チャブーンです。
この情報は質問ではなく、情報提供の目的で投稿しています。
MS16-101(KB3178465)を適用したクライアント環境では、NTLMベースでのアカウントのパスワード変更が一切できなくなります。
関連スレッド:
https://social.technet.microsoft.com/Forums/ja-JP/86f6eafc-bd5f-4506-9bc9-c9d158a3222f/
https://social.technet.microsoft.com/Forums/ja-JP/400774e6-9f80-4546-a194-da46b53b054e/
https://social.technet.microsoft.com/Forums/ja-JP/fce193bc-13a7-4145-b14a-1c74df166f90/
これですが、MSからMS16-101(KB3178465)についてのアナウンスが、以下のように行われていることがわかりました。
https://blogs.technet.microsoft.com/jpntsblog/2016/08/17/ms16-101/
----
MS16-101 が適用されると、kpasswd での処理に失敗した場合、NTLM に切り替わりません。最初から NTLM 認証でパスワード変更を試行していた場合は、パスワード変更の通信が行われず上記メッセージやエラーが生成されます。
----
これの意味するところですが、パスワードの変更時には必ずKerberos認証ベースで行う必要がある(kpasswdというのはKerberosパスワード変更用のプロトコルになります)ため、事実上NTLM認証でのパスワード変更はできません。たとえば以下のようなケースは、どれも不可能ということになります。
- ワークグループサーバ=ワークグループクライアント間
- ドメインコントローラ=ワークグループクライアント間
- ワークグループサーバ=ドメインクライアント間
- ドメインコントローラ=信頼関係がないドメインクライアント間
- Samba(NTLM認証のみ有効)ドメインコントローラ=Sambaドメインクライアント間
信頼関係があるドメイン間であればKerberosによる認証が行われるため、問題はないはずです。もちろん推移的信頼関係があるドメイン間(シングルフォレスト)では、この問題は発生しません。
本質的な回避方法はないため、サーバに対してリモートデスクトップ接続を行い(これは任意のユーザで問題ありません)、リモートデスクトップ上で「パスワードの変更」を行うといった工夫が今後は必要になります。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
