多数のグループに属するユーザーに対してグループ ポリシーが適用されない

文書翻訳 文書翻訳
文書番号: 263693 - 対象製品
この記事は、以前は次の ID で公開されていました: JP263693
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

現象

ユーザーが、多数のグループの直接のメンバであるか、または所属するグループが入れ子になっているために多数のグループのメンバになっている状態で、Kerberos 認証が機能しない場合があります。グループ ポリシー オブジェクト (GPO) がユーザーに適用されず、ユーザーがネットワーク リソースを使用できない場合があります。

原因

Kerberos トークンは固定サイズです。ユーザーが直接グループに登録されるか、または他のグループのメンバになることでグループのメンバになった場合は、そのグループのセキュリティ ID (SID) がユーザーのトークンに追加されます。ユーザーのトークンに追加される SID では、Kerberos トークンを使用して通信する必要があります。必要な SID 情報がトークンのサイズを超えた場合は、認証に失敗します。グループの数は状況によって異なりますが、上限は 70 〜 80 グループです。

多くの操作では、Windows NTLM 認証が成功し、そのために Kerberos 認証の問題が分析されないまま覆い隠されます。ただし、GPO アプリケーションを含む操作は一切機能しません。

解決方法

Service Pack の情報

この問題を解決するには、Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法

修正プログラムの情報

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、修正プログラムはこの資料に記載された問題のみを修正することを目的としており、障害があったコンピュータに対してのみ適用することを推奨します。この修正プログラムは、今後さらにテストを行う場合があります。この問題で深刻な影響を受けていない場合は、この修正プログラムが含まれる次の Windows 2000 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、Microsoft Product Support Services にお問い合わせのうえ、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web ページを参照してください。
http://support.microsoft.com/contactus/?ws=support
: Microsoft Support 担当者が、特定の更新プログラムを適用することにより問題が解決されると判断した場合、まれに通常サポート依頼にかかる料金が免除されることがあります。ただし、特定の更新プログラムの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

ファイル情報

修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
日付           時刻    バージョン         サイズ     ファイル名
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
この修正プログラムで Kerberos トークン サイズを大きくするために使用可能なレジストリ パラメータを使用する必要があることに注意してください。追加情報については、「詳細」を参照してください。

状況

マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。 この問題は Windows 2000 Service Pack 2 で最初に修正されました。

詳細

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

Kerberos トークンのサイズを大きくするためのレジストリ パラメータは、この修正プログラムを適用した後で使用します。たとえば、トークン サイズを 65 KB に増やすと、ユーザーは 900 以上のグループに属することができます。SID 情報に関連付けられているため、この数は場合によって異なります。

このパラメータを使用するには、次の操作を行います。
  1. レジストリ エディタ (Regedt32.exe) を起動します。
  2. レジストリの次のキーを見つけて、クリックします。
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. このキーが存在しない場合は、以下の手順に従って、キーを作成します。
    1. レジストリの次のキーをクリックします。
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. [編集] メニューの [キーの追加] をクリックします。
    3. Parameters キーを作成します。
    4. 新しい [Parameters] キーをクリックします。
  4. [編集] メニューの [値の追加] をクリックし、以下のレジストリ値を追加します。
    値の名前 : MaxTokenSize
    データ型 : REG_DWORD
    基数 : 10 進数
    値のデータ : 65535
  5. レジストリ エディタを終了します。
MaxTokenSize のデフォルト値は 10 進の 12000 です。この値は 10 進の 65535 (16 進の FFFF) に設定することをお勧めします。この値を 16 進の 65535 (非常に大きな値) に誤って設定すると、Kerberos 認証操作が失敗し、プログラムからエラーが返される場合があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
297869 Kerberos のレジストリ値 MaxTokenSize を変更した後の SMS 管理コンソールの問題
この値を設定してコンピュータが更新された後、コンピュータを再起動します。グループ ポリシー設定を使用して、すべてのコンピュータにこの値を設定できます。修正プログラムまたは Windows 2000 SP2 を適用する前にコンピュータにレジストリー キーを追加した場合、変更は有効になりません。

このレジストリ値の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
313661 [FIX] エラー メッセージ : "タイムアウトが発生しました" が発生する
300367 DCOM クライアントがメモリの内容をネットワーク上に送ることがある

よく寄せられる質問

  • 質問 : この修正プログラムは、修正プログラム パッケージまたは Windows 2000 Service Pack 2 のどちらを使用して適用しますか。

    回答 : 修正プログラム 263693 または Windows 2000 SP2 のいずれかを適用できます。
  • 質問 : この修正プログラムを適用した後、この資料に記載されているようにレジストリを変更する必要がありますか。

    回答 : ユーザーは、デフォルトで 70 〜 80 グループに属することができます。さらに多くのグループをサポートする場合は、それに応じてレジストリの値を調整する必要があります。この資料に記載されているガイドライン例に従ってください。
  • 質問 : この修正プログラムの適用とレジストリの変更はどこで行う必要がありますか。

    回答 : レジストリ設定は、エンタープライズ内の Windows 2000 または Microsoft Windows XP を実行しているすべてのコンピュータに実装する必要があります。この対象には、ドメイン コントローラ、メンバ サーバー、およびクライアント コンピュータが含まれます。修正プログラムは、Windows 2000 Service Pack 1 以前を実行しているコンピュータに対しても必要です。
  • 質問 : ターミナル サーバー セッション (TS はメンバ サーバーで実行) からドメインにログオンします。この場合、修正プログラムをどこにインストールする必要がありますか。

    回答 : Kerberos 修正プログラム 263693 は、ドメイン コントローラにのみインストールしてください。
  • 質問 : この修正プログラムは、認証に対するシステム パフォーマンスにどのように影響しますか。

    回答 : トークン サイズは静的に定義されるデータ構造です。ほとんどのシステムにとって、65 KB の増加による影響は比較的小さいものです。ただし、ユーザーが 1000 近いグループのメンバである場合、グループ数がもっと少ない場合に比べ、認証にかかる時間は長くなります。つまり、トークン サイズが大きくなっても、メモリ リソース消費量が増加する以外のパフォーマンスの低下は見られません。これは、GPO 初期化を含む操作に対して言えることで、実際に送信される Kerberos 情報が固定サイズでないことが理由です。サイズは、要求されるグループや SID 情報によって異なります。
  • 質問 : ドメイン コントローラやワークステーションのメモリ リソースに対し、これはどのように影響しますか。

    回答 : ドメイン コントローラはユーザー アクセス チケットを生成しますが、ワークステーションに割り当てます。このため、レジストリで設定したトークン サイズに応じて、ワークステーション上で少量のメモリが使用されます。

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
277741 Kerberos トークンに割り当てられたバッファが不十分で Internet Explorer によるログオンが失敗する
297869 Kerberos のレジストリ値 MaxTokenSize を変更した後の SMS 管理コンソールの問題
Windows 2000 と Windows 2000 の修正プログラムを同時にインストールする方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
249149 Microsoft Windows 2000 および Windows 2000 ホットフィックスのインストール

プロパティ

文書番号: 263693 - 最終更新日: 2006年3月23日 - リビジョン: 5.5
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
キーワード:?
kbhotfixserver kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com