Windows 2000 ベースのドメイン コントローラー上で Kerberos ポリシーの変更は更新されません。

文書翻訳 文書翻訳
文書番号: 828692 - 対象製品
すべて展開する | すべて折りたたむ

目次

現象

パスワードおよびドメイン コントローラーで、Microsoft Windows 2000 ベースのネットワーク ドメイン セキュリティ ポリシーで Kerberos ポリシーを変更するときは、Kerberos ポリシーの変更はプライマリ ドメイン コントローラー (PDC) エミュレーター操作マスター上で更新されますが、ネットワーク上の他のドメイン コントローラーで Kerberos ポリシーの変更は更新されません。

原因

この問題は、次のすべての条件に当てはまる場合に発生します。
  • ドメイン コントローラーを Microsoft Windows 2000 Service Pack 4 をインストールしました。
  • Microsoft Windows NT ベースのコンピューターを含む混合ネットワーク環境があります。
  • Kerberos ポリシーの変更に使用したドメイン コントローラーが PDC 操作マスターされません。
Windows 2000 Service Pack 4 から始まる、ドメイン全体にわたるアカウントおよび Kerberos ポリシーが処理、PDC エミュレーター操作マスターによってのみされます。 この変更は、ディレクトリ ベースのアカウント ポリシーの不要なの Active Directory 複製されないようにします。

Kerberos ポリシーはレジストリ ベースであるため、これらのポリシーは PDC ではないドメイン コントローラーにレプリケートされません。 Kerberos ポリシーの変更は処理または他のドメイン コントローラー上で更新されません。

解決方法

修正プログラムについて

サポートされている修正プログラムが Microsoft から提供されています。 ただし、ことを目的としたこの修正プログラムものですこの資料に記載されている問題のみを修正します。 この修正プログラムのみシステムに適用この特定の問題が発生しています。

修正プログラムをダウンロードできる場合はこの資料の先頭に「修正プログラムのダウンロード」セクションです。 このセクションは表示されない場合、修正プログラムを入手するにはマイクロソフト カスタマーサービス & サポート要求を送信します。

メモ 追加問題が発生する場合は、個別のサービス要求を作成した任意のトラブルシューティングが必要な場合。 通常のサポート料金が追加の質問およびこの特定の修正プログラムの対象とならない問題について適用されます。 一覧については、完了マイクロソフト カスタマーサービス & サポートの電話番号のまたは個別のサービス要求を作成する、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support
メモ 「修正プログラムのダウンロード」フォームには、修正プログラムが利用する言語が表示されます。 お使いの言語が表示されない場合、修正プログラムがその言語に対応しないのでは。

前提条件

Microsoft Windows 2000 Service Pack 4

再起動の要件

この修正プログラムの適用後、コンピュータを再起動する必要があります。

修正プログラム置き換えに関する情報

修正この修正プログラムはプログラム置き換えられることもほかありません。

ファイル情報

この修正プログラムがファイル属性 (またはそれ以降) 次の表は、されている可能性もします。 これらのファイルの日時に協定時刻 (UTC) 記載します。 各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。 UTC および現地時間の時差を確認するには、コントロール パネル]、日付と時刻ツールの [ タイム ゾーン ] タブを使用してください。

   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   11-Sep-2003  18:10  5.0.2195.6748     124,688  Adsldp.dll       
   11-Sep-2003  18:10  5.0.2195.6748     132,368  Adsldpc.dll      
   11-Sep-2003  18:10  5.0.2195.6748      63,760  Adsmsext.dll     
   11-Sep-2003  18:10  5.0.2195.6815     381,712  Advapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6816      69,904  Browser.dll      
   11-Sep-2003  18:10  5.0.2195.6815     136,464  Dnsapi.dll       
   11-Sep-2003  18:10  5.0.2195.6780      96,528  Dnsrslvr.dll     
   11-Sep-2003  18:10  5.0.2195.6810      47,376  Eventlog.dll     
   11-Sep-2003  18:10  5.0.2195.6815     148,240  Kdcsvc.dll       
   18-Jun-2003  17:43  5.0.2195.6758     205,072  Kerberos.dll     
   26-Mar-2003  21:37  5.0.2195.6695      71,888  Ksecdd.sys
   01-Aug-2003  17:40  5.0.2195.6797     509,712  Lsasrv.dll       
   01-Aug-2003  17:40  5.0.2195.6797      33,552  Lsass.exe        
   17-Jul-2003  23:13  5.0.2195.6786     109,840  Msv1_0.dll       
   11-Sep-2003  18:10  5.0.2195.6601     311,568  Netapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6791     361,232  Netlogon.dll     
   11-Sep-2003  18:10  5.0.2195.6817     931,600  Ntdsa.dll        
   11-Sep-2003  18:10  5.0.2195.6815     392,464  Samsrv.dll       
   11-Sep-2003  18:10  5.0.2195.6817     113,936  Scecli.dll       
   11-Sep-2003  18:10  5.0.2195.6817     259,856  Scesrv.dll       
   04-Sep-2003  17:06  5.0.2195.6801   5,232,128  Sp3res.dll       
   11-Sep-2003  18:10  5.0.2195.6601      51,472  W32time.dll      
   16-Aug-2002  13:32  5.0.2195.6601      57,104  W32tm.exe        
   11-Sep-2003  18:10  5.0.2195.6741     126,224  Wldap32.dll      

