現象
このセクションの後半にある影響を受ける更新プログラムの一覧表に記載されている更新プログラムのいずれかを Windows Server 2012 または Windows Server 2012 R2 のドメイン コントローラー、あるいはリモートの呼び出し元に代わってパススルー認証を実行するメンバー サーバーにインストールした後、NTLM 認証がエラー 0xC0000022 で失敗することがあります。 影響を受ける更新プログラムの一覧表に記載されている更新プログラムと一緒にまたはその前後に、マイクロソフト セキュリティ情報 MS16-101 に記載されているセキュリティ更新プログラムをインストールした場合、この問題は発生しません。 注: このセクションに示されている Netlogon サービスのログの例を確認するには、レジストリまたは NLTEST ツールを使用して、デバッグ ログを有効にする必要があります。Netlogon サービスのデバッグ ログを有効にする方法の詳細については、次のマイクロソフト Web ページを参照してください。
Enabling debug logging for the Netlogon service (Netlogon サービスのデバッグ ログを有効にする) この問題が発生すると、以下のようなエラー メッセージが、影響を受けるドメイン コントローラーの Netlogon.log に記録されます。
SamLogon: Network logon of Domain\User memberServer Returns 0xC0000022
次の表は、エラー マッピングを示しています。
16 進 |
10 進 |
記号 |
フレンドリ |
0xC0000022 |
-1073741790 |
STATUS_ACCESS_DENIED |
プロセスからオブジェクトへのアクセスが要求されましたが、 それらのアクセス権が付与されていません。 |
影響を受けるドメイン コントローラーの NETLOGON.LOGS ファイルには、次のようなシグネチャが含まれます。
日付と時刻 [CRITICAL] [11940] DOMAIN: NlpUserValidateHigher: denying access after status: 0xc0000022 0
日付と時刻 [SESSION] [11940] DOMAIN: NlSetStatusClientSession: Set connection status to c0000022 日付と時刻 [SESSION] [11940] DOMAIN: NlSetStatusClientSession: Unbind from server \\DCName (TCP) 0. 日付と時刻 [SESSION] [11940] DOMAIN: NlSetStatusClientSession: Unbind from server \\DCName (TCP) 1. 日付と時刻 [LOGON] [11940] SamLogon: Network logon of Domain\xxxxx from xxxxxxxxx Returns 0xC000018Dまたは、ローカル アカウントを使用するスタンドアロンまたはメンバー コンピューターに関する次のエントリが含まれます。
日付と時刻 [LOGON] [4140] SamLogon: Network logon of ComputerA\LocalAccount from ComputerA Entered
日付と時刻 [CRITICAL] [4140] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonEx: 1761 (may be legitimate for 0xc0000064) 日付と時刻 [LOGON] [4140] SamLogon: Network logon of ComputerA\LocalAccount from ComputerA Returns 0xC0000022拡張エラーのマッピングは次のとおりです。
16 進 |
10 進 |
記号 |
フレンドリ |
0xC0000022 |
-1073741790 |
STATUS_ACCESS_DENIED |
プロセスからオブジェクトへのアクセスが要求されましたが、それらのアクセス権が付与されていません。 |
0x6e1 |
1761 |
RPC_S_ENTRY_NOT_FOUND |
エントリが見つかりません。 |
0xC000018D |
-1073741427 |
STATUS_TRUSTED_RELATIONSHIP_FAILURE |
このワークステーションとプライマリ ドメインとの信頼関係に失敗したため、ログオン要求に失敗しました。 |
影響を受ける更新プログラムの一覧
以下の更新プログラムがこの問題を引き起こす可能性があることがわかっています。 Windows 8.1 および Windows Server 2012 R2
3187754 |
[MS16-110]Windows 用のセキュリティ更新プログラムについて(2016 年 9 月 13 日) |
Windows Server 2012
2922223 |
Windows で RealTimeIsUniversal レジストリ エントリが有効になっている場合に、システム時刻を変更できない |
3167679 |
[MS16-101]Windows 認証用のセキュリティ更新プログラムについて (2016 年 8 月 9 日) |
3174644 |
マイクロソフト セキュリティ アドバイザリ: Diffie-Hellman 鍵交換の更新済サポート |
3175024 |
[MS16-111]Windows カーネル用のセキュリティ更新プログラムについて (2016 年 9 月 13 日) |
3179575 |
2016 年 8 月の Windows Server 2012 用の更新プログラムのロールアップ |
3187754 |
[MS16-110]Windows 用のセキュリティ更新プログラムについて(2016 年 9 月 13 日) |
3185332 |
2016 年 10 月 Windows Server 2012 用のセキュリティ月例品質ロールアップ |
3192393 |
2016 年 10 月 Windows Server 2012 用のセキュリティのみの品質更新プログラム |
3192406 |
2016 年 10 月 Windows Server 2012 用の月例品質ロールアップのプレビュー |
原因
この問題は、最近の更新プログラムのロールアップにより Netlogon.dll を更新する際に依存関係が失われたために発生します。
解決方法
この問題を解決するには、マイクロソフト セキュリティ情報 MS16-101 に記載されているセキュリティ更新プログラムをインストールします。