Active Directory の [ログオン先] を利用している場合に Exchange Server への認証が失敗する

現象

Exchange Server 2010、または Exchange Server 2013 環境で Active Directory の [Active Directory ユーザーとコンピューター] → [ユーザー] → [プロパティ] → [アカウント] → [ログオン先]  を利用している場合、クライアント アクセス サーバーの NetBIOS 名を追加しないと、Exchange Server への認証が失敗します。具体的には、アクセス方法によって以下の現象が発生します。

Outlook クライアント
適切なユーザー ID、パスワードを入力しても認証ダイアログが繰り返し表示されます。

OWA (Outlook Web App)
ログオン画面で正しいユーザーID、パスワードを入力しても「入力したユーザー名またはパスワードが正しくありません。入力し直してください。」と表示されます。

原因

ユーザーがコンピューターにログオンする際に、Kerberos 認証のチケット (TGT) をドメイン コントローラーに対して要求します。その要求の際にユーザーがどのコンピューター上でその要求を行っているかという情報が含まれます。
[ログオン先]  の設定が行われているユーザーで TGT の発行要求が行われた場合、その要求が行われたコンピューター名をもとにドメイン コントローラーはユーザーの TGT の発行の可否を判断します。[ログオン先] に設定されていないコンピューターから要求が行われた場合、拒否と判断されユーザーの TGT が発行されず、結果的にログオンに失敗します。
Exchange Server 2010、および、 Exchange Server 2013 ではユーザーがメールボックスへアクセスするためにクライアント アクセス サーバーに接続します。さらに、クライアント アクセス サーバーがユーザーの資格情報を使用してメールボックスサーバーに接続します。このような動作を行う際、クライアント アクセス サーバーはユーザーの資格情報を利用するためにドメイン コントローラーへユーザーの TGT の発行要求を行います。しかしながら、クライアント アクセス サーバー が [ログオン先] に設定されていない場合、ドメイン コントローラーはユーザーの TGT の発行要求を拒否するため、クライアント アクセス サーバーはユーザーの資格情報を利用することができません。その結果、クライアント アクセス サーバーはメールボックス サーバーへ接続できない状態となり、ユーザーはメールボックス サーバーへアクセスできません。

解決方法

クライアント アクセス サーバーの NetBIOS 名を Active Directory の [Active Directory ユーザーとコンピューター] → [ユーザー] → [プロパティ] → [アカウント] → [ログオン先] に追加することで、ドメイン コントローラーはクライアント アクセス サーバーからの当該ユーザーの TGT の発行要求に対して、TGT の発行を行います。その結果として、[ログオン先] が固定されたユーザーにおいても、Exchange Server への認証が成功します。
以下の手順を実行します。

1. Active Directory 上で [Active Directory ユーザーとコンピューター] を開きます。
2. 対象のユーザー名を選択し右クリックして [プロパティ] をクリックします。
3. [アカウント] タブを開き [ログオン先 (T)] をクリックします。
4. [ログオンできるワークステーション] 画面で [次のコンピューター (T)] が選択されていることを確認し [コンピューター名 (O):] 下のフィールドにクライアントアクセスサーバーの NetBIOS 名を入力します。
5. [OK] を押して画面を閉じて [適用] を押して [OK] を押してプロパティを閉じます。
プロパティ

文書番号:2985859 - 最終更新日: 2016/09/29 - リビジョン: 1

フィードバック