この資料では、Windows Server 2012 R2 のドメイン コント ローラー上の Sid を解決するときに発生する問題について説明します。この問題を解決できる修正プログラムがリリースされました。この修正プログラムには、前提条件があります。
現象
この問題は、次の条件に該当する場合に発生します。
-
オブジェクト、グループまたはユーザーを別のドメインに移行してから、それらを元のドメインに移行します。詳細については、問題の詳細についてはを参照してください。
-
PsGetSid ツールを使用するには、セキュリティ識別子 (SID) に対して Windows Server 2012 R2 の DC を検索します。
さらに、Windows Server 2012 R2 のドメイン コント ローラーに接続しているコンピューターでファイルのアクセス許可を表示すると、ファイルのアクセス許可は、ユーザー名またはグループ名ではなく Sid を表示します。
注: PsGetSid ツールを使用して Windows Server 2008 R2 の DC に対して同じ SID を検索する場合、SID が正常に解決します。
原因
この問題は、Windows Server 2012 R2 のドメイン コント ローラーは、SID、SID の履歴を解決できないために発生します。
解決策
この問題を解決するには、Windows Server 2012 R2 のドメイン コント ローラーに修正プログラムをインストールします。
修正プログラムの情報
サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この問題が発生しているシステムにのみ適用してください。
修正プログラムをダウンロードできる場合は、本サポート技術情報の資料の上部に「修正プログラムをダウンロードできます」というセクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにリクエストを送信し、修正プログラムを入手してください。
注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号または別のサービス リクエストを作成する、次のマイクロソフト web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support注: 「修正プログラムのダウンロード利用可能」フォームは、修正プログラムで利用可能な言語を表示します。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。
必要条件
この更新プログラムを適用するには、 2919355 を更新するWindows Server 2012 R2 のインストールが必要です。
レジストリ情報
この修正プログラムを適用しても、以前にリリースされた修正プログラムが置き換えられることはありません。
再起動の必要性
この修正プログラムの適用後、コンピューターの再起動が必要な場合があります。
修正プログラムの置き換えに関する情報
この修正プログラムを適用しても、以前にリリースされた修正プログラムが置き換えられることはありません。
この修正プログラムのグローバル版では、次の表に示す各属性を持つファイル群がインストールされます。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。お使いのローカル コンピューター上にあるこれらのファイルの日付および時刻は、現在の夏時間 (DST) との差と一緒にローカル時刻で表示されます。また、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。
Windows Server 2012 R2 のファイル情報とメモ
重要 Windows 8.1 修正プログラムおよび Windows Server 2012 R2 修正プログラムには同じパッケージが含まれます。ただし、修正プログラムのリクエスト ページにある修正プログラムは各オペレーティング システムの下に一覧表示されています。1 つまたは両方のオペレーティング システムに適用される修正プログラム パッケージを要求するには、ページの「Windows 8.1/Windows Server 2012 R2"下に記載されている修正プログラムを選択します。必ず資料の「対象製品」を参照して、各修正プログラムの適用対象である実際のオペレーティング システムを確認してください。
-
特定の製品、マイルストーン (RTM、SPn)、およびサービス区分 (LDR、GDR) に適用されるファイルは、次の表に示されているように、ファイルのバージョン番号を調べることによって識別できます。
バージョン
製品
マイルストーン
サービス区分
6.3.960 0.17 xxx
Windows Server 2012 R2
RTM
GDR
-
GDR サービス区分には、広範囲にわたる重要な問題を解決するために幅広くリリースされている修正プログラムのみが含まれています。LDR 区分には、幅広くリリースされている修正プログラムだけでなく、ホットフィックスも含まれています。
-
各環境ごとにインストールされている MANIFEST ファイル (.manifest) と MUM ファイル (.mum) は、「追加ファイル情報」セクションにおいて個別に一覧表示されています。MUM ファイルおよび MANIFEST ファイル、および関連付けられているセキュリティ カタログ (.cat) ファイルは、更新されたコンポーネントの状態を維持するために非常に重要です。属性が一覧表示されていないセキュリティ カタログ ファイルは、Microsoft デジタル署名で署名されています。
すべてのサポートされている x64 ベース バージョンの Windows Server 2012 R2
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
---|---|---|---|---|---|
Lsadb.dll |
6.3.9600.17564 |
198,144 |
06-Jan-2015 |
05:23 |
x64 |
追加ファイル情報
Windows Server 2012 R2 用の追加ファイル情報
すべてのサポートされている x 64 ベース バージョンの Windows Server 2012 R2 用の追加ファイル
ファイルのプロパティ |
値 |
---|---|
ファイル名 |
Amd64_e4945a4e0ffd3c6d2035f11f29d5fcee_31bf3856ad364e35_6.3.9600.17566_none_dfccd51a6738b404.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
715 |
日付 (UTC) |
08-Jan-2015 |
時刻 (UTC) |
07:46 |
プラットフォーム |
該当なし |
ファイル名 |
Amd64_microsoft-windows-d..ctoryservices-lsadb_31bf3856ad364e35_6.3.9600.17566_none_8e0c2c42b1f2e3b5.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
8,666 |
日付 (UTC) |
08-Jan-2015 |
時刻 (UTC) |
00:31 |
プラットフォーム |
該当なし |
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
問題の詳細な説明次のような状況を考えます。
-
2012 R2 の Windows ドメイン コント ローラーが環境内であります。
-
グループまたはドメイン B をドメイン A から X オブジェクト SID を持っているユーザーなどのオブジェクトを移行します。したがって、オブジェクトが新しい"Y"オブジェクトの SID を取得し、オブジェクトのsIDHistory属性には、"X"オブジェクト ドメイン A からの SID にはが含まれています。
-
ドメイン A に、オブジェクトを移行します。このような状況では、オブジェクトは、新しい"Z"オブジェクトの SID を取得します。オブジェクトのsIDHistory属性には、"X"のオブジェクト A のドメインの SID と SID がドメイン B から"Y"のオブジェクトが含まれています。
-
元で許可されているリソースがある"X"は、ドメイン A 内のオブジェクトの SID をオブジェクト
このシナリオでは、"X"のオブジェクトのオブジェクトの SID は解決されません。したがって、ファイルのアクセス許可には、SID が表示されます。
注: 元によって許可されているリソースへのアクセスを"X"のオブジェクトの SID は、まだ動作し、影響を受けません。ただし、読み取りし、Sid は、オブジェクト名に解決されていないため、リソースのアクセス許可を決定できません。