現在オフラインです。再接続するためにインターネットの接続を待っています

Netlogon.dll のチェック ビルドを使用してアカウントのロックアウトを追跡する

重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
概要
アカウントのロックアウトの追跡は、いくつかの理由のため非常に難しいことがあります。1 つの理由は、無効なパスワードでのログオンの試行が、そのログオンを処理したドメイン コントローラ上にのみ記録されることです (これは、Microsoft Windows 95 ベースのクライアントおよび Microsoft Windows 98 ベースのクライアントの場合です)。もう 1 つの問題は、Microsoft Windows NT ベースのクライアントはローカルに情報を記録できるため、どのドメイン コントローラ上にもログ エントリが記録されないことです。
詳細
警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

ドメイン内で無効なパスワードでのログオンの試行を追跡する比較的簡単な方法は、Netlogon.dll のチェック ビルドをプライマリ ドメイン コントローラ (PDC) 上にインストールすることです。これにより、PDC 上にテキスト ファイルが作成され、そのファイルで、Windows NT ベースのクライアントおよび Windows 95 ベースのクライアントの両方について、無効なパスワードでのログオンがどのクライアントで発生したのかを調査し、特定することができます。

Netlogon.dll のチェック ビルドは、Microsoft Technical Support から入手できます。また、Microsoft Driver Development Kit (DDK) にも含まれています。Windows NT 4.0 に Netlogon.dll のチェック ビルドをインストールするには、次の手順を実行します。
  1. Windir\System32 フォルダに移動します。
  2. Netlogon.dll ファイルの名前を Netlogon.fre に変更します。
  3. Netlogon.dll のチェック バージョンを、System32 フォルダにコピーします。
  4. Regedt32 を起動して、以下のレジストリ キーを探します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon \Parameters\DBFlag
  5. DBFlag の値を 0x4 に変更します。

    : DBFlag を 0x4 に設定すると、ログオン処理のみが記録されます。0x20000004 に設定すると、ログオン イベントに加えてタイム スタンプが記録されます。
  6. Regedt32 を終了します。
  7. サーバーを再起動します。
  8. Windir フォルダの下にデバッグ ディレクトリが作成され、Netlogon.log ファイルが格納されていることを確認します。

以下にいくつかの例を示します。
PORSCHE\example = User AccountTARGA =           BDC928S4 =           Windows NT Workstation928WIN95 =        Windows 95911Turbo =        PDC				
クライアントごとに異なるメッセージが記録されます。

Windows NT Workstation
[LOGON] SamLogon: Interactive logon of PORSCHE\example from 928S4 (via   TARGA) Entered[LOGON] SamLogon: Interactive logon of PORSCHE\example from 928S4 (via   TARGA) Returns 0xC000006A[LOGON] SamLogon: Interactive logon of PORSCHE\example from 928S4 (via   TARGA) Entered[LOGON] SamLogon: Interactive logon of PORSCHE\example from 928S4 (via   TARGA) Returns 0xC0000234				
上の例では、ログオンが試行され、無効なパスワードが原因で失敗し、再度ログオンが試行されて、アカウントのロックアウトが原因で失敗したことがわかります。

Windows 95 および Windows 98 で異なるのは、以下のように、ドメイン名が省略されている点だけです。
[LOGON] SamLogon: Network logon of (null)\EXAMPLE from \\928WIN95 (via   TARGA) Entered[LOGON] SamLogon: Network logon of (null)\EXAMPLE from \\928WIN95 (via   TARGA) Returns 0xC000006A[LOGON] SamLogon: Network logon of (null)\EXAMPLE from \\928WIN95 (via   TARGA) Entered[LOGON] SamLogon: Network logon of (null)\EXAMPLE from \\928WIN95 (via   TARGA) Returns 0xC0000234				
以下に、アカウント ログオンが成功した場合の例を示します。
[LOGON] SamLogon: Network logon of (null)\EXAMPLE from \\928WIN95 Entered[LOGON] SamLogon: Network logon of (null)\EXAMPLE from \\928WIN95 Returns   0x0[LOGON] NetrLogonUasLogon of EXAMPLE from 928WIN95 returns 0				
表示される可能性のあるエラー メッセージは次のとおりです。
0xC0000234 ロックされたアカウントを使用したユーザー ログオン
0xC000006A 誤って入力したか、正しくないパスワードを使用したユーザー ログオン
0xC0000072 管理者が無効にしたアカウントへのユーザー ログオン
0xC0000193 期限切れのアカウントを使用したユーザー ログオン
0xC0000070 許可されていないワークステーションからのユーザー ログオン
0xC000006F 許可された時間以外のユーザー ログオン
0xC0000224 "ユーザーは次回ログオン時にパスワード変更が必要" のフラグが付いたユーザー ログオン
0xC0000071 期限切れのパスワードを使用したユーザー ログオン
0xC0000064 誤って入力したか、正しくないユーザー アカウントを使用したユーザー ログオン
ユーザー アカウントのロックアウトを追跡する場合、重要なエラーは 234 および 6A エラーのみです。

: この一覧にあるのは、一部のエラーだけです。Ntstatus.h には、すべての 0xcxxxxxxx の一覧があります。

無効なパスワードを送信していたワークステーションが判明した後、ワークステーションを正しく構成するか、ユーザーに正しいパスワードを通知することができます。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
109626 Netlogon サービスのデバッグ ログを有効にする
pass thru through authentication
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:189541 - 最終更新日: 05/16/2011 22:41:00 - リビジョン: 3.0

  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows 95
  • Microsoft Windows 98 Standard Edition
  • kbhowto KB189541
フィードバック