更新プログラムの適用後に Windows Server 2012、Windows 8.1、および Windows Server 2012 R2 の NTLM 認証が 0xC0000022 エラーで失敗する

現象
このセクションの後半にある影響を受ける更新プログラムの一覧表に記載されている更新プログラムのいずれかを Windows Server 2012 または Windows Server 2012 R2 のドメイン コントローラー、あるいはリモートの呼び出し元に代わってパススルー認証を実行するメンバー サーバーにインストールした後、NTLM 認証がエラー 0xC0000022 で失敗することがあります。

影響を受ける更新プログラムの一覧表に記載されている更新プログラムと一緒にまたはその前後に、マイクロソフト セキュリティ情報 MS16-101 に記載されているセキュリティ更新プログラムをインストールした場合、この問題は発生しません。

注: このセクションに示されている Netlogon サービスのログの例を確認するには、レジストリまたは NLTEST ツールを使用して、デバッグ ログを有効にする必要があります。Netlogon サービスのデバッグ ログを有効にする方法の詳細については、次のマイクロソフト Web ページを参照してください。
この問題が発生すると、以下のようなエラー メッセージが、影響を受けるドメイン コントローラーの Netlogon.log に記録されます。

SamLogon: Network logon of Domain\User memberServer Returns 0xC0000022


次の表は、エラー マッピングを示しています。
16 進10 進記号フレンドリ
0xC0000022-1073741790 STATUS_ACCESS_DENIEDプロセスからオブジェクトへのアクセスが要求されましたが、
それらのアクセス権が付与されていません。

影響を受けるドメイン コントローラーの NETLOGON.LOGS ファイルには、次のようなシグネチャが含まれます。

日付と時刻 [CRITICAL] [11940] DOMAIN: NlpUserValidateHigher: denying access after status: 0xc0000022 0
日付と時刻 [SESSION] [11940] DOMAIN: NlSetStatusClientSession: Set connection status to c0000022
日付と時刻 [SESSION] [11940] DOMAIN: NlSetStatusClientSession: Unbind from server \\DCName (TCP) 0.
日付と時刻 [SESSION] [11940] DOMAIN: NlSetStatusClientSession: Unbind from server \\DCName (TCP) 1.
日付と時刻 [LOGON] [11940] SamLogon: Network logon of Domain\xxxxx from xxxxxxxxx Returns 0xC000018D


または、ローカル アカウントを使用するスタンドアロンまたはメンバー コンピューターに関する次のエントリが含まれます。

日付と時刻 [LOGON] [4140] SamLogon: Network logon of ComputerA\LocalAccount from ComputerA Entered
日付と時刻 [CRITICAL] [4140] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonEx: 1761 (may be legitimate for 0xc0000064)
日付と時刻 [LOGON] [4140] SamLogon: Network logon of ComputerA\LocalAccount from ComputerA Returns 0xC0000022


拡張エラーのマッピングは次のとおりです。
16 進10 進記号フレンドリ
0xC0000022-1073741790 STATUS_ACCESS_DENIEDプロセスからオブジェクトへのアクセスが要求されましたが、それらのアクセス権が付与されていません。
0x6e11761RPC_S_ENTRY_NOT_FOUNDエントリが見つかりません。
0xC000018D -1073741427STATUS_TRUSTED_RELATIONSHIP_FAILUREこのワークステーションとプライマリ ドメインとの信頼関係に失敗したため、ログオン要求に失敗しました。
影響を受ける更新プログラムの一覧

以下の更新プログラムがこの問題を引き起こす可能性があることがわかっています。

Windows 8.1 および Windows Server 2012 R2
3187754 [MS16-110]Windows 用のセキュリティ更新プログラムについて(2016 年 9 月 13 日)


Windows Server 2012
2922223Windows で RealTimeIsUniversal レジストリ エントリが有効になっている場合に、システム時刻を変更できない
3167679[MS16-101]Windows 認証用のセキュリティ更新プログラムについて (2016 年 8 月 9 日)
3174644マイクロソフト セキュリティ アドバイザリ: Diffie-Hellman 鍵交換の更新済サポート
3175024[MS16-111]Windows カーネル用のセキュリティ更新プログラムについて (2016 年 9 月 13 日)
31795752016 年 8 月の Windows Server 2012 用の更新プログラムのロールアップ
3187754[MS16-110]Windows 用のセキュリティ更新プログラムについて(2016 年 9 月 13 日)
31853322016 年 10 月 Windows Server 2012 用のセキュリティ月例品質ロールアップ
31923932016 年 10 月 Windows Server 2012 用のセキュリティのみの品質更新プログラム
31924062016 年 10 月 Windows Server 2012 用の月例品質ロールアップのプレビュー
原因
この問題は、最近の更新プログラムのロールアップにより Netlogon.dll を更新する際に依存関係が失われたために発生します。
解決方法
この問題を解決するには、マイクロソフト セキュリティ情報 MS16-101 に記載されているセキュリティ更新プログラムをインストールします。
プロパティ

文書番号:3195799 - 最終更新日: 11/18/2016 14:07:00 - リビジョン: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation

  • kbbug kbexpertiseinter kbsecbulletin kbsecurity KB3195799
フィードバック