現象
次のような状況を考えます。
-
ネットワーク ポリシー サーバー (NPS) を RADIUS クライアントに対して認証を実行するリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーとして実行している Windows Server 2008 R2 ベースのコンピューターを構成するとします。
-
リモート アクセス アカウント ロックアウトを有効にして、 MaxDenialsエントリを3に設定します。
-
4には、間違ったパスワードを Active Directory アカウント ロックアウトのポリシーを設定します。
-
ユーザーのパスワードが期限切れになったし、ユーザーのデスクトップ コンピューターにパスワードを変更します。
-
携帯電話やタブレットなどのデバイスは、簡単に古いパスワードを使用して繰り返しサーバーで認証しようとします。
-
NPS を実行しているコンピューターと Active Directory ドメイン コント ローラーの間では、小さな通信の待ち時間があります。
このシナリオでは、ユーザーがロックアウトされる Active Directory ドメイン コント ローラーからロックアウトされるまでに彼または彼女は、NPS サーバーであります。ただし、予想される動作では、 MaxDenialsエントリで、ユーザー アカウントのロックアウトを防ぐために設定されている試行回数の後に、NPS サーバーが特定の時間のユーザーをロックすること。
解決策
修正プログラムの情報
サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この修正プログラムは、この資料に記載された問題があったシステムのみに対して適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。マイクロソフト カスタマー サービス サポートの電話番号一覧、または別のサービス リクエストの作成方法については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support 注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。
必要条件
この修正プログラムを適用するのにはインストールされているWindows Server 2008 R2 Service Pack 1が必要です。
再起動に関する情報
この修正プログラムの適用後、コンピューターを再起動する必要があります。
置き換えに関する情報
この更新プログラムを適用しても、これまでにリリースされた更新プログラムが置き換えられることはありません。
修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
Windows Server 2008 R2 のファイル情報のメモ重要 Windows 7 の修正プログラム、および Windows Server 2008 R2 の修正プログラムは、同じパッケージに収められています。ただし、修正プログラムのリクエスト ページにある修正プログラムは各オペレーティング システムの下に一覧表示されています。一方または両方のオペレーティング システムに適用される修正プログラム パッケージをリクエストするには、ページ上の "Windows 7/Windows Server 2008 R2" の下に一覧表示されている修正プログラムを選択します。必ず資料の「対象製品」を参照して、各修正プログラムの適用対象である実際のオペレーティング システムを確認してください。
-
特定の製品、SR_Level (RTM、SPn)、および区分 (LDR、GDR) に適用されるファイルは、次表に記載されているファイルのバージョン番号を調べると確認できます。
バージョン
製品
マイルストーン
サービス区分
6.1.7601.22xxx
Windows Server 2008 R2
SP1
LDR
-
マニフェスト ファイル (.manifest) および MUM ファイル (.mum) インストールされている環境ごとに、個別に記載されている「その他ファイルの Windows Server 2008 R2 の情報」です。MUM ファイル、MANIFEST ファイル、および関連するセキュリティ カタログ (.cat) ファイルは、更新されたコンポーネントの状態を維持するために不可欠です。属性が一覧表示されていないセキュリティ カタログ ファイルは、Microsoft デジタル署名で署名されています。
サポートされているすべての x64 ベース バージョンの Windows Server 2008 R2
|
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
|---|---|---|---|---|---|
|
Iassam.dll |
6.1.7601.22320 |
253,440 |
09-May-2013 |
16:47 |
x64 |
サポートされているすべての IA-64 ベース バージョンの Windows Server 2008 R2
|
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
|---|---|---|---|---|---|
|
Iassam.dll |
6.1.7601.22320 |
523,264 |
09-May-2013 |
14:06 |
IA-64 |
回避策
この問題を回避するには、NPS サーバーとドメイン コント ローラー間の通信を可能な限り高速になっていることを確認します。また、高い値を Active Directory のアカウント ロックアウトのポリシーを設定します。注: 複数の NPS サーバーがある場合 (NPS サーバーの数) を Active Directory のパスワード ポリシーを設定する必要があります * (MaxDenials) +