回避策

回避この問題、新しいセキュリティ データベースを作成を使用するセキュリティ ポリシーをインポートして各影響を受けるドメイン コントローラーに具体的にはそのポリシーを適用します。 この手順は、ローカル レジストリを更新し、キー配布センター (KDC) によって発行済みのチケットに設定を変更します。

以下は、Kerberos の既定のポリシーを説明するサンプル.inf ファイルです。 どのような変更は、環境に適したを作成します。
; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:    KerbPol.INF
;
; Contains Default Policy Settings for Windows NT 5.0 Domain Controller.
; This template is NOT used by SCE during setup
; This template is applied via GP during Winlogon for the first DC in a Tree
; This template should NOT be used on Workstations or Servers.

; Please DO NOT EDIT version section.
;
[version]
signature="$CHICAGO$"
revision=1
DriverVer=11/14/1999,5.00.2183.1

[Kerberos Policy]
; in hours
MaxTicketAge=10
; in days
MaxRenewAge=7
; in minutes
MaxServiceAge=600
; in minutes
MaxClockSkew=5
; enforce user logon restrictions = yes
TicketValidateClient=1
このテンプレートを使用する次の手順に従います。
  1. ファイルに、サンプル テンプレートを保存します。 名前、ファイルの KerbPol.inf です。
  2. Microsoft 管理コンソール (MMC) を起動します。 これを行うには、 開始 実行 MMC での入力 [ OK] をクリック します。
  3. [セキュリティの構成と分析スナップインを追加します。 これを行うには、次の手順を実行します。
    1. スナップインの追加/削除 [ コンソール ] をクリックします。
    2. [ スタンドアロン ] タブの [ 追加 を] をクリックします。
    3. 利用できるスタンドアロン スナップイン の一覧から [ セキュリティの構成と分析 ] をクリックして、[ 追加 ]、[ 閉じる ] をクリックします。
    4. [ スナップインの追加と削除 ] ダイアログ] ボックスに、 [OK] を選択。
  4. ツリー ビュー ペインで、 [セキュリティの構成と分析 ] を右クリックし、 データベースを開く
  5. [ ファイル名 ] ボックスで KerbPol.sdb を入力を ファイルを開く をクリックします。
  6. [ テンプレートのインポート ] ダイアログ ボックスで手順 1 で保存した.inf ファイルを見つけます。
  7. インポートする前にこのデータベースをクリアする ] チェック ボックスをオン [ 開く ] をクリックします。
  8. ツリー ビュー ペインで、 セキュリティの構成と分析 ] を右クリックして、[ コンピューターの開始の分析 ] をクリックします。
  9. [ 分析の実行 ] ダイアログ] ボックスに、 [OK] を選択します。
  10. 分析が完了したら、[ セキュリティの構成と分析 ] を展開を アカウント ポリシー ] を展開し Kerberos ポリシー ] をクリックします。 データベースの設定 を列の設定が正しいことを確認します。
  11. ツリー ビュー ペインで セキュリティの構成と分析 ] を右クリックして、[ コンピューターの開始の構成 ] をクリックします。
  12. [ システムの構成 ] ダイアログ] ボックスに、 [OK] を選択します。
  13. サーバーを再起動してください。
ドメイン コントローラーが、今すぐ新しいポリシーで構成されます。 手順 4 で作成したデータベースを使用を分析を再実行することができます。 分析が完了したら、 有効な設定 の列と セキュリティの構成と分析 データベースの設定 を列一致していることを確認します。

状況

マイクロソフトとして認識していますこの問題を記載されているいるマイクロソフト製品の問題。

詳細

詳細については、クリック、次資料、記事の「サポート技術情報」(Microsoft Knowledge Base) を表示: して
816915ファイルの新しい名前付けスキーマを Microsoft Windows ソフトウェア更新プログラム パッケージ
824684マイクロソフトのソフトウェアの更新で使用される一般的な用語の説明

プロパティ

文書番号: 828692 - 最終更新日: 2006年10月26日 - リビジョン: 2.5
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Server SP4
キーワード:?
kbbug kbfix kbqfe kbwin2000presp5fix kbhotfixserver kbautohotfix kbmt KB828692 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:828692
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com