none
ソース:LsaSrv イベント:6037 RRS feed

  • 質問

  • 以下の様なイベントが出力されております。

    どの様な状況で出力されるのでしょうか。

    ターゲット名を帰るとは、どの様意味でしょうか。

    ご教授頂ければと思います。 何卒、お願い致します。

    プロセス ID 2260 が割り当てられたプログラム svchost.exe で、ターゲット名 HOST/. を使用