[サーバーの構成] ウィザードで回復モード パスワードが空白に設定される

文書翻訳 文書翻訳
文書番号: 271641 - 対象製品
この記事は、以前は次の ID で公開されていました: JP271641
すべて展開する | すべて折りたたむ

現象

[サーバーの構成] ウィザードを使用して、フォレスト内に最初のドメイン コントローラを昇格させると、ディレクトリ サービス復元モードのパスワードが Null 値に設定されます。この結果、悪意のあるユーザーが適切な認証なしにドメイン コントローラにログオンすることができます。また、ディレクトリ サービス復元モードのパスワードが設定されると、そのパスワードと回復コンソールのパスワードの間で自動的に同期がとられます。したがって、この脆弱性による影響を受けたコンピュータでは、ディレクトリ サービス復元と回復コンソールの両方で、空白のパスワードが設定されます。

この脆弱性には、次のような重大な制約が存在します。
  • この問題の影響を受けるのは、ドメイン コントローラのみです。ドメイン コントローラに割り当てられていないコンピュータでは、ディレクトリ サービス復元モードを使用することはできません。
  • [サーバーの構成] ウィザードで作成できるのは、フォレスト内で最初に導入されるドメイン コントローラのみです。したがって、この脆弱性の危険性があるのはこのコンピュータのみです。これ以降のすべてのドメイン コントローラは、Dcpromo.exe ツールを使用して作成する必要があるため、この脆弱性による影響は受けません。
  • ドメイン コントローラは物理的にセキュリティが確保されている必要があります。この脆弱性をリモートで利用することはできません。コンピュータのセキュリティが物理的に確保されている場合、この脆弱性による問題が発生する可能性は非常に低くなります。

解決方法

この問題を解決するには、Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
元に戻す画像を拡大する
ダウンロード
Q271641_W2K_SP2_X86_JA.exe
マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
   日付           時刻    バージョン            サイズ   ファイル名
   ------------------------------------------------------------------
   2000/10/23  14:24  5.0.2195.2540      6,416  setpwd.exe      


修正プログラムのインストール後、Setpwd.exe ツール (%SysytemRoot%\System32 フォルダに格納されています) を使用して、Null 値のパスワードを複雑なパスワードに置き換えることができます。これを行うには、次の手順を実行します。
  1. コマンド プロンプトで、%SystemRoot%\System32 フォルダに移動します。
  2. setpwd [/s:<servername>] と入力し、Enter キーを押します。サーバー名の追加は必須ではありません。このパラメータは、リモート ドメイン コントローラの特定のパスワードを変更する場合にのみ使用します。
  3. "Please type the password for DS Restore Mode Administrator Account:" というメッセージが表示されます。使用する新しいパスワードを入力してください。間違えた場合には、もう一度 setpwd を実行します。

状況

マイクロソフトでは、この問題をこの資料の冒頭に記載したマイクロソフト製品の問題として認識しています。 この問題は、Windows 2000 Service Pack 2 で最初に修正されました。

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
249149 Microsoft Windows 2000 および Windows 2000 ホットフィックスのインストール
810037 DSRM パスワードを引数として指定可能にする Setpwd.exe の拡張機能
マイクロソフト製品のセキュリティに関するその他の情報については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/security/

プロパティ

文書番号: 271641 - 最終更新日: 2006年3月23日 - リビジョン: 4.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbhotfixserver kbhotfixserver kbqfe kbbug kbconversion kbdcpromo kbdynamic kbfix kbrepair kbsetupman KB271641
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com