Remove From My Forums

WindowsServer2003環境におけるアカウントロック（BadPwdCount）の挙動について

質問
0

サインインして投票

WindowsServer2003環境におけるアカウントロック（BadPwdCount）の挙動について不明点がございます。

以下の構成でドメインを構築しております。

・DC1：WindowsServer2003 R2SP2（PDCエミュレータ）

・DC2：WindowsServer2003 R2SP2

アカウントロックのポリシーに関しては以下の通りになっております。

・アカウントロックアウトのしきい値：5回ログオンに失敗

・ロックアウトカウンタのリセット：30分後

・ロックアウト期間：0

ユーザの認証失敗の際にBadPwdCountという値が、DC1（PDCエミュレータ）で増加し、DC2にコピーされる。

その値が『アカウントロックアウトのしきい値』に達した場合アカウントロックされる。という認識でおります。

①ログオンの成功にてBadPwdCountがクリアされるとのことだったのですが、

スクリーンセーバによる画面ロックから復帰する際にもBadPwdCountはクリアされるのでしょうか。

②ログオンの成功にてBadPwdCountがクリアされるとのことだったのですが、

DC2に認証を行って成功し、BadPwdCountがクリアされた場合、DC1側のBadPwdCountはクリアされるのでしょうか。

ご回答よろしくお願いいたします

2011年2月2日 1:59

返信

|

引用

回答

0

サインインして投票
まず確認ですが

①【DC2にログイン認証 → 失敗】×3

→　DC1(3)：DC2(3)　※()内の数字はBadPwdCount

②【DC1にログオン認証 → 成功】

→　DC1(0)：DC2(3)　※()内の数字はBadPwdCount

③【DC2にログイン認証 → 失敗】×2

→　DC1(2)：DC2(5)　※()内の数字はBadPwdCount

これらは、実機検証した結果ということになるのでしょうか？

それとも推測ですか？実機検証したということならば、それが正解ということになると思われます。

ただし、

②【DC1にログオン認証 → 成功】

→　DC1(0)：DC2(3)　※()内の数字はBadPwdCount

の検証以降が理論通りではないということですよね～本来なら、DC1（PDC-E）でリセットされたBadPwdCountが複製されるはず・・・

このような動きなら修正は不完全といえますね。

＞PDCの値を複製ではなく、DCでインクリメントしている

ですが、修正が加わった時点でこの動作は行わなくなったと考えられます。BadPwdCountが複製されるはずですから。

私も、提示された情報以上は持ち合わせていませんので検証結果が全てと思われます。

以上、参考になれば幸いです。
MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
- 回答としてマーク 203nakamura 2011年2月4日 12:56
2011年2月4日 2:21

返信

|

引用

モデレータ
0

サインインして投票
こんにちは、フォーラムオペレーターの三沢健二です。

少し私の方でフォローさせていただきますね。

試験問題作成委員会さんが案内されていた KB278299 の内容についてですが、ロックアウトされたアカウントがリセットされた際の動作になりますので、今回検証された動作（認証が成功した場合の動作）とは異なのではと思われます。

なお、BadPwdCount がカウントされる動作は複雑ですので、もし検証されるのであれば、PDC を含めて 3 台以上で検証された方が良いと思います。
（"PDC で認証が行われた場合の動作" "PDC 以外の DC で認証が行われた場合の動作" "それ以外の DC の動作" を確認する必要がありますので）

また、認証が失敗した際に場合によっては自動的に何度かリトライされる場合がありますので（一度の操作で BadPwdCount が 2 以上カウントされる場合がある）、「アカウントのロックアウトのしきい値」が 5 という設定はかなり厳しい設定となり、一度の認証失敗でロックアウトされる事もあり得ます。
（この辺の動作はパケットをキャプチャすると分かると思います）

補足です：
私が以前検証して確認出来た動作について記述させていただきます。

ロックアウトされたアカウントがリセット（ロックアウトが解除）された場合には、ロックアウトがリセットされた事が全ての DC 上に反映され全ての DC 上の BadPwdCount も 0 になるはずです。
（KB278299 に記載されている動作ですね。環境によっては反映されるまでに時間がかかる場合もあります）

認証が成功した場合は、認証が行われた DC 上と PDC 上の BadPwdCount が 0 になるはずです。
PDC 上で認証が行われた場合は、 PDC 上の BadPwdCount のみが 0 になるはずです。
その他の DC 上の BadPwdCount は変化しません。
（こちらが今回検証されていた動作ですね。注意点としては「ロックアウトカウンタのリセット」を経過していた場合には動作が異なります）

パスワードを間違っていた場合の動作については、最初に ABE さんが記載されていた内容になると思います。

それでは、こちらの情報が少しでもお役にたてれば幸いです。

______________________________________
日本マイクロソフト株式会社　フォーラムオペレーター　三沢健二
- 編集済み三沢健二Moderator 2011年2月4日 9:04 補足追記
- 回答としてマーク 203nakamura 2011年2月4日 12:56
2011年2月4日 4:15

