Windows NT 4.0 ベースのコンピュータで Netlogon サービスを使用して Windows Server 2008 ベースのドメイン コントローラへのセキュリティ チャネルを確立しようとすると処理が失敗することがある

文書翻訳 文書翻訳
文書番号: 942564 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322756 Windows XP および Windows Server 2003 でレジストリをバックアップ、編集および復元する方法
すべて展開する | すべて折りたたむ

目次

現象

Windows NT 4.0 ベースのコンピュータで Netlogon サービスを使用して Windows Server 2008 ベースのドメイン コントローラへのセキュリティ チャネルを確立しようとすると処理が失敗することがあります。Windows NT 4.0 で使用される暗号化アルゴリズムがハードウェアまたはソフトウェアで使用されている場合、ハードウェアまたはソフトウェアで Windows Server 2008 ベースのドメイン コントローラに対するセキュリティ チャネルを確立できないことがあります。

この状況では、次の現象が発生することがあります。

現象 1

Windows NT 4.0 ベースのコンピュータから、Windows Server 2008 ベースのドメイン コントローラによってサービスされているドメインにログオンできません。ドメイン ログオン アカウントの資格情報が Windows NT 4.0 ベースのコンピュータでキャッシュされているかどうかに応じて、次のいずれかのエラー メッセージが表示されることがあります。

エラー メッセージ 1
現在ドメイン DomainName が利用できないため、システムにログオンできません。
エラー メッセージ 2
このドメインのドメイン コントローラにアクセスできませんでした。キャッシュされているアカウント情報を使ってログオンしています。前回のログオン後にプロファイルに加えた変更は反映されない場合があります。

現象 2

Windows NT 4.0 ドメインと Windows Server 2008 ドメインとの間にある信頼が機能しないことがあります。最初の信頼を正常に作成できることがありますが、"Active Directory ドメインと信頼関係" Microsoft 管理コンソール (MMC) スナップイン (domain.msc) を使用した信頼の検証は、失敗することがあります。また、次のエラー メッセージが表示されます。
次のエラー コードのため、操作に失敗しました 317 (0x0000013d)

現象 3

SAMBA サーバー メッセージ ブロック (SMB) クライアントが Windows Server 2008 ベースのドメイン コントローラに対してドメイン参加の操作を実行できない、または、セキュリティ チャネルを確立できません。

さらに、セキュリティ チャネル要求を処理する Windows Server 2008 ベースのドメイン コントローラによって、次のエラー コードが返されます。
16 進 : 0x4F1h
10 進 : 1265
シンボリック エラー : ERROR_DOWNGRADE_DETECTED
簡易エラー : "STATUS_DOWNGRADE_DETECTED"
エラー説明 : セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。
: "STATUS_DOWNGRADE_DETECTED" エラーは、さまざまな根本原因により発生します。このため、このエラーは、必ずしも「現象 3」が発生していることを示しているわけではありません。

現象 4

SMB ストレージ デバイスが、強度の低い暗号化アルゴリズムを使用して Windows Server 2008 ベースのドメイン コントローラに対するセキュリティ チャネルを確立できないことがあります。

: SMB ストレージ デバイスは、IP ストレージ デバイスとも呼ばれます。

認証を行うドメイン コントローラで、次のエラーがシステム ログに記録されます。

エラー 1
ログの名前 : システム
ソース : NETLOGON
ログの日付 : DateTime
イベント ID : 5805
タスクのカテゴリ : なし
レベル : エラー
ユーザー : N/A
コンピュータ : AuDomainName
説明 : コンピュータ <client computer> からのセッション設定を認証できませんでした。次のエラーが発生しました: アクセスが拒否されました。
: AuDomainName は、認証を行うドメイン コントローラの名前を表します。

エラー 2
ログの名前 : システム
ソース : NETLOGON
ログの日付 : DateTime
イベント ID : 5722
タスクのカテゴリ : なし
レベル : エラー
キーワード : Classic
ユーザー : N/A
コンピュータ : AuDomainName
説明 : コンピュータ ClientComputerName からのセッション設定を認証できませんでした。セキュリティ データベースで参照されたアカウント名は ClientComputerName$ です。次のエラーが発生しました:セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。

現在、次の SMB ストレージ デバイスで「現象 4」が発生します。
  • EMC Celerra
デバイスの製造元に問い合わせて、この問題に対する更新プログラムが入手できるかどうかを確認してください。

また、Hewlett-Packard (HP) Advanced Server for OpenVMS から Windows Server 2008 ベースのドメイン コントローラに対してセキュリティ チャネルを確立できないことがあります。具体的には、Windows Server 2008 ベースのドメイン コントローラによって次のエラー コードが OpenVMS の NetrServerAuthenticate 要求に対して返されます。
16 進 : 0x4F1h
10 進 : 1265
シンボリック エラー : ERROR_DOWNGRADE_DETECTED
簡易エラー : "STATUS_DOWNGRADE_DETECTED"
エラー説明 : セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。
: "STATUS_DOWNGRADE_DETECTED" エラーは、さまざまな根本原因により発生します。このため、このエラーは、必ずしも「現象 4」が発生していることを示しているわけではありません。

