Windows XP Professional クライアントが Windows NT 4.0 ドメインにログオンできないことがある。以下のようなメッセージが表示される。
| ドメインに接続できません。ドメインコントローラがダウンしているか利用できない状態になっている、またはコンピュータアカウントが見つからなかったことが原因として考えられます。 |
この場合、ドメインのドメインコントローラには以下のイベントが記録されることがある。
| 種類 | : | エラー |
| ソース | : | NETLOGON |
| イベント ID | : | 5723 |
| 説明 | : | コンピュータ コンピュータ名 からのセッション設定は、このコンピュータのセキュリティデータベースに信頼アカウントがないため失敗しました。セキュリティデータベースで参照されたアカウントの名前は コンピュータ名$ です。 |
一方、同様にクライアントコンピュータには以下のイベントが記録されることがある。
| 種類 | : | エラー |
| ソース | : | NETLOGON |
| イベント ID | : | 3227 |
| 説明 | : | ドメイン ドメイン名 の Windows NT または Windows 2000 のドメインコントローラ ¥¥サーバー名 のセットアップセッションは失敗しました。¥¥サーバー名 はネットログオンセッションの署名、封印をサポートしていないためです。ドメインコントローラをアップグレードするか、このコンピュータの RequireSignOrSeal のレジストリエントリを 0 に設定してください。 |
Windows XP では、既定でセキュリティで保護されたチャネルで署名または暗号化を行う。この場合、すべてのセキュリティチャネルトラフィックの署名または暗号化ができないドメインコントローラに対してセキュリティチャネルを確立できない。
Windows NT 4.0 Service Pack 3 以前のコンピュータは、すべてのセキュリティチャネルトラフィックの署名または暗号化ができないため、このコンピュータがドメインコントローラである場合、Windows XP クライアントからのセキュリティチャネルを確立することができず、結果ドメインへのログオンに失敗する。ドメインコントローラでこの設定を有効にするには、信頼できるドメインのすべてのドメインコントローラが、すべてのセキュリティチャネルの署名または暗号化に対応している必要がある。
この問題を解決するには、以下のいずれかの方法で対処を行う必要がある。
| ・ | 参加しているドメインのすべてのドメインコントローラを Windows NT 4.0 Service Pack 4 以降にする |
| ・ | Windows XP クライアントで、すべてのセキュリティチャネルに対する署名または暗号化設定を無効にする |
○ 操作手順
Windows XP Professional でセキュリティチャネルの署名または暗号化設定を変更する方法は以下の通りである。
| 1. | ローカルポリシーエディタを開く |
| 2. | 左ペインから[コンピュータの構成]→[Windows の設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション]を開く |
| 3. | [ドメインメンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する]ポリシーをダブルクリックする] |
| 4. | [無効]を選択し、[OK]ボタンをクリックする |
【参照】 マイクロソフト 技術情報 318266 / 418539
Windows FAQ.
