Windows NT 4.0 のドメインで NTLM 2 のレベル 2 より上を使用する Windows 2000 の認証問題

この記事は、以前は次の ID で公開されていました: JP305379
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
現象
NTLM 2 のレベル 2 より上を使用する Windows 2000 ベースのドメインが Windows NT 4.0 ベースのドメインによって信頼されている場合、認証の問題が発生することがあります。Windows 2000 ベースのコンピュータに (Windows NT 4.0 ベースのドメインのメンバとして) ログオンした場合、プライマリ ドメイン コントローラ上の共有にはアクセスできますが、信頼する Windows NT 4.0 ベースのドメインにある他のいずれのメンバ サーバー上の共有にもアクセスできません。

また、両方のノードが Windows NT 4.0 Service Pack 6a ベースのドメインの一部となっている場合、NTLM 2 のより高いレベルを実行している Windows 2000 ベースのクラスタは、参加しているノードを認証しません。したがって、このクラスタへの参加を試みるノードは成功せず、以下のエラーがクラスタのログに記録されます。
[JOIN] Unable to get join version data from sponsor "ip address" using NTLM package, status 5.
原因
NTLM 2 のレベルが 2 より上に設定されている場合、Windows NT 4.0 ベースのコンピュータによって返されるトークンは、Windows 2000 のトークンよりも小さな TokenSize 値を持ちます。このため、TargetName 値と TargetInfo 値は null になります。Windows NT 4.0 には、あるログオン ターゲットに対して、高度のセキュリティを使用する null サーバー名を許可しない関数があります。これが原因で認証の問題が発生します。
回避策
この問題を回避するには、これらのクラスタ ノードに対して Windows 2000 ベースのドメイン コントローラを使用するか、または LmCompatibilityLevel のセキュリティ レベルを下げて参加を許可します。
状況
マイクロソフトでは、この問題をこの資料の冒頭に記載したマイクロソフト製品の問題として認識しています。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 305379 (最終更新日 2002-05-08) をもとに作成したものです。

プロパティ

文書番号:305379 - 最終更新日: 02/13/2014 06:25:13 - リビジョン: 1.0

  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT 4.0 Service Pack 6a
  • kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbwin2000sp3fix KB305379
フィードバック