返信

|

引用

モデレータ

すべての返信

0

サインインして投票
興味があって調べてみました。

http://msdn.microsoft.com/en-us/library/ms675244.aspx

Account Lockout and Password Concepts
http://technet.microsoft.com/ja-jp/library/cc780271(WS.10).aspx

＞ユーザの認証失敗の際にBadPwdCountという値が、DC1（PDCエミュレータ）で増加し、DC2にコピーされる。

どうやら読んでみると、DC2で間違ったパスワードを入力すると、その情報が最新ではないかもしれないのでDC1（PDC-E）に聞きに行き、PDC-E上でBadPwdCountがインクリメンタルされ、更にDC2でも同様にBadPwdCountがインクリメンタルされる。ですので、コピーとは違うようです。あくまでも自分のDC上でカウントされるということになります。

①ログオンの成功にてBadPwdCountがクリアされるとのことだったのですが、スクリーンセーバによる画面ロックから復帰する際にもBadPwdCountはクリアされるのでしょうか。

こちらを見ると、スクリーンセーバーの画面ロックにおいても認証されるようなことが書いてあるので、復帰時にBadPwdCountはクリアされると考えられます。

②ログオンの成功にてBadPwdCountがクリアされるとのことだったのですが、

DC2に認証を行って成功し、BadPwdCountがクリアされた場合、DC1側のBadPwdCountはクリアされるのでしょうか。

ここに関しては情報がないので、あくまでも推測になりますが、DC2で認証された場合はそのサーバー上でBadPwdCountはリセットされる。ここまでは確か！しかし、PDC-Eにその情報が伝えられるのかどうかは記述が見当たりません。

そもそも、DC2でログオンが成功した際にPDC-Eには情報が届かないはず。

ということは、リセット時間が来るまでPDC-EにはBadPwdCountの情報が残っていると考えられます。

この推論が正しいとすると、リセット時間を長くとるのは少々問題が発生する可能性がありますね。

以上、参考になれば幸いです。

MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
- 回答としてマーク 203nakamura 2011年2月3日 5:45
- 回答としてマークされていない 203nakamura 2011年2月3日 5:46
2011年2月2日 10:05

返信

|

引用

モデレータ
0

サインインして投票
http://support.microsoft.com/kb/278299/ja

うえのKBによるとWindows 2000 SP2以前では複製されないようでしたが

Windows 2000 SP3以降は修正されているようです。

したの日経IT Proのページにも同じようなことが書かれています。

http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/18/

Windows Server 2003 R2 SP2では改善されているのではないでしょうか。

確実な事はインストールCDに付属しているSupport ToolsのADSI Editを使い確認すれば分かるはずです。

試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
- 回答としてマーク 203nakamura 2011年2月3日 5:45
- 回答としてマークされていない 203nakamura 2011年2月4日 1:02
2011年2月2日 15:04

返信

|

引用
0

サインインして投票
なるほど～

試験問題作成委員会に教えていただいた情報を参照すると、BadPwdCountが2003（2000のSP3以降）ではADレプリケーションに含まれるようですね。

ということは、仮にDC2のBadPwdCountが0にリセットされた場合はサイト内レプリケーションによってすべてのDCに複製されるのでDC1（PDC-E）もリセットされると考えられますね。
MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
- 回答としてマーク 203nakamura 2011年2月3日 5:45
- 回答としてマークされていない 203nakamura 2011年2月4日 1:03
2011年2月3日 0:16

返信

|

引用

モデレータ
0

サインインして投票

試験問題作成委員会様、ABE様

ご回答ありがとうございます。

一度回答としてマークさせていただいたのですが、実際にALtool等を導入してBadPwdCountを確認しながら動作確認をした中で腑に落ちない点がありましたので再度確認させてください。

