none
GPOで対話型ログオンキャッシュを1回に設定した結果、一部モバイルでキャシュログオンできない。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Nakashimaです。

    現在、GPOで対話型ログオンキャッシュを1回に設定した結果、一部モバイルPCでキャッシュログオンできない状態で原因を調べています。

    事前の設定検証で何種類かのXp機種(約10台で)をGPOで対話型ログオンキャッシュを1回に設定した結果は、問題なくキャシュログオンできたのですが、WAN間で利用しているPCにも適応した結果、以下メッセージでログオンですことができません。

    ログオンできません。ログオン先ドメイン <var>DomainName</var> は利用できません。

    ネットワーク(LAN)に接続すると、正常にドメインにログオンされます。しかし、シャットダウン後にLANケーブルを抜いてWindowsログオンすると同じメッセージがでます、何度か繰り返すとスタンドアローンでキャッシュログオンできるようになります。

    レジストリの設定(CachedLogonsCount :1、Cache:NT$1)は、変わらないと思いますが、NT$1の値は更新されているか確認していません。ただキャッシュに有効期限がなかれば古くても1個あれば認証に問題ないものと考えています。

    動きとしては、GPO適応時にポリシー変更されたタイミングで、古いキャッシュ1個を参照できてないか、LANケーブルが刺されてない状態でもNICがアクティブと誤動作しているように思えます。

    今回のようにキャッシュをdefault10個から1個に変更した場合にドメインにキャッシュログオンできないことはあるのでしょうか?

    そのような事例があれば教えてください。

    ちなみにAD環境は、AD2003SP1 、 クライント環境Xpsp2 現象は、持ち出して私用するモバイルでしか確認していませんが、A4ラップトップでも起こっている可能性はあります。

    2012年5月19日 9:05
    |

回答

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票
    Yoshiharu Nakashimaさん、こんにちは。

    明確な回答になっていませんが、その点についてはご容赦ください。

    質問に記載されているクライアント環境って、「Windows XP Service Pack 2 (SP2)」なんですか? このSPに関するサポートは 2010年7月13日 で終了してますので、まずは SP3 にアップしてからの方が、回答が得られやすいのではないでしょうか。

     参考)Windows の一部のバージョンのサポートは終了しました
     http://windows.microsoft.com/ja-jp/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs

    私自身、SP2からSP3に上げたことで解消された認証に関する事象もあるくらいなので、無駄ではない気がします。ただし、SPをアップする作業は何かとトラブルを起こすというのも事例としては少なくないので判断は難しいところですが… でも、いつまでもセキュリティー脆弱性に関するパッチ適用ができないままでいるのは、その他の問題を引き起こすことにも綱がかねません。一度検討してみてはどうでしょう?

     参考)Windows XP Service Pack 3 に含まれる修正の一覧
     http://support.microsoft.com/kb/946480
    2012年5月19日 15:54
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Kenichi UENOさま ご回答ありがとうございます。

    ご指摘の点、Xpsp2はP2間違いで全てSP3になります。前提が正確でなく申しわけありませんでした。ドメインコントローラーはAD2003SP1で間違いありません。

    今回キャッシュ1回にしたことでPCへの影響範囲がわからないので、GPOのキャシュ回数を1回から10回にもどしました。クライアントの再起動でレジストリのキャッシュ値は10回に変更されていることを確認したのですが、実際に保持されているキャッシュは、複数ユーザーでログオンしてもすぐにはレジストリに記録されてません。3度ほど再起動したときにログオン施行したところでCache:NT$1~NT$6が一度に表示されてました。単純に表示更新されてなかっただけのことかもしれませんが。

    セキュリティ的には、キャシュ値を1個にしたいのですがこのようが現象が起こったことで移行手順を悩んでいます。なにか安全な移行方法があれば良いのですが。。

    2012年5月20日 7:09
    |
  • Question
    サインインして投票
    0
    サインインして投票

    What was happening here is fully by design; setting CachedLogonsCount to 1 is not recommended if you want users to be able to log on offline as it means the single LSA Cache entry for the user that logged on will automatically be overwritten the next time anything else on the system writes an entry to the LSA Cache.

    In short; the LSA cache is used by various security principals on the system - not just the users that physically log on to the system with a user account.

    http://blogs.technet.com/b/instan/archive/2011/12/06/cached-logons-and-cachedlogonscount.aspx

    • 回答の候補に設定 田中夢 2012年5月28日 1:15
    • 回答としてマーク 田中夢 2012年5月31日 5:53
    2012年5月20日 14:37
    |
  • Question
    サインインして投票
    0
    サインインして投票

    thank you HomeCloet.

    Your advice was very helpful.

    2012年5月26日 8:26
    |
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは。
    フォーラム オペレーターの田中夢です。
     
    Kenichi UENO さん、HomeCloset さん
    いつも参考になるアドバイスをありがとうございます。
     
    Yoshiharu Nakashima さん
    こちらのご質問につきましては、HomeCloset さんからの投稿を参考にしていただけようですので、勝手ながら私のほうで [回答としてマーク] とさせていただきすね。
      
     
    今後とも、TechNet フォーラムをどうぞよろしくお願いいたします。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢
    2012年5月31日 5:53
    |