LmCompatibilityLevel のエントリの値が 3 以上である場合、UPN 形式を使用する場合、Windows Server 2003 ベースのサーバー上で信頼されたユーザーの認証が失敗しました。

現象

次のような状況を考えます。
  • Windows Server 2003 ベースのサーバーでは、LmCompatibilityLevel のエントリは、値を 3 以上に設定されています。
  • このサーバーは、別のドメイン内のユーザーからの認証要求を受信します。ドメイン間で信頼関係が存在するサーバーでホストし、ユーザーが所属するドメインです。
  • ユーザーのユーザー プリンシパル名 (UPN) は、認証プロセス中に使用されます。
このシナリオでは、ユーザー認証が失敗します。

注: 認証プロセスで、次の形式ではなく、UPN 形式を使用する場合は、この問題は発生しません。
ドメイン名\ユーザー名
さらに、この問題が発生した場合、監査は有効な場合、次のイベントが記録されます。

解決策

リソース ドメイン コント ローラーで、サーバーのセキュリティで保護されたチャネルを持っているこの問題の修正プログラムをインストールして、パススルー認証チェーン内の次の機関に要求を転送します。

修正プログラムの情報

サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この問題が発生しているシステムにのみ適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。

修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。

注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号または別のサービス リクエストを作成する、次のマイクロソフト Web サイトを参照してください。注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。

必要条件

この修正プログラムを適用するには Windows Server 2003 Service Pack 1 または Windows Server 2003 Service Pack 2 のサーバーにインストールされている必要があります。

再起動の必要性

この修正プログラムの適用後、コンピューターを再起動する必要があります。

修正プログラムの置き換えに関する情報


この修正プログラムを適用しても、他の修正プログラムが置き換えられることはありません。

レジストリ情報


この修正プログラムを使用するために、レジストリを変更する必要はありません。

ファイル情報

修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
Windows Server 2003 SP1 では、x86 ベースのバージョン
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォーム
Netlogon.dll5.2.3790.3109426,49624-Mar-200814:04x86
Windows Server 2003 SP2 では、x86 ベースのバージョン
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォーム
Netlogon.dll5.2.3790.4259436,73624-Mar-200813:57x86
Windows Server 2003 では、x64 ベースのバージョン
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォームSP の要件サービス区分
Netlogon.dll5.2.3790.3109689,66424-Mar-200812:11x64SP1該当なし
Wnetlogon.dll5.2.3790.3109426,49624-Mar-200812:11x86SP1WOW
Windows Server 2003 SP2 では、x64 ベースのバージョン
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォームSP の要件サービス区分
Netlogon.dll5.2.3790.4259689,66424-Mar-200812:21x64SP2該当なし
Wnetlogon.dll5.2.3790.4259436,73624-Mar-200812:21x86SP2WOW
Windows Server 2003 SP1 では、IA 64 ベースのバージョン
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォームSP の要件サービス区分
Netlogon.dll5.2.3790.3109989,69624-Mar-200812:07IA-64SP1該当なし
Wnetlogon.dll5.2.3790.3109426,49624-Mar-200812:07x86SP1WOW
Windows Server 2003 SP2 では、IA 64 ベースのバージョン
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォームSP の要件サービス区分
Netlogon.dll5.2.3790.4259989,69624-Mar-200812:12IA-64SP2該当なし
Wnetlogon.dll5.2.3790.4259436,73624-Mar-200812:12x86SP2WOW

回避策

問題を回避するのには次の方法のいずれかを使用します。

方法 1

LmCompatibilityLevel のエントリの値は、2 または 1 に設定します。

方法 2

ドメイン名を使用して、\ 認証プロセスのユーザー名の形式です。

状況

マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。

詳細

LAN Manager (LM) 認証プロトコルは、ネットワーク操作に関する Windows クライアントの認証に使用されます。これらのネットワーク操作には、ドメインへの参加、ネットワーク リソースへのアクセス、およびユーザーまたはコンピューターの認証が含まれます。LM 認証レベルは、クライアント コンピューターとサーバー コンピューター間でネゴシエートするチャレンジ/レスポンス認証プロトコルを決定します。具体的には、LM 認証レベルは、認証プロトコルをネゴシエートしようとして、クライアントまたはサーバーが受け入れる認証プロトコルを決定します。LmCompatibilityLevel のエントリに設定されている値では、ネットワーク ログオン時に使用するチャレンジ/レスポンス認証プロトコルを決定します。

LmCompatibilityLevel のエントリの詳細については、次のマイクロソフト Web サイトを参照してください。詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

824684マイクロソフトのソフトウェア更新プログラムを記述するために使用される一般的な用語説明

プロパティ

文書番号:947861 - 最終更新日: 2017/02/02 - リビジョン: 1

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86)

フィードバック