文書番号: 946399 - 最終更新日: 2008年2月6日 - リビジョン: 1.1

Windows Server 2008 を実行しているサーバーで Terminal Services サービスを開始できないことがある

対象製品
お知らせお使いのオペレーティング システムには適用しない情報が含まれている場合があります。
ベータ版情報
この資料では、マイクロソフトのベータ版製品について説明しています。この資料の情報は、この資料の発行時点のものであり、将来予告なしに変更することがあります。

このベータ版製品は、マイクロソフトの正規サポート対象外となっています。ベータ版のサポートについては、ベータ版製品に含まれるドキュメントを参照してください。または、ベータ版製品をダウンロードした Web サイトを参照してください。

目次

すべて展開する | すべて折りたたむ

現象

Windows Server 2008 を実行しているサーバーで、Terminal Services サービスを開始できないことがあります。

この現象は、通常、以前のバージョンの Windows オペレーティング システムを Windows Server 2008 にアップグレードした後に発生します。たとえば、Windows Server 2003 を Windows Server 2008 にアップグレードした後に、この現象が発生することがあります。

この現象が発生すると、次のようなイベントがシステム ログに記録されます。

ログの名前 : システム
ソース : Microsoft-Windows-DistributedCOM
ログの日付 : DateTime
イベント ID : 10005
タスク カテゴリ : なし
レベル : エラー
キーワード : クラシック
ユーザー : N/A
コンピュータ : ComputerName
説明 : サーバー: {F9A874B6-F8A8-4D73-B5A8-AB610816828B} を実行するためにサービス TermService (引数 "") を起動しようとしたときに、DCOM でエラー "1297" が発生しました。

ログの名前 : システム
ソース : LSM
ログの日付 : DateTime
イベント ID : 1048
タスクのカテゴリ : なし
レベル : エラー
キーワード : クラシック
ユーザー : N/A
コンピュータ : ComputerName
説明 : ターミナル サービスの開始に失敗しました。関連する状態コードは Code でした。サービスが適切に機能するために必要な特権が、サービス アカウント構成に存在しません。
サービス Microsoft 管理コンソール (MMC) スナップイン (services.msc) とローカル セキュリティ設定 MMC スナップイン (secpol.msc) を使って、サービス構成とアカウント構成を表示することができます。

先頭へ戻る

原因

この現象は、NETWORK SERVICE アカウントに次のユーザー権利が付与されていないことが原因で発生します。
  • プロセスのメモリ クォータの増加 (SeIncreaseQuotaPrivilege)
  • セキュリティ監査の生成 (SeAuditPrivilege)
  • プロセス レベル トークンの置き換え (SeAssignPrimaryTokenPrivilege)
: NETWORK SERVICE アカウントを使用して開始するように構成されているすべてのサービスで同様の現象が発生することがあります。
先頭へ戻る

解決方法

この現象を解決するには、NETWORK SERVICE アカウントに、「原因」に記載されているユーザー権利を付与します。

: Secpol.msc Microsoft 管理コンソール (MMC) スナップインを使用して、ローカル コンピュータで有効になっているユーザー権利を確認することができます。

サーバーがドメイン コントローラでない場合は、方法 1 または方法 2 を使用します。サーバーがドメイン コントローラである場合は、方法 3 または方法 4 を使用します。
先頭へ戻る

方法 1 : ローカル セキュリティ ポリシー設定でユーザー権利を付与する

この操作を行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Secpol.msc と入力し、[OK] をクリックします。
  2. [ローカル セキュリティ ポリシー] コンソールで、[ローカル ポリシー] を展開し、[ユーザー権利の割り当て] をクリックします。
  3. [プロセスのメモリ クォータの増加] ユーザー権利をダブルクリックします。
  4. [プロセスのメモリ クォータの増加のプロパティ] ダイアログ ボックスで、[ユーザーまたはグループの追加] をクリックします。
  5. [ユーザーまたはグループの選択] ダイアログ ボックスで、[選択するオブジェクト名を入力してください] ボックスに NETWORK SERVICE と入力し、[OK] をクリックします。
  6. [プロセスのメモリ クォータの増加のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
  7. [セキュリティ監査の生成] ユーザー権利および [プロセス レベル トークンの置き換え] ユーザー権利について、手順 3. 〜 6. を繰り返します。
  8. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpupdate と入力し、[OK] をクリックします。
先頭へ戻る

