アカウント ロックアウト イベントがドメイン コントローラのセキュリティ イベント ログにも保存される

この記事は、以前は次の ID で公開されていました: JP182918
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。


重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前に必ずレジストリの復元方法を理解しておいてください。復元方法の詳細については、Regedit.exe のヘルプ「レジストリを復元する」、または Regedt32.exe のヘルプ「レジストリ キーを復元する」を参照してください。
現象
ドメイン アカウントを使用して Windows NT にログオンしようとしたユーザーが、誤ったパスワードを繰り返し入力し、そのアカウントのログオン失敗回数の上限に達した場合、そのアカウントはドメイン コントローラでロックアウトされます。

監査ポリシーによりログオン失敗やログオフ失敗のイベントの監査が実行されていれば、失敗したログオンが発生したワークステーションで Windows NT によりアカウント ロックアウト イベント (イベント ID : 539) が生成されます。ただし、ドメイン コントローラではどのイベントも記録されません。管理者はすべてのクライアント システムのイベント ログを検索して、誤ったパスワードが使用されたコンピュータを見つけ出す必要があります。
解決方法

Service Pack の情報

この問題を解決するには、Windows NT 4.0 または Windows NT Server 4.0 Terminal Server Edition の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
152734 Windows NT 4.0 の最新の Service Pack を入手する方法

修正プログラムの情報

修正プログラムを適用する前に

この修正プログラムは LSA データ情報のディスク上の記憶領域を修正するため、マイクロソフトではこのプログラムのアンインストールを推奨していません。次の手順を実行して、修正プログラムにより問題が発生した場合には LSA2-fix 適用前の構成に簡単に戻せるようにしてください。
  1. システム フル バックアップを実行します。
  2. Rdisk /s を実行します。/s コマンド ライン スイッチを使用すると、Rdisk.exe により Sam._ および Security._ データベースが %Systemroot%\Repair フォルダにコピーされます。
  3. %Systemroot% フォルダに、Lsabackout という名前で一時フォルダを作成します。
  4. 以下のファイルを %Systemroot\System32 フォルダから %Systemroot%\Lsabackout フォルダにコピーします。これらのファイルは、LSA2-fix により更新されます。
    Eventlog.dll
    Lsasrv.dll
    Msaudite.dll
    Msv1_0.dll
    Netcfg.dll
    Samlib.dll
    Samsrv.dll
    Services.exe
    Srvmgr.exe
    Xactsrv.dll
  5. 更新されたシステム修復ディスク (ERD) を作成します。このディスクにより、%Systemroot%\System32\Config フォルダにあるディスク上の SAM とレジストリの情報が更新されます。


: この修正プログラムは、「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料に記載されている修正プログラムに替わるものです。

文書番号 : 154087
タイトル : Windows NT 4.0 で不正なバッファサイズによる LSASS.EXE アクセス違反が発生する

文書番号 : 174205
タイトル : ドメイン コントローラ上の LSASS で大量のメモリが使用されることがある

文書番号 : 129457
タイトル : 匿名の接続によるパスワード ポリシーの取得が可能な場合がある


この修正プログラムは Lsa2fixi.exe (x86) および Lsa2fixa.exe (Alpha) として公開されました。ユーザーの利便性を考慮して、この SP3 リリース後の英語版修正プログラムが、次のインターネット上の場所に公開されました。ただし、マイクロソフトは Windows NT 4.0 Service Pack 4 をインストールすることでこの問題を修正することを推奨します。

注 : この修正プログラムの更新版は 1998 年 7 月 20 日に公開されました。Windows NT Service Pack 3 が実行されているシステムに追加のセキュリティ レベルを提供します。

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP3/lsa2-fix/

この修正プログラムが適用されたシステムで Systems Management Server を実行すると、SNMP Event Log Extension Agent (Snmpelea) は次のイベント ID 3007 のエラーを生成します。

   Error opening event log file Security.   Log will not be processed.   Return code from OpenEventLog is 1314.				


セキュリティ イベント ログを管理するために、SNMP Event Log Extension Agent には更新プログラムが必要です。SNMP Event Log Extension Agent の問題を解決するには、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。

文書番号 : 183770
タイトル : [SMS] Snmpelea がセキュリティ イベント ログを開けない
状況
マイクロソフトでは、この問題を Windows NT 4.0 および Windows NT Server 4.0 Terminal Server Edition の問題として認識しています。 この問題は Windows NT 4.0 Service Pack 4.0 および Windows NT Server 4.0 Terminal Server Edition Service Pack 4 で最初に修正されました。
4.00 bad password lockout after
プロパティ

文書番号:182918 - 最終更新日: 12/05/2015 08:30:22 - リビジョン: 5.1

Microsoft Windows NT Server 4.0 Terminal Server, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition, Microsoft BackOffice Small Business Server 4.0

  • kbnosurvey kbarchive kbbug kbfea kbfix KB182918
フィードバック