none
WinSvr2016の共有フォルダへWin10ProのPCからコマンド(バッチ)接続時、ユーザ認証でパスワードを間違えたときの挙動について RRS feed

  • 質問

  • ADに参加しているWindows Server 2016の共有フォルダに、AD未参加の Windows10 ProのPCからアクセスし、

    ユーザ認証時のパスワードを1回間違えると、パスワードを4回間違えたことになる(BadPwdCountが4になる)のはなぜでしょうか。

    ADのログにも4回間違えたといったログ(ID:4776)が出力されます。

    ちなみに、ADに参加しているNetappのNASに対して、同様の事を行った場合はADのログにはパスワード間違えのログが1回だけ

    出力されます。

    これは仕様上の動作なのでしょうか。




    2020年8月19日 7:34

回答

  • チャブーンです。

    この件ですが、そういう実例はネット上に情報はないようなので、推測ベースの話しとなります。

    仮にですが、PCがドメインコントローラー2号機にアクセスしている状況なら、こういう状況が発生する可能性があります。

    1. PCが2号機に認証を確認に行き、結果が拒否される(たまたま直近のドメインコントローラーがこれだった)
    2. PCが1号機に認証を再確認に行き、結果が拒否される(PDCエミュレーターに最終確認にいくため)

    Active Directoryでは、パスワードが変更された際の複製遅延での認証失敗に備えるため、PDCエミュレーターが必ずユーザーの最新パスワードを持っている仕様になっています。同時にPCもそれをふまえ、失敗した場合必ず確認にいく仕様になっています。

    動作的には1度の認証で2回の失敗がカウント、はイケてないと思いますか、ワークグループであれば同一の端末と見なされず、別々の端末が1回ずつアクセスした、と見なされているのかもしれないですね。

    バッチで4回になるというのは、ログオンユーザー以外のユーザーでは、おそらく以下の動作になっているためかと思います。

    • Active Directoryデータベース(LDAP)自体へのアクセス許可が最初に必要
    • そのあとリソースに対するアクセス許可が再度確認される

    ドメインコントローラーを1台に設定して切り分ける、などするとわかってくる気がします。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2020年8月29日 5:45

すべての返信

  • こんにちは。フォーラムオペレーターのFanです。
    フォーラムにご投稿くださいましてありがとうございます。

    ユーザ認証でパスワードを間違えたときの挙動について
    ご存知の方おりましたら、ご意見を共有頂ければ本当に幸いです.

    どうぞよろしくお願いいたします。
    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年8月21日 3:18
    モデレータ
  • 下記の環境で確認してみましたがパスワードを1回間違えた際はBadPwdCountが+1されましたので「仕様上の動作」ということではないと思います。

    <環境>
    Windows Server 2016(ドメインコントローラー)
    バージョン:1607
    OSビルド:14393.3866

    Windows 10 Pro(ワークグループ)
    バージョン:1909
    OSビルド:18363.1016

    2020年8月21日 3:43
  • 天心飲茶さん、確認ありがとうございます。

    改めて確認してみました。説明不足で申し訳ありません。

    ファイルサーバに対し、バッチを使用した接続で「4回」間違えたことになります(タイトル修正しました)


    ■環境
    ・ADサーバ2台(WinSvr2016/1607/14393.2430)

    ・ファイルサーバ(WinSvr2016/1607/14393.2515)

    ・BadPwdCountの確認は、「LockoutStatus.exe」を使用しました。

    ■確認
    ・ファイル名を指定して実行から「\\ファイルサーバ\共有フォルダ」を実行し、パスワードを間違えた場合
     →BadPwdCount:2回

    ・下記バッチを実行した場合
     「net use z: \\ファイルサーバ\共有ドライブ /user:ドメイン名\ユーザ名 間違えたパスワード」
     →BadPwdCount:4回


    2020年8月24日 6:17
  • チャブーンです。

    この件ですが、そういう実例はネット上に情報はないようなので、推測ベースの話しとなります。

    仮にですが、PCがドメインコントローラー2号機にアクセスしている状況なら、こういう状況が発生する可能性があります。

    1. PCが2号機に認証を確認に行き、結果が拒否される(たまたま直近のドメインコントローラーがこれだった)
    2. PCが1号機に認証を再確認に行き、結果が拒否される(PDCエミュレーターに最終確認にいくため)

    Active Directoryでは、パスワードが変更された際の複製遅延での認証失敗に備えるため、PDCエミュレーターが必ずユーザーの最新パスワードを持っている仕様になっています。同時にPCもそれをふまえ、失敗した場合必ず確認にいく仕様になっています。

    動作的には1度の認証で2回の失敗がカウント、はイケてないと思いますか、ワークグループであれば同一の端末と見なされず、別々の端末が1回ずつアクセスした、と見なされているのかもしれないですね。

    バッチで4回になるというのは、ログオンユーザー以外のユーザーでは、おそらく以下の動作になっているためかと思います。

    • Active Directoryデータベース(LDAP)自体へのアクセス許可が最初に必要
    • そのあとリソースに対するアクセス許可が再度確認される

    ドメインコントローラーを1台に設定して切り分ける、などするとわかってくる気がします。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2020年8月29日 5:45
  • チャブーン さん回答ありがとうございました。
    あとは有償サポートに頼るしか無さそうですね。

    検証は、ドメインに参加したPCのローカルユーザで行いました。

    ちなみに、NRのNAS(ドメインに参加した状態)に同様のバッチを実行
    しても、BadPwdCountは1回しかカウントされませんでした。

    きっとWindowsの仕様なんでしょう。

    2020年9月1日 3:35