以下の動きは確認できました。

１．【DC2にログイン認証 → 失敗】×3

→　DC1(3)：DC2(3)　※()内の数字はBadPwdCount

２．【DC2にログオン認証 → 成功】

→　DC1(0)：DC2(0)　※()内の数字はBadPwdCount

３．【DC2にログオン認証 → 失敗】×2

→　DC1(2)：DC2(2)　※()内の数字はBadPwdCount

確かに複製されているように見えます。

しかし以下のような事象ではBadPwdCountにずれが生じるようなのですが、これが正しい動作になるのでしょうか？

①【DC2にログイン認証 → 失敗】×3

→　DC1(3)：DC2(3)　※()内の数字はBadPwdCount

②【DC1にログオン認証 → 成功】

→　DC1(0)：DC2(3)　※()内の数字はBadPwdCount

③【DC2にログイン認証 → 失敗】×2

→　DC1(2)：DC2(5)　※()内の数字はBadPwdCount

・PDCでログオン成功した場合、DCには値は複製されない。

・PDCの値を複製ではなく、DCでインクリメントしている。

この動作であれば問題は修正されていないような気がするのですが…

私の認識のズレ等あるのでしょうか

たびたび申し訳ございませんが、ご教授よろしくお願いいたします。

2011年2月4日 1:23

返信

|

引用
0

サインインして投票
まず確認ですが

①【DC2にログイン認証 → 失敗】×3

→　DC1(3)：DC2(3)　※()内の数字はBadPwdCount

②【DC1にログオン認証 → 成功】

→　DC1(0)：DC2(3)　※()内の数字はBadPwdCount

③【DC2にログイン認証 → 失敗】×2

→　DC1(2)：DC2(5)　※()内の数字はBadPwdCount

これらは、実機検証した結果ということになるのでしょうか？

それとも推測ですか？実機検証したということならば、それが正解ということになると思われます。

ただし、

②【DC1にログオン認証 → 成功】

→　DC1(0)：DC2(3)　※()内の数字はBadPwdCount

の検証以降が理論通りではないということですよね～本来なら、DC1（PDC-E）でリセットされたBadPwdCountが複製されるはず・・・

このような動きなら修正は不完全といえますね。

＞PDCの値を複製ではなく、DCでインクリメントしている

ですが、修正が加わった時点でこの動作は行わなくなったと考えられます。BadPwdCountが複製されるはずですから。

私も、提示された情報以上は持ち合わせていませんので検証結果が全てと思われます。

以上、参考になれば幸いです。
MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
- 回答としてマーク 203nakamura 2011年2月4日 12:56
2011年2月4日 2:21

返信

|

引用

モデレータ
0

サインインして投票
こんにちは、フォーラムオペレーターの三沢健二です。

少し私の方でフォローさせていただきますね。

試験問題作成委員会さんが案内されていた KB278299 の内容についてですが、ロックアウトされたアカウントがリセットされた際の動作になりますので、今回検証された動作（認証が成功した場合の動作）とは異なのではと思われます。

なお、BadPwdCount がカウントされる動作は複雑ですので、もし検証されるのであれば、PDC を含めて 3 台以上で検証された方が良いと思います。
（"PDC で認証が行われた場合の動作" "PDC 以外の DC で認証が行われた場合の動作" "それ以外の DC の動作" を確認する必要がありますので）

また、認証が失敗した際に場合によっては自動的に何度かリトライされる場合がありますので（一度の操作で BadPwdCount が 2 以上カウントされる場合がある）、「アカウントのロックアウトのしきい値」が 5 という設定はかなり厳しい設定となり、一度の認証失敗でロックアウトされる事もあり得ます。
（この辺の動作はパケットをキャプチャすると分かると思います）

補足です：
私が以前検証して確認出来た動作について記述させていただきます。

ロックアウトされたアカウントがリセット（ロックアウトが解除）された場合には、ロックアウトがリセットされた事が全ての DC 上に反映され全ての DC 上の BadPwdCount も 0 になるはずです。
（KB278299 に記載されている動作ですね。環境によっては反映されるまでに時間がかかる場合もあります）

認証が成功した場合は、認証が行われた DC 上と PDC 上の BadPwdCount が 0 になるはずです。
PDC 上で認証が行われた場合は、 PDC 上の BadPwdCount のみが 0 になるはずです。
その他の DC 上の BadPwdCount は変化しません。
（こちらが今回検証されていた動作ですね。注意点としては「ロックアウトカウンタのリセット」を経過していた場合には動作が異なります）

パスワードを間違っていた場合の動作については、最初に ABE さんが記載されていた内容になると思います。

それでは、こちらの情報が少しでもお役にたてれば幸いです。

______________________________________
日本マイクロソフト株式会社　フォーラムオペレーター　三沢健二
- 編集済み三沢健二Moderator 2011年2月4日 9:04 補足追記
- 回答としてマーク 203nakamura 2011年2月4日 12:56
2011年2月4日 4:15

返信

|

引用

モデレータ
0

サインインして投票

今回記述した内容は実機で検証しつつbadPwdCountを追いかけた結果になります。

ABE様の記載の通り、当方も修正情報として公開されている複製の動作が納得のいく考え方だったのですが、

実際にインクリメントしているようで腑に落ちない結果ですが…動いている以上、そちらの考えで今後見ていくしかないですね。

ご回答ありがとうございました。大変参考になりました。

2011年2月4日 12:56

返信

|

引用
0

サインインして投票

ありがとうございます。

大変参考になりました。

2011年2月4日 12:57

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

WindowsServer2003環境におけるアカウントロック（BadPwdCount）の挙動について

質問

回答

すべての返信