
セキュリティ ID: SYSTEM
アカウント名: 2008SPN-02$
アカウント ドメイン: ADATUM
ログオン ID: 0x3e7

ログオンの種類: 2

ログオンに失敗したアカウント:
セキュリティ ID: NULL SID
アカウント名: 管理者
アカウント ドメイン: ADATUM

エラー情報:
エラーの理由: ログオン中にエラーが発生しました。
状態: 0xc000018b
サブ状態: 0x0

プロセス情報:
呼び出し元プロセス ID: 0x214
呼び出し元プロセス名: C:\Windows\System32\winlogon.exe

ネットワーク情報:
ワークステーション名: 2008SPN-02
送信元ネットワーク アドレス: 127.0.0.1
ソース ポート: 0

詳細情報:
ログオン プロセス: User32
認証パッケージ: ネゴシエート
転送されたサービス: -
パッケージ名 (NTLM のみ): -
キーの長さ: 0

このイベントは、ログオン要求が失敗したときに生成されます。 アクセスが試行されたコンピューターで生成されます。

[サブジェクト] フィールドは、ログオンを要求したローカル システム上のアカウントを示します。 これは最も一般的に、サーバー サービスなどのサービス、または Winlogon.exe や Services.exe などのローカル プロセスです。

[ログオンの種類] フィールドは、要求されたログオンの種類を示します。 最も一般的な種類は、2 (対話型) と 3 (ネットワーク) です。

[プロセス情報] フィールドは、ログオンを要求したアカウントとプロセスを示します。

[ネットワーク情報] フィールドは、リモート ログオン要求が発生した場所を示します。 ワークステーション名は常に使用できるわけではないので、場合によっては空白のままになることがあります。

認証情報フィールドには、この特定のログオン要求に関する詳細情報が表示されます。

• 転送されたサービスは、このログオン要求に参加している中間サービスを示します。
• パッケージ名は、NTLM プロトコル間で使用されたサブプロトコルを示します。
• キーの長さは、生成されたセッション キーの長さを示します。 セッション キーが要求されなかった場合、これは 0 になります。

また、システム イベント ログに重複する SPN の KDC 11 エラーが表示される場合もあります。

ログ名: システム
ソース: Microsoft-Windows-Kerberos-Key-Distribution-Center
Date: <DateTime>
イベント ID: 11
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
KDC では、Kerberos 認証要求の処理中に重複する名前が検出されました。 重複する名前は host/2008spn-02.adatum.com (型DS_SERVICE_PRINCIPAL_NAME)。 これにより、認証エラーが発生したり、NTLM にダウングレードされたりする可能性があります。 これが発生しないようにするには、Active Directory でホスト/2008spn-02.adatum.com の重複エントリを削除します。

原因

DC サービス プリンシパル名 (SPN) が複製され、DC と他のユーザーまたはコンピューターの両方に属性として存在するようになりました。

解決方法

重複する SPN を見つけて削除します。 この値は、SETSPN.EXE または LDIFDE.EXE で見つけることができます。 この例では、重複する名前は 2008r2spn-02 です。

• setspn.exe -x
• setspn.exe -q 2008r2spn-02*
• ldifde.exe -f spn.txt -d -l serviceprincipalname -r "(serviceprincipalname=*2008r2spn-02*)" -p subtree

詳細

この動作は、Windows Server 2003 または Windows 2000 とは異なります。 これらのオペレーティング システムでは同じエラーが発生せず、重複する DC SPN を使用してログインできます。 Windows Vista 以降では、対話型ログオンでは NTLM へのフェールバックは許可されません。これは、攻撃者が何らかの形で Kerberos に損害を与えるのを防ぎ、セキュリティで保護されていないプロトコルを強制的に使用することを防ぐためのセキュリティ機能です。

ユーザーまたはコンピューターで SPN を更新するには、ユーザーが Administrators、Domain Admins、Enterprise Admins のメンバーであるか、ユーザーまたはコンピューターの servicePrincipalName 属性を変更するためのアクセス許可が付与されている必要があります。 標準ユーザーは SPN を変更できません。ドメインに追加したコンピューターや自分で変更することはできません。 この停止シナリオを作成できるのは、高い特権のユーザーのみです。