「Windows環境マイグレーション実践」という1日の教育コースを提供しています。中心となるのは、Active Directoryドメインサービスの移行です。
旧バージョンとの混在環境は、過去に大きなトラブルがなかったこともあり、あまり重視していませんでしたが、今回は、かなり深刻な問題が報告されています。
Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューターアカウントのパスワードを変更した後にログオンできない
現象が出るまでに時間がかかるため、気付かれなかったようです。以下を参考に対策をお願いします。
【現象】
Windows Server 2003 で構成された Active Directory ドメインに Windows Server 2012 R2 のドメインコントローラーを追加すると、追加後、2 ヶ月程度経過した後に、ドメインのメンバーおよびドメインコントローラーでログオンができなくなる場合があります。
【背景】
ドメインのメンバーコンピュータは定期的にパスワードを自動的に変更してます。Windows Server 2012 R2では、パスワードの暗号化アルゴリズムが変更されており、古いコンピュータでは認識できません。
Active Directoryは認証に失敗した場合、メンバーに保存されている1つ前のパスワードを使って認証を行います(何らかのパスワード同期トラブルに備えての機能です)。
通常、コンピューターのパスワード更新間隔は30日なので、問題が発生するのは最大60日後ということになります。
Hebikuzureさんのブログ(Hebikuzure's Tech Memo)の以下の記事も参考にしてください。
自動的なコンピュータアカウントパスワード変更を無効にする方法
【解決方法】
■問題の予防
問題を未然に防ぐには、Windows Server 2012 R2 をドメインコントローラーとして追加する前に以下の対応を実施します。
- ドメインコントローラーとして構成する予定のWindows Server 2012 R2に、Active Directoryドメインサービス役割を追加
- 修正プログラムKB2989971を適用
- ドメインコントローラーに昇格
役割を追加することで、Active Directoryドメインサービス用のファイルがインストールされます。このファイルに対して修正プログラムを提供することで、ドメインコントローラーに昇格するときは、修正済みのファイルが使われるようになります。
メンバーコンピューターの再起動は不要なので、この方法をおすすめします。
なお、KB2989971の修正プログラムを適用するためには、Windows Updateで配信されているKB2919355が適用されている必要があります。
【参考】http://support.microsoft.com/kb/2989971
Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウントのパスワードを変更した後にログオンできない
■事後対応
Windows Server 2012 R2のドメインコントローラーが既に追加されている場合は、以下の手順で対応します。
- KB2989971を全ての Windows Server 2012 R2 のドメイン コントローラーに適用
- 全てのドメインコントローラーに対して修正プログラムを適用後(再起動を含む)、ドメインコントローラーを含む全メンバーを再起動
再起動時に、新機能に対応した暗号化キーを生成するため、問題が解消します。
このように、全サーバーの再起動が必要になってしまいます。
【その他】
- すでに Windows Server 2003 のドメイン コントローラーが降格していてもこの問題は発生する可能性があります。
- Windows Server 2012 R2のドメインコントローラーが存在しており、ログオンができないメンバー上でシステムイベントログにMicrosoft-Windows-Security-Kerberos の ID 4のイベントが記録されている場合には、この問題に合致している可能性が高いと判断できます。
- 詳細は、Windows サポート チームのブログ記事「Windows Server 2012 R2 をドメイン コントローラーとして Windows Server 2003 で構成された Active Directory ドメインに追加後、ログオン障害が発生する」をご覧ください。
0 件のコメント:
コメントを投稿