none
ログオン失敗: アカウントは現在無効に設定されています。 について RRS feed

  • 質問

  • Windows Server 2012 R2 StandardのActive Directory環境下で、
    ドメイン参加済みのクライアントPCにログイン後、ドメイン環境の共有フォルダにアクセスすると
    下記のメッセージが表示される現象が起こりました。

    「ログオン失敗: アカウントは現在無効に設定されています。」
    「システム エラー 1331 が発生しました。」

    クライアントPCにログインした時点でAD認証は上手くいっているかと思いますが、
    ログイン後、ファイルサーバの共有フォルダへのアクセスを試みると上記エラーが発生します。

    該当のADユーザは無効なってなく(無効であればクライアントPC自体にログイン出来ないと思います)エラーの発生原因が不明です。
    症状が発生したクライアントPCに他のADユーザでログインした際は共有フォルダにアクセス可能でした。
    なお、共有フォルダの権限は誰でも接続できる権限となっています。ADと共有フォルダは兼用しています。
    結果としては、エラーとなるADユーザの削除・再作成で解決はしています。

    個人的には下記の点を疑っていますが、見当違いでしょうか。
    ・クライアントPCの固定プロファイル破損に起因するエラーなのか
    ・共有フォルダアクセス時のプロセスでAD情報との整合性が取れていないのか

    原因が全く掴めず、このような現象を経験した方からの有力な情報や解決の糸口になる情報など有れば
    共有頂けますと幸いで御座います。

    宜しくお願い致します。

    2017年10月27日 5:41

すべての返信

  • チャブーンです。

    この件ですが、共有フォルダーとドメインコントローラーが同じということなら、「セキュリティログ」イベントログを確認する方法はあり得ると思います。

    ひとまず「ログオンの失敗」(4625)について、対象時間とアクセス元を確認すれば、どのアカウントでどう反応したのか、といった認証時の状況は確認できると思います。

    https://technet.microsoft.com/ja-jp/library/dn319080(v=ws.11).aspx


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年11月1日 3:20
    モデレータ
  • ご返信ありがとうございます。

    共有フォルダとDCは同居しています。
    イベントログをサーバ側、PC側で確認しました結果、
    PC側にて、資格情報を明示的に使用するログが残っていました。(イベントID:4648)
    この資格情報のアカウントは、共有フォルダにアクセスできないアカウントになっているため、本エラーが発生したのではないかと思っています。ユーザの再作成で資格情報がクリアされエラーの解決に至ったと思います。

    ADユーザと資格情報のユーザが設定している場合、意図的に何かをしない限り(Ranasなど)優先されるのはPCログインしたADユーザで共有フォルダへアクセスするかと思っていたのですが、資格情報が使われる契機がよく分からなくなりました。

    明示的な資格情報を使用してログオンが試行されました。
    サブジェクト:
    セキュリティ ID: S-1-5-21
    アカウント名: xxxxx
    アカウント ドメイン: xxxxx
    ログオン ID: 0x2b
    ログオン GUID: {00000000-0000-0000-0000-000000000000}

    資格情報が使用されたアカウント:
    アカウント名: xxxxx
    アカウント ドメイン: xxxxx
    ログオン GUID: {00000000-0000-0000-0000-000000000000}

    ターゲット サーバー:
    ターゲット サーバー名: xxxxx
    追加情報: xxxxx

    2017年11月7日 3:49