現象
次のような状況を考えます。
-
Windows Server 2008 R2 を実行しているドメイン コント ローラーがあります。
-
KRBTGT アカウントの権限のある復元操作を実行するとします。
-
Windows 8.1 のクライアントでは、Kerberos.dll ファイルから更新2883201またはそれ以降の更新プログラム、または更新プログラム2845626を使用して Windows 7 クライアントで更新を使用する Windows 8 クライアントにログオンするとします。
-
リセットするか、ドメインのパスワードを変更しようとするとします。
このシナリオでは、パスワードのリセットまたは変更することはできません。さらに、次のエラー メッセージが表示されます。
サーバーのセキュリティ データベースには、このワークステーションの信頼関係に対するコンピューター アカウントはありません。
原因
この問題は、Windows Server 2008 R2 のドメイン コント ローラー固有のフラグで正しく処理されないために発生します。Kerberos.dll ファイルが更新されないユーザーの資格情報のキャッシュ、ユーザーがユーザー プリンシパル名 (UPN) を使用してログオンした場合、問題を解決するのにはクライアント側では、フラグが導入されました。
解決策
修正プログラムの情報
サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この問題が発生しているシステムにのみ適用してください。
修正プログラムをダウンロードできる場合は、本サポート技術情報の資料の上部に「修正プログラムをダウンロードできます」というセクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにリクエストを送信し、修正プログラムを入手してください。
注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号または別のサービス リクエストを作成する、次のマイクロソフト web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support注: 「修正プログラムのダウンロード利用可能」フォームは、修正プログラムで利用可能な言語を表示します。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。
必要条件
この更新プログラムを適用するには、Windows Server 2008 R2 を実行している必要があります。
レジストリ情報
この更新プログラムを適用するために、レジストリに変更を加える必要はありません。
再起動の必要性
この更新プログラムの適用後に、コンピューターを再起動する必要があります。
更新プログラムの置き換えに関する情報
この更新プログラムを適用しても、以前にリリースされた更新プログラムが置き換えられることはありません。
この更新プログラムのグローバル バージョンは、次の表に記載されている属性を持つファイルをインストールします。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。お使いのローカル コンピューター上にあるこれらのファイルの日付および時刻は、現在の夏時間 (DST) との差と一緒にローカル時刻で表示されます。また、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。
Windows Server 2008 R2 のファイル情報のメモ
-
特定の製品、マイルストーン (RTM、SPn)、およびサービス区分 (LDR、GDR) に適用されるファイルは、次の表に示されているように、ファイルのバージョン番号を調べることによって識別できます。
バージョン
製品
マイルストーン
サービス区分
6.1.760
1.18xxxWindows Server 2008 R2
SP1
GDR
6.1.760
1.22xxxWindows Server 2008 R2
SP1
LDR
-
Gdr には、広範囲にわたる非常に重要な問題に対処幅広くリリースされている修正プログラムのみが含まれています。LDR 区分には、幅広くリリースされている修正プログラムだけでなく、ホットフィックスも含まれています。
-
各環境ごとにインストールされている MANIFEST ファイル (.manifest) と MUM ファイル (.mum) は、「追加ファイル情報」セクションにおいて個別に一覧表示されています。MUM ファイルおよび MANIFEST ファイル、および関連付けられているセキュリティ カタログ (.cat) ファイルは、更新されたコンポーネントの状態を維持するために非常に重要です。属性が一覧表示されていないセキュリティ カタログ ファイルは、Microsoft デジタル署名で署名されています。
サポートされているすべての x64 ベース バージョンの Windows Server 2008 R2
|
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
|---|---|---|---|---|---|
|
Kdcsvc.dll |
6.1.7601.18321 |
430,080 |
15-Nov-2013 |
08:40 |
x64 |
|
Kdcsvc.mof |
該当なし |
5,300 |
05-Nov-2010 |
02:14 |
該当なし |
|
Kdcsvc.dll |
6.1.7601.22515 |
434,688 |
14-Nov-2013 |
09:06 |
x64 |
|
Kdcsvc.mof |
該当なし |
5,300 |
05-Nov-2010 |
02:14 |
該当なし |
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
ドメインの復元された KRBTGT アカウントがあるかどうかを確認するのには、ドメイン管理者特権のコマンド プロンプトから次のコマンドを実行できます。
repadmin /showobjmeta <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt
PwdLastSet属性のバージョン (バージョン) の値は、 100002することがありますので、デフォルトの復元は、100000 出力 krbtgt.txt ファイル内ですべての属性をインクリメント、またはそれ以上です。たとえば、出力はとおりです。Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========
…
8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet
ソフトウェア更新プログラムの用語の詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料を参照してください。
824684マイクロソフトのソフトウェア更新プログラムを記述するために使用される一般的な用語説明
追加ファイル情報
