現在オフラインです。再接続するためにインターネットの接続を待っています

Windows Server 2008 を実行しているサーバーで Terminal Services サービスを開始できないことがある

ベータ版情報
この資料では、マイクロソフトのベータ版製品について説明しています。この資料の情報は、この資料の発行時点のものであり、将来予告なしに変更することがあります。

このベータ版製品は、マイクロソフトの正規サポート対象外となっています。ベータ版のサポートについては、ベータ版製品に含まれるドキュメントを参照してください。または、ベータ版製品をダウンロードした Web サイトを参照してください。
現象
Windows Server 2008 を実行しているサーバーで、Terminal Services サービスを開始できないことがあります。

この現象は、通常、以前のバージョンの Windows オペレーティング システムを Windows Server 2008 にアップグレードした後に発生します。たとえば、Windows Server 2003 を Windows Server 2008 にアップグレードした後に、この現象が発生することがあります。

この現象が発生すると、次のようなイベントがシステム ログに記録されます。

ログの名前 : システム
ソース : Microsoft-Windows-DistributedCOM
ログの日付 : DateTime
イベント ID : 10005
タスク カテゴリ : なし
レベル : エラー
キーワード : クラシック
ユーザー : N/A
コンピュータ : ComputerName
説明 : サーバー: {F9A874B6-F8A8-4D73-B5A8-AB610816828B} を実行するためにサービス TermService (引数 "") を起動しようとしたときに、DCOM でエラー "1297" が発生しました。

ログの名前 : システム
ソース : LSM
ログの日付 : DateTime
イベント ID : 1048
タスクのカテゴリ : なし
レベル : エラー
キーワード : クラシック
ユーザー : N/A
コンピュータ : ComputerName
説明 : ターミナル サービスの開始に失敗しました。関連する状態コードは Code でした。サービスが適切に機能するために必要な特権が、サービス アカウント構成に存在しません。
サービス Microsoft 管理コンソール (MMC) スナップイン (services.msc) とローカル セキュリティ設定 MMC スナップイン (secpol.msc) を使って、サービス構成とアカウント構成を表示することができます。

原因
この現象は、NETWORK SERVICE アカウントに次のユーザー権利が付与されていないことが原因で発生します。
  • プロセスのメモリ クォータの増加 (SeIncreaseQuotaPrivilege)
  • セキュリティ監査の生成 (SeAuditPrivilege)
  • プロセス レベル トークンの置き換え (SeAssignPrimaryTokenPrivilege)
: NETWORK SERVICE アカウントを使用して開始するように構成されているすべてのサービスで同様の現象が発生することがあります。
解決方法
この現象を解決するには、NETWORK SERVICE アカウントに、「原因」に記載されているユーザー権利を付与します。

: Secpol.msc Microsoft 管理コンソール (MMC) スナップインを使用して、ローカル コンピュータで有効になっているユーザー権利を確認することができます。

サーバーがドメイン コントローラでない場合は、方法 1 または方法 2 を使用します。サーバーがドメイン コントローラである場合は、方法 3 または方法 4 を使用します。

方法 1 : ローカル セキュリティ ポリシー設定でユーザー権利を付与する

この操作を行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Secpol.msc と入力し、[OK] をクリックします。
  2. [ローカル セキュリティ ポリシー] コンソールで、[ローカル ポリシー] を展開し、[ユーザー権利の割り当て] をクリックします。
  3. [プロセスのメモリ クォータの増加] ユーザー権利をダブルクリックします。
  4. [プロセスのメモリ クォータの増加のプロパティ] ダイアログ ボックスで、[ユーザーまたはグループの追加] をクリックします。
  5. [ユーザーまたはグループの選択] ダイアログ ボックスで、[選択するオブジェクト名を入力してください] ボックスに NETWORK SERVICE と入力し、[OK] をクリックします。
  6. [プロセスのメモリ クォータの増加のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
  7. [セキュリティ監査の生成] ユーザー権利および [プロセス レベル トークンの置き換え] ユーザー権利について、手順 3. ~ 6. を繰り返します。
  8. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpupdate と入力し、[OK] をクリックします。

