2007年02月23日

Windows 95/NT Windows Server 2003 ドメインにログオンできない

Windows Server 2003 ドメインに参加しているコンピュータで、Windows 95 または Service Pack 3(SP3)以降の Windows NT 4.0 を実行している場合、コンピュータにログオンできないことがある。

このとき、Windows NT 4.0 の場合、以下のようなメッセージが表示される。

ログオンできません。ユーザー名とログオン先を確定して、もう一度パスワードを入力してください。パスワードでは大文字と小文字が区別されます。

一方、Windows 95 の場合、以下のようなメッセージが表示される。

入力されたドメインパスワードが正しくないか、またはログオンサーバーへのアクセスが拒否されました。

Windows Server 2003 を実行しているドメインコントローラのセキュリティ設定は、既定で悪意のあるユーザーによるドメインコントローラの通信の傍受または改ざんを防止できるように構成されている。この既定のセキュリティ設定では、ユーザーが Windows Server 2003 を実行しているドメインコントローラと通信を正しくネゴシエートするには、クライアントコンピュータでサーバーメッセージブロック(SMB)署名と、セキュリティ保護されたチャネルのトラフィック暗号化または署名の両方を使用する必要がある。Service Pack 3(SP3)またはそれ以前がインストールされた Windows NT 4.0 を実行しているクライアントや、Windows 95 を実行しているクライアントでは、SMB パケット署名が有効になっていないため、Windows Server 2003 のドメインコントローラで認証できない。

この問題を解決するには、以下のいずれかの方法をとる。

クライアント(Windows NT 4.0 または Windows 95 コンピュータ)をアップグレードする
Windows Server 2003 サーバーでセキュリティ設定を変更する

Windows NT 4.0 をアップグレードする場合、OS を以降のバージョンのものにアップグレードするか、あるいは Windows NT 4.0 の Service Pack 4(SP4)またはそれ以降をインストールする。Service Pack 3(SP3)では SMB 署名はサポートされているが、セキュリティ保護されたチャネルのトラフィック暗号化または署名はサポートされていない。Service Pack 4(SP4)および Service Pack 5(SP5)では、クライアントで SMB 署名とセキュリティで保護されたチャネルの暗号化または署名が有効になるが、Windows Server 2003ドメインで相互運用する Windows NT 4.0 クライアント上には、Service Pack 6a(SP6a)をインストールすることが推奨されている。

Windows 95 をアップグレードする場合、OS を以降のバージョンのものにアップグレードするか、あるいは最新の Active Directory クライアントをインストールする。

いずれの場合も、マイクロソフトは OS のバージョンアップを推奨している。

クライアントのアップグレードが困難な場合、ドメイン内の Windows Server 2003 を実行しているすべてのドメインコントローラで SMB 署名が要求されないようにすることで、この現象を回避できる。ただしこの場合、セキュリティ上のリスクを内在させることとなるため、マイクロソフト社ではこの構成を推奨していない。セキュリティ設定を構成するには、以下の手順を実行する。

○ サーバーのセキュリティ設定の変更方法
1. ドメインにリンクされた有効なグループポリシーを開く
2. 左ペインから[Windows の設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション]を開く
3. 右ペインから「Microsoft ネットワークサーバー: 常に通信にデジタル署名を使う」ポリシーをダブルクリックする
4. [無効]を選択するか、あるいは[このポリシーの設定を定義する]のチェックをはずす
5. [OK]ボタンをクリックする
6. グループポリシーを更新する

【参照】 マイクロソフト 技術情報 811497

posted by w@ko at 23:08|  ・Windows一般 | このブログの読者になる | 更新情報をチェックする
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。