2014年10月16日木曜日

Windows Server 2012 R2とWindows Server 2003の混在環境でログオンできない

Windows環境マイグレーション実践」という1日の教育コースを提供しています。中心となるのは、Active Directoryドメインサービスの移行です。

旧バージョンとの混在環境は、過去に大きなトラブルがなかったこともあり、あまり重視していませんでしたが、今回は、かなり深刻な問題が報告されています。

Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューターアカウントのパスワードを変更した後にログオンできない

現象が出るまでに時間がかかるため、気付かれなかったようです。以下を参考に対策をお願いします。

 

【現象】

Windows Server 2003 で構成された Active Directory ドメインに Windows Server 2012 R2 のドメインコントローラーを追加すると、追加後、2 ヶ月程度経過した後に、ドメインのメンバーおよびドメインコントローラーでログオンができなくなる場合があります。

 

【背景】

ドメインのメンバーコンピュータは定期的にパスワードを自動的に変更してます。Windows Server 2012 R2では、パスワードの暗号化アルゴリズムが変更されており、古いコンピュータでは認識できません。

Active Directoryは認証に失敗した場合、メンバーに保存されている1つ前のパスワードを使って認証を行います(何らかのパスワード同期トラブルに備えての機能です)。

通常、コンピューターのパスワード更新間隔は30日なので、問題が発生するのは最大60日後ということになります。

Hebikuzureさんのブログ(Hebikuzure's Tech Memo)の以下の記事も参考にしてください。
自動的なコンピュータアカウントパスワード変更を無効にする方法

 

【解決方法】

■問題の予防

問題を未然に防ぐには、Windows Server 2012 R2 をドメインコントローラーとして追加する前に以下の対応を実施します。

  1. ドメインコントローラーとして構成する予定のWindows Server 2012 R2に、Active Directoryドメインサービス役割を追加
  2. 修正プログラムKB2989971を適用
  3. ドメインコントローラーに昇格

役割を追加することで、Active Directoryドメインサービス用のファイルがインストールされます。このファイルに対して修正プログラムを提供することで、ドメインコントローラーに昇格するときは、修正済みのファイルが使われるようになります。

メンバーコンピューターの再起動は不要なので、この方法をおすすめします。

なお、KB2989971の修正プログラムを適用するためには、Windows Updateで配信されているKB2919355が適用されている必要があります。

【参考】http://support.microsoft.com/kb/2989971
Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウントのパスワードを変更した後にログオンできない

■事後対応

Windows Server 2012 R2のドメインコントローラーが既に追加されている場合は、以下の手順で対応します。

  1. KB2989971を全ての Windows Server 2012 R2 のドメイン コントローラーに適用
  2. 全てのドメインコントローラーに対して修正プログラムを適用後(再起動を含む)、ドメインコントローラーを含む全メンバーを再起動
    再起動時に、新機能に対応した暗号化キーを生成するため、問題が解消します。

このように、全サーバーの再起動が必要になってしまいます。

 

【その他】