方法 2 : メンバ サーバーに適用されているグループ ポリシー オブジェクト (GPO) でユーザー権利を付与する

この操作を行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpmc.msc と入力し、[OK] をクリックします。
  2. [グループ ポリシーの管理] コンソールで、[フォレスト : DomainName]、[ドメイン]、[DomainName]、[グループ ポリシー オブジェクト] の順に展開し、メンバ サーバーに適用されている GPO を右クリックして [編集] をクリックします。
  3. [グループ ポリシー管理エディタ] コンソールで、[コンピュータの構成]、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] の順に展開し、[ユーザー権利の割り当て] をクリックします。
  4. [プロセスのメモリ クォータの増加] ユーザー権利をダブルクリックします。
  5. [プロセスのメモリ クォータの増加のプロパティ] ダイアログ ボックスで、[これらのポリシーの設定を定義する] チェック ボックスがオンになっていることを確認し、[ユーザーまたはグループの追加] をクリックします。
  6. [ユーザーまたはグループの追加] ダイアログ ボックスで、[ユーザーとグループ名] ボックスに NETWORK SERVICE と入力し、[OK] をクリックします。
  7. [プロパティ] ダイアログ ボックスで、[OK] をクリックします。
  8. [セキュリティ監査の生成] ユーザー権利および [プロセス レベル トークンの置き換え] ユーザー権利について、手順 4. ~ 7. を繰り返して、NETWORK SERVICE アカウントを追加します。
  9. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpupdate と入力し、[OK] をクリックします。

方法 3 : グループ ポリシー設定でユーザー権利を付与する

この操作を行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpmc.msc と入力し、[OK] をクリックします。
  2. [グループ ポリシーの管理] コンソールで、[フォレスト : DomainName]、[ドメイン]、[DomainName]、[グループ ポリシー オブジェクト] の順に展開し、[既定のドメイン コントローラのポリシー] を右クリックして [編集] をクリックします。
  3. [グループ ポリシー管理エディタ] コンソールで、[コンピュータの構成]、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] の順に展開し、[ユーザー権利の割り当て] をクリックします。
  4. [プロセスのメモリ クォータの増加] ユーザー権利をダブルクリックします。
  5. [プロセスのメモリ クォータの増加のプロパティ] ダイアログ ボックスで、[これらのポリシーの設定を定義する] チェック ボックスがオンになっていることを確認し、[ユーザーまたはグループの追加] をクリックします。
  6. [ユーザーまたはグループの追加] ダイアログ ボックスで、[ユーザーとグループ名] ボックスに NETWORK SERVICE と入力し、[OK] をクリックします。
  7. [プロパティ] ダイアログ ボックスで、[OK] をクリックします。
  8. [セキュリティ監査の生成] ユーザー権利および [プロセス レベル トークンの置き換え] ユーザー権利について、手順 4. ~ 7. を繰り返して、NETWORK SERVICE アカウントを追加します。
  9. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpupdate と入力し、[OK] をクリックします。

方法 4 : GptTmpl.inf ファイルを更新する

この操作を行うには、次の手順を実行します。
  1. メモ帳などのテキスト エディタで GptTmpl.inf ファイルを開きます。

    : GptTmpl.inf ファイルは次のフォルダにあります。
    %systemroot%\SYSVOL\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
  2. 次のデフォルトの設定を使用して、ユーザー権利を更新します。
    SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544
    SeAuditPrivilege = *S-1-5-19,*S-1-5-20
    SeAssignPrimaryTokenPrivilege =*S-1-5-19,*S-1-5-20
  3. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。Gpupdate と入力し、[OK] をクリックします。
状況
この動作は仕様です。
詳細
Windows 2000 Server および Windows Server 2003 の場合、デフォルトでは、ローカル システム アカウントを使用して Terminal Services サービスが開始されます。Windows Server 2008 の場合、Terminal Services サービスは NETWORK SERVICE アカウントを使用して開始されます。これはセキュリティの向上を目的としています。NETWORK SERVICE アカウントに、「原因」に記載しているユーザー権利を付与していない場合、Terminal Services サービスは開始できません。

デフォルトのドメイン コントローラ ポリシーで NETWORK SERVICE アカウントからこれらのユーザー権利を削除すると、Windows Server 2008 を実行しているドメイン コントローラで Terminal Services サービスを開始できません。ただし、Windows 2000 Server または Windows Server 2003 を実行しているドメイン コントローラでは Terminal Services サービスを開始できます。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
245207 [HOWTO] NT の権利の名前と意味を確認する方法
243330 Windows サーバー オペレーティング システムの既知のセキュリティ識別子
プロパティ

文書番号:946399 - 最終更新日: 02/06/2008 07:13:47 - リビジョン: 1.1

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter

  • kbtermserv kbexpertiseadvanced kbtshoot kbprb KB946399
フィードバック
appendChild(m);