原因

この問題は、Windows Server 2008 ベースのドメイン コントローラの "Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する" ポリシーのデフォルトの動作が原因で発生します。このポリシーは、Windows オペレーティング システムおよびサードパーティのクライアントが強度の低い暗号化アルゴリズムを使用して、Windows Server 2008 ベースのドメイン コントローラに対する Netlogon セキュリティ チャネルを確立できないようにするために構成されます。

回避策

この問題を回避するには、クライアント コンピュータで Windows Server 2008 と互換性のある暗号化アルゴリズムを使用するようにします。製品の製造元からソフトウェアの更新プログラムを入手することが必要になる場合があります。

サービスの停止が発生するためソフトウェア更新プログラムをインストールできない場合は、次の手順を実行します。
  1. Windows Server 2008 ベースのドメイン コントローラにログオンします。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に gpmc.msc と入力し、[OK] をクリックします。
  3. [グループ ポリシーの管理] コンソールで、[フォレスト: DomainName]、[ドメイン]、[DomainName]、[Domain Controllers] を順に展開します。[Default Domain Controllers Policy] を右クリックし、[編集] をクリックします。
  4. [グループ ポリシー管理エディタ] コンソールで、[コンピュータの構成]、[ポリシー]、[管理用テンプレート]、[システム] を順に展開し、[ネット ログオン] をクリックします。次に、[Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する] をダブルクリックします。
  5. [プロパティ] ダイアログ ボックスで、[有効] をクリックし、[OK] をクリックします。

    注 :
    • デフォルトでは、次のグループ ポリシー オブジェクト (GPO) で、"Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する" ポリシーは [未構成] に設定されます。
      • Default Domain Policy
      • Default Domain Controllers Policy
      • ローカル コンピュータ ポリシー
      Windows Server 2008 ベースのドメイン コントローラの "Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する" ポリシーのデフォルトの動作では、Windows NT 4.0 で使用される暗号化アルゴリズムが接続で使用されることを、プログラムから禁止します。したがって、メンバ コンピュータまたはドメイン コントローラの有効なポリシー設定を列挙するツールでは、"Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する" ポリシーが明示的に有効または無効に設定されていない限り、このポリシーは検出されません。
    • Windows 2000 Server ベースのドメイン コントローラおよび Windows Server 2003 ベースのドメイン コントローラには、"Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する" ポリシーはありません。したがって、Windows Server 2008 より前のバージョンのオペレーティング システムがベースになっているドメイン コントローラでは、Windows NT 4.0 で使用される古い暗号化アルゴリズムがクライアント コンピュータで使用されている場合でも、クライアント コンピュータからのセキュリティ チャネル要求が受け付けられます。セキュリティ チャネル要求が Windows Server 2008 ベースのドメイン コントローラで処理される場合とそうでない場合がある環境では、結果が一定になりません。
  6. 問題を修正するサードパーティのソフトウェア更新プログラムをインストールするか、互換性のない暗号化アルゴリズムを使用するクライアント コンピュータを使用しないようにします。
  7. 手順 1. 〜 4. を再度実行します。
  8. [プロパティ] ダイアログ ボックスで、[無効] をクリックし、[OK] をクリックします。

    重要 : セキュリティ上の理由により、このポリシーのオプション設定を [無効] に戻す必要があります。

状況

この動作は仕様です。

詳細

Windows 2000 またはそれ以降のバージョンの Windows を実行しているコンピュータでの関連する問題

Windows 2000 またはそれ以降のバージョンの Windows を実行しているクライアント コンピュータでは、Windows Server 2008 ベースのドメイン コントローラに対してセキュリティ チャネルを確立する機能は、"Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する" ポリシーの影響を受けません。ただし、これらのクライアント コンピュータで Windows Server 2008 ベースのドメイン コントローラに対して NetJoinDomain 関数が NETSETUP_JOIN_UNSECURE 参加オプションと組み合わせて使用されると、ドメイン コントローラによって次のエラー コードが返されます。
16 進 : 0x4F1h
10 進 : 1265
シンボリック エラー : ERROR_DOWNGRADE_DETECTED
簡易エラー : "STATUS_DOWNGRADE_DETECTED"
エラー説明 : セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。
この問題は、ポリシーの設定が [無効] または [未構成] の場合に発生します。

: "STATUS_DOWNGRADE_DETECTED" エラーは、さまざまな根本原因により発生します。このため、このエラーは、必ずしもこの問題が発生していることを示しているわけではありません。

この問題は、次のオペレーティング システムを実行しているコンピュータで発生することがあります。
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • リリース版の Windows Vista
: Windows Vista Service Pack 1 (SP1) またはそれ以降のバージョンの Windows Vista を実行しているコンピュータは、影響を受けません。

