現在オフラインです。再接続するためにインターネットの接続を待っています

[サーバーの構成] ウィザードで回復モード パスワードが空白に設定される

この記事は、以前は次の ID で公開されていました: JP271641
現象
[サーバーの構成] ウィザードを使用して、フォレスト内に最初のドメイン コントローラを昇格させると、ディレクトリ サービス復元モードのパスワードが Null 値に設定されます。この結果、悪意のあるユーザーが適切な認証なしにドメイン コントローラにログオンすることができます。また、ディレクトリ サービス復元モードのパスワードが設定されると、そのパスワードと回復コンソールのパスワードの間で自動的に同期がとられます。したがって、この脆弱性による影響を受けたコンピュータでは、ディレクトリ サービス復元と回復コンソールの両方で、空白のパスワードが設定されます。

この脆弱性には、次のような重大な制約が存在します。
  • この問題の影響を受けるのは、ドメイン コントローラのみです。ドメイン コントローラに割り当てられていないコンピュータでは、ディレクトリ サービス復元モードを使用することはできません。
  • [サーバーの構成] ウィザードで作成できるのは、フォレスト内で最初に導入されるドメイン コントローラのみです。したがって、この脆弱性の危険性があるのはこのコンピュータのみです。これ以降のすべてのドメイン コントローラは、Dcpromo.exe ツールを使用して作成する必要があるため、この脆弱性による影響は受けません。
  • ドメイン コントローラは物理的にセキュリティが確保されている必要があります。この脆弱性をリモートで利用することはできません。コンピュータのセキュリティが物理的に確保されている場合、この脆弱性による問題が発生する可能性は非常に低くなります。
解決方法
この問題を解決するには、Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
   日付           時刻    バージョン            サイズ   ファイル名   ------------------------------------------------------------------   2000/10/23  14:24  5.0.2195.2540      6,416  setpwd.exe      

修正プログラムのインストール後、Setpwd.exe ツール (%SysytemRoot%\System32 フォルダに格納されています) を使用して、Null 値のパスワードを複雑なパスワードに置き換えることができます。これを行うには、次の手順を実行します。
  1. コマンド プロンプトで、%SystemRoot%\System32 フォルダに移動します。
  2. setpwd [/s:<servername>] と入力し、Enter キーを押します。サーバー名の追加は必須ではありません。このパラメータは、リモート ドメイン コントローラの特定のパスワードを変更する場合にのみ使用します。
  3. "Please type the password for DS Restore Mode Administrator Account:" というメッセージが表示されます。使用する新しいパスワードを入力してください。間違えた場合には、もう一度 setpwd を実行します。
状況
マイクロソフトでは、この問題をこの資料の冒頭に記載したマイクロソフト製品の問題として認識しています。この問題は、Windows 2000 Service Pack 2 で最初に修正されました。
関連情報
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
249149 Microsoft Windows 2000 および Windows 2000 ホットフィックスのインストール
810037 DSRM パスワードを引数として指定可能にする Setpwd.exe の拡張機能
マイクロソフト製品のセキュリティに関するその他の情報については、次のマイクロソフト Web サイトを参照してください。
プロパティ

文書番号:271641 - 最終更新日: 03/23/2006 06:41:55 - リビジョン: 4.2

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbhotfixserver kbhotfixserver kbqfe kbbug kbconversion kbdcpromo kbdynamic kbfix kbrepair kbsetupman KB271641
フィードバック