Windows Server 2008 ベースのドメイン コントローラーを Windows Server 2008 より前の既存のドメインに追加すると、クライアント コンピューターが正常に動作しないことがある

現象
Windows Server 2008 ベースのドメイン コントローラーを、既定のドメイン ポリシーを使用している、Windows Server 2008 より前の既存のドメインに追加すると、ドメイン内のクライアント コンピューターが正常に動作しないことがあります。
原因
この問題は、Windows Server 2008 ベースのドメイン コントローラーの NoLMHash ポリシー設定用のセキュリティ テンプレート ファイルが、Windows Server 2008 より前の Windows Server ベースのドメイン コントローラーの NoLMHash ポリシー設定用のセキュリティ テンプレート ファイルと一致しない場合に発生することがあります。

Windows Server 2008 のクリーン インストールを実行してから、コンピューターに Active Directory ディレクトリ サービスをインストールすると、NoLMHash ポリシーが有効になるようにセキュリティ テンプレート ファイルが変更されます。

既定のドメイン ポリシーを使用して既存のドメインにドメイン コントローラーとして Windows Server 2008 を追加した場合、既存のドメイン コントローラーの NoLMHash ポリシーが無効になります。また、Windows Server 2008 の NoLMHash ポリシーが有効になります。
解決方法
LMHash を必要とするクライアントがドメイン内に存在する場合、Windows Server 2008 で NoLMHash ポリシーを無効にします。

Windows Server 2008 でグループ ポリシーを使用して NoLMHash ポリシーを無効にするには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。次に、[管理ツール] をクリックし、[ローカル セキュリティ ポリシー] をクリックします。
  2. [セキュリティ設定] を展開し、[ローカル ポリシー] を展開して、[セキュリティ オプション] をクリックします。
  3. 使用可能なポリシーの一覧で、[ネットワーク セキュリティ: 次のパスワードの変更で LAN Manager のハッシュの値を保存しない] をダブルクリックします。
  4. [無効] をクリックし、[OK] をクリックします。
詳細
関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
299656Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法
823659 セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる
プロパティ

文書番号:946405 - 最終更新日: 08/10/2009 08:10:52 - リビジョン: 2.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard

  • kbexpertiseadvanced kbtshoot kbprb KB946405
フィードバック