NetJoinDomain 関数は、以下の場合に NETSETUP_JOIN_UNSECURE オプションと組み合わせて使用されます (この関数は、これ以外の場合にも使用されます)。
  • Windows 展開サービス (WDS) またはリモート インストール サービス (RIS) を使用して Windows オペレーティング システムをインストールする。
  • Active Directory 移行ツール (ADMT) を使用して、Windows オペレーティング システムのコンピュータ アカウントを移行する。
マイクロソフトでは、この問題について現在調査中です。詳細については、わかりしだいこの資料に掲載する予定です。

これらの問題のトラブルシューティング方法

クライアント コンピュータから Windows Server 2008 ベースのドメイン コントローラに対してセキュリティ チャネルを確立できない場合は、次の手順を実行して問題のトラブルシューティングを行います。
  1. クライアント コンピュータで Windows NT 4.0 が実行されている場合は、Windows NT 4.0 を Windows 2000 またはそれ以降のバージョンにアップグレードします。アップグレードできない場合は、「回避策」に記載されている手順を実行します。
  2. クライアント コンピュータで Windows 2000 またはそれ以降のバージョンの Windows が実行されていて、セキュリティで保護されていないドメイン参加操作が実行される場合は、一時的な解決方法として「回避策」に記載されている手順を実行します。
  3. クライアント コンピュータで Windows 2000 またはそれ以降のバージョンの Windows が実行されていて、セキュリティで保護されていないドメイン参加操作が実行されるかどうかが不明な場合は、%systemroot%\Debug\Netsetup.log ファイルを確認します。クライアント コンピュータがセキュリティで保護されていないドメイン参加操作を実行している場合は、次のような情報がログに出力されます。
    11/09 02:21:04 Failed to validate machine account for ComputerName against SPN_Name: 0xc0000388
    11/09 02:21:04 NetpJoinDomain: w9x: status of validating account: 0x4f1
    : Netlogon サービスは、ドメインに参加するコンピュータでのみ実行します。
  4. クライアント コンピュータで Windows が実行されていない場合は、次の手順を実行します。
    1. セキュリティ チャネル要求を処理しているドメイン コントローラを特定します。

      : イベント ログおよびトレース ログを使用して、ドメイン コントローラを特定できます。
    2. Netlogon サービスが開始されていることを確認します。これを行うには、次の手順を実行します。
      • [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に Services.msc と入力し、[OK] をクリックします。
      • [サービス] コンソールで、Netlogon サービスの状態が "開始" であることを確認します。
      • 状態が "開始" でない場合は、[Netlogon] サービスを右クリックし、[開始] をクリックします。
    3. セキュリティ チャネル要求を処理する Windows Server 2008 ベースのドメイン コントローラで、Netlogon サービスのデバッグ ログを有効にします。これを行うには、次のいずれかの方法を使用します。

      方法 1
      1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。cmd と入力し、[OK] をクリックします。
      2. コマンド プロンプトで次のコマンドを入力します。
        Nltest.exe /DBFLAG:2000FFFF
      : Netlogon サービスが開始されていない場合は、エラー メッセージ "RPC_S_UNKNOWN_IF" が表示されます。

      方法 2

      警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。
      1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedit と入力し、[OK] をクリックします。
      2. 次のレジストリ サブキーを見つけて右クリックします。
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. [新規] をポイントし、[文字列値] をクリックします。
      4. DBFLAG と入力し、[DBFLAG] レジストリ エントリをダブルクリックします。
      5. [文字列の編集] ダイアログ ボックスで、[値のデータ] ボックスに 0x2000FFFF と入力します。
      6. レジストリ エディタを終了します。
    4. メモ帳で %systemroot%\Debug\Netlogon.log ファイルを開き、次のエラー メッセージを探します。
      the client ClientComputerName$ is asking for NT4 crypto and this server disallows it.
    5. このエラー メッセージが見つかった場合、クライアント コンピュータは Windows NT 4.0 で使用されている古い暗号化アルゴリズムを使用して、Windows Server 2008 ベースのコンピュータに対してセキュリティ チャネルを確立しようとしています。
    6. Windows Server 2008 ベースのドメイン コントローラで、Netlogon サービスのデバッグ ログを無効にします。これを行うには、コマンド プロンプトで次のコマンドを入力します。
      Nltest.exe /DBFLAG:0

関連情報

Netlogon サービスのデバッグ ログを有効にする方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
109626 Netlogon サービスのデバッグ ログを有効にする

NetJoinDomain 関数の関連情報については、次のマイクロソフト Web サイトを参照してください。
http://msdn.microsoft.com/library/ja/default.asp?url=/library/ja/jpnetmg/html/_win32_netjoindomain.asp
この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。明示または黙示にかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

プロパティ

文書番号: 942564 - 最終更新日: 2008年2月20日 - リビジョン: 1.1
この資料は以下の製品について記述したものです。
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
キーワード:?
kbprb kbtshoot kbexpertiseadvanced KB942564
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com