NoLMHash ポリシーが有効になっている場合に、クラスター サービス アカウントのパスワードを 15 文字以上に設定しなければなりません

現象

2 番目のクラスター ノードに参加しようとすると、セットアップ ウィザードには、次のメッセージが返されます。
< CSA > には、クラスターを管理するアクセス許可がありません。
クラスター上またはリモート サーバーからクラスター アドミニストレーター (CluAdmin.exe) を起動すると、次のエラー メッセージが表示される場合があります。
アクセスが拒否されました

原因

クリア テキストでは、ユーザー アカウントのパスワードを格納するのではなく Microsoft Windows が生成し、「ハッシュ」と呼ばれる、2 つの異なるパスワード表現を使用してユーザー アカウントのパスワードを保存設定するか、15 未満の文字を含むパスワードをユーザー アカウントのパスワードを変更する、Windows には、LAN Manager のハッシュ (LMHash) とパスワードを Microsoft Windows NT ハッシュ (NT ハッシュ) の両方が生成されます。これらのハッシュは、ローカルのセキュリティ アカウント マネージャー (SAM) データベースまたは Active Directory 内に格納されます。


場合は、ネットワーク セキュリティ: 次のパスワードの変更で LAN Manager のハッシュ値を保存しないポリシーの設定、Active Directory 内のクラスター サービス アカウント (CSA) の lm ハッシュではありません。

15 文字未満のパスワードを使用すると、CSA では、2 番目のノードを結合する場合、セットアップ プロセスは lm ハッシュを認証するためにセッション キーを作成を生成します。Active Directory、lm ハッシュが格納されていないために、ドメイン コント ローラーは、対応するセッション キーを構築できません。アクセスが拒否されました。CSA の 15 文字以上のパスワードを使用する場合は、セットアップ プロセスによって、lm ハッシュを生成できません。代わりに、セッション キーを派生させるために Windows NT のパスワードのハッシュが使用されます。ドメイン コント ローラーは、対応するセッション鍵を生成することはできなくなります。認証は成功します。パスワードが LAN Manager のハッシュとして格納されることを防止する方法の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします:

299656 Windows Active Directory とローカルの SAM データベースのパスワードの LAN manager のハッシュを格納するを防ぐ方法

解決策

問題を解決するには、自分の状況に最も適した方法を選択します。

方法 1: には、少なくとも 15 文字以内のパスワードを使用します。

NoLMHash ポリシーは、Active Directory で設定されており、セキュリティ上の理由から無効にすることはできません、ときに、15 文字以上のパスワードを使用してクラスターのセットアップ ウィザードが、lm ハッシュを認証に使用することを防止します。

方法 2: lm ハッシュを Active Directory 内のストレージを有効にします。

Active Directory でグループ ポリシーを使用してユーザー パスワードの lm ハッシュの格納を有効にします。これを行うには、以下の手順を実行します。
  1. 既定のドメイン コント ローラー グループ ポリシーで次のように展開します。
    コンピューターの構成では、 Windows の設定セキュリティの設定] を展開を展開
    [ローカル ポリシー]、[セキュリティ オプション] をクリックします。
  2. 使用可能なポリシーの一覧でダブルクリックします。
    ネットワーク セキュリティ: 次のパスワードの変更で LAN Manager のハッシュ値を保存しない
  3. 無効] をクリックし、をクリックしてください
    OK.
  4. ポリシーがレプリケートされ、適用されることを確認してください。
  5. CSA のパスワードをリセット (長さは 15 文字未満である可能性があります)、lm ハッシュが SAM と AD に書き込まれるかどうかを確認します。

方法 3: 修正プログラムをインストールします。

NoLMHash ポリシーが Active Directory で設定されている場合、15 文字のパスワードに必要はありませんように、この問題を解決するのには Microsoft から修正プログラムがあります。の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします:

890761追加または NTLM バージョン 2 では、Windows Server 2003 を使用する場合は、クラスターにノードを追加するときに「エラー 0x8007042b」エラー メッセージが表示されます。

プロパティ

文書番号:828861 - 最終更新日: 2017/02/01 - リビジョン: 1

フィードバック