現象
次のような状況を考えます。
-
ユーザー アカウントは、Windows Server 2003 ドメインに作成されます。
-
このドメイン内のすべてのドメイン コント ローラーは、Windows Server 2003 を実行しています。
-
ユーザー アカウントは、データ暗号化標準 (DES) 暗号化の種類を使用して、Kerberos 認証用に構成します。
-
Windows Server 2008 R2 を実行しているコンピューターがドメインに参加します。
-
Active Directory は、メンバー サーバーにインストールされます。
このシナリオでは、ユーザー アカウント ログオンできないドメインに Windows Server 2008 R2 のドメイン コント ローラーが起動した直後にします。次のエラー メッセージが表示されることも。
KDC には、最初の資格情報を取得中に暗号化の種類のサポートはありません。
さらに、次のイベントは、Windows Server 2008 R2 を実行しているドメイン コント ローラーのシステム ログに記録されます。
ログ名: システム
ソース: Microsoft-Windows-Kerberos-Key-Distribution-Center
日付:日付
イベント ID: 14
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター:コンピューター名
説明:
ターゲット サービス krbtgt の AS 要求を処理中にアカウントの名前はありませんでした (不足しているキーは、1 の ID を持つ) の Kerberos チケットを生成するための適切なキーです。要求された etype: 16 1 11 10 15 12 13 です。アカウントで利用できる etype: 23-133-128。変更するか、ユーザー名のパスワードをリセットするには、適切なキーが生成されます。
ログ名: システム
ソース: Microsoft-Windows-Kerberos-Key-Distribution-Center
日付:日付
イベント ID: 16
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター:コンピューター名
説明:
ターゲット サーバーのサーバー名の TGS 要求を処理中にアカウントaccount_nameはありませんでした (不足しているキーは、9 の ID を持つ) の Kerberos チケットを生成するための適切なキーです。要求された etype は、3 の 1 でした。アカウントで利用できる etype はされた 23-133-128。Account_nameのパスワードの再設定を変更または正しいキーが生成されます。
原因
この問題は、Windows Server 2003 ドメイン コント ローラーと Windows Server 2008 R2 のドメイン コント ローラー上にユーザー アカウント情報の暗号化の種類を保存するのにはさまざまなデータ構造が使用されるために発生します。
Windows Server 2003 ドメイン コント ローラー上でユーザー アカウントが作成されると、データ構造の暗号化の種類の情報が保存されます。次に、この情報は、AD レプリケーションを使用して、Windows Server 2008 R2 のドメイン コント ローラーにコピーされます。
注: この問題は、ユーザー アカウントのパスワードがリセットされたときにも発生します。
Windows Server 2008 R2 のドメイン コント ローラーは、ユーザー アカウントを認証するとき、ドメイン コント ローラーは Windows Server 2003 ドメイン コント ローラーによって使用されるデータ構造からこの暗号化タイプの情報を読み取ります。この暗号化タイプの情報をコピーすると、別のデータ構造にこと必要がありますし。ただし、予期したとおり、情報はコピーされません。したがって、認証は失敗します。
解決策
修正プログラムの情報
サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この修正プログラムは、この資料に記載された問題があったシステムのみに対して適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。
修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。
注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。マイクロソフト カスタマー サービス サポートの電話番号一覧または別のサービス リクエストの作成については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。
必要条件
次の一覧には、修正プログラムの前提条件が含まれています。
-
Windows Server 2008 R2 をインストールする必要があります。
-
Active Directory ドメイン サービスの役割サービスをインストールする必要があります。
インストールに関する注意事項
Windows Server 2003 ドメインで Windows Server 2008 R2 を実行しているすべてのドメイン コント ローラーにこの修正プログラムをインストールします。ドメインにある Windows Server 2003 サーバーにこの修正プログラムを適用しない必要があります。
レジストリ情報
この修正プログラムを適用しても、以前にリリースされた修正プログラムが置き換えられることはありません。
再起動に関する情報
この修正プログラムの適用後、コンピューターの再起動が必要な場合があります。
修正プログラムの置き換えに関する情報
この修正プログラムを適用しても、以前にリリースされた修正プログラムが置き換えられることはありません。
ファイル情報
この修正プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイル群がインストールされます。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。お使いのローカル コンピューター上にあるこれらのファイルの日付および時刻は、現在の夏時間 (DST) との差と一緒にローカル時刻で表示されます。また、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。
Windows Server 2008 R2 のファイル情報のメモ
-
マニフェスト ファイル (.manifest) および MUM ファイル (.mum) インストールされている環境ごとに、個別に記載されている「その他ファイルの Windows Server 2008 R2 の情報」です。MUM ファイル、MANIFEST ファイル、および関連するセキュリティ カタログ (.cat) ファイルは、更新されたコンポーネントの状態を維持するために不可欠です。属性が一覧表示されていないセキュリティ カタログ ファイルは、Microsoft デジタル署名で署名されています。
サポートされているすべての x64 ベース バージョンの Windows Server 2008 R2
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7600.20597 |
429,568 |
16-Dec-2009 |
16:18 |
x64 |
Kdcsvc.mof |
該当なし |
5,300 |
10-Jun-2009 |
21:01 |
該当なし |
回避策
この問題を回避するには、Windows Server 2008 R2 を実行しているドメイン コント ローラー上の問題のあるユーザー アカウントのパスワードをリセットします。
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
ソフトウェア更新プログラムの用語の詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料を参照してください。
824684マイクロソフトのソフトウェア更新プログラムを記述するために使用される一般的な用語説明
追加ファイル情報
Windows Server 2008 R2 の追加のファイル情報
サポートされているすべての x 64 ベース バージョンの Windows Server 2008 R2 の追加ファイル
ファイル名 |
Amd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
724 |
日付 (UTC) |
17-Dec-2009 |
時刻 (UTC) |
01:36 |
プラットフォーム |
該当なし |
--- |
|
ファイル名 |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
35,825 |
日付 (UTC) |
16-Dec-2009 |
時刻 (UTC) |
16:49 |
プラットフォーム |
該当なし |
--- |
|
ファイル名 |
Update.mum |
ファイル バージョン |
該当なし |
ファイル サイズ |
1,700 |
日付 (UTC) |
17-Dec-2009 |
時刻 (UTC) |
01:36 |
プラットフォーム |
該当なし |