方法 2 : メンバ サーバーに適用されているグループ ポリシー オブジェクト (GPO) でユーザー権利を付与する

この操作を行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpmc.msc と入力し、[OK] をクリックします。
  2. [グループ ポリシーの管理] コンソールで、[フォレスト : DomainName]、[ドメイン]、[DomainName]、[グループ ポリシー オブジェクト] の順に展開し、メンバ サーバーに適用されている GPO を右クリックして [編集] をクリックします。
  3. [グループ ポリシー管理エディタ] コンソールで、[コンピュータの構成]、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] の順に展開し、[ユーザー権利の割り当て] をクリックします。
  4. [プロセスのメモリ クォータの増加] ユーザー権利をダブルクリックします。
  5. [プロセスのメモリ クォータの増加のプロパティ] ダイアログ ボックスで、[これらのポリシーの設定を定義する] チェック ボックスがオンになっていることを確認し、[ユーザーまたはグループの追加] をクリックします。
  6. [ユーザーまたはグループの追加] ダイアログ ボックスで、[ユーザーとグループ名] ボックスに NETWORK SERVICE と入力し、[OK] をクリックします。
  7. [プロパティ] ダイアログ ボックスで、[OK] をクリックします。
  8. [セキュリティ監査の生成] ユーザー権利および [プロセス レベル トークンの置き換え] ユーザー権利について、手順 4. 〜 7. を繰り返して、NETWORK SERVICE アカウントを追加します。
  9. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpupdate と入力し、[OK] をクリックします。
先頭へ戻る

方法 3 : グループ ポリシー設定でユーザー権利を付与する

この操作を行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpmc.msc と入力し、[OK] をクリックします。
  2. [グループ ポリシーの管理] コンソールで、[フォレスト : DomainName]、[ドメイン]、[DomainName]、[グループ ポリシー オブジェクト] の順に展開し、[既定のドメイン コントローラのポリシー] を右クリックして [編集] をクリックします。
  3. [グループ ポリシー管理エディタ] コンソールで、[コンピュータの構成]、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] の順に展開し、[ユーザー権利の割り当て] をクリックします。
  4. [プロセスのメモリ クォータの増加] ユーザー権利をダブルクリックします。
  5. [プロセスのメモリ クォータの増加のプロパティ] ダイアログ ボックスで、[これらのポリシーの設定を定義する] チェック ボックスがオンになっていることを確認し、[ユーザーまたはグループの追加] をクリックします。
  6. [ユーザーまたはグループの追加] ダイアログ ボックスで、[ユーザーとグループ名] ボックスに NETWORK SERVICE と入力し、[OK] をクリックします。
  7. [プロパティ] ダイアログ ボックスで、[OK] をクリックします。
  8. [セキュリティ監査の生成] ユーザー権利および [プロセス レベル トークンの置き換え] ユーザー権利について、手順 4. 〜 7. を繰り返して、NETWORK SERVICE アカウントを追加します。
  9. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpupdate と入力し、[OK] をクリックします。
先頭へ戻る

方法 4 : GptTmpl.inf ファイルを更新する

この操作を行うには、次の手順を実行します。
  1. メモ帳などのテキスト エディタで GptTmpl.inf ファイルを開きます。

    : GptTmpl.inf ファイルは次のフォルダにあります。
    %systemroot%\SYSVOL\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
  2. 次のデフォルトの設定を使用して、ユーザー権利を更新します。
    SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544
    SeAuditPrivilege = *S-1-5-19,*S-1-5-20
    SeAssignPrimaryTokenPrivilege =*S-1-5-19,*S-1-5-20
  3. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpupdate と入力し、[OK] をクリックします。
先頭へ戻る

状況

この動作は仕様です。
先頭へ戻る

詳細

Windows 2000 Server および Windows Server 2003 の場合、デフォルトでは、ローカル システム アカウントを使用して Terminal Services サービスが開始されます。Windows Server 2008 の場合、Terminal Services サービスは NETWORK SERVICE アカウントを使用して開始されます。これはセキュリティの向上を目的としています。NETWORK SERVICE アカウントに、「原因」に記載しているユーザー権利を付与していない場合、Terminal Services サービスは開始できません。

デフォルトのドメイン コントローラ ポリシーで NETWORK SERVICE アカウントからこれらのユーザー権利を削除すると、Windows Server 2008 を実行しているドメイン コントローラで Terminal Services サービスを開始できません。ただし、Windows 2000 Server または Windows Server 2003 を実行しているドメイン コントローラでは Terminal Services サービスを開始できます。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
245207? (http://support.microsoft.com/kb/245207/ ) [HOWTO] NT の権利の名前と意味を確認する方法
243330? (http://support.microsoft.com/kb/243330/ ) Windows サーバー オペレーティング システムの既知のセキュリティ識別子
先頭へ戻る
この資料は以下の製品について記述したものです。
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
先頭へ戻る
キーワード:?
kbtermserv kbexpertiseadvanced kbtshoot kbprb KB946399
先頭へ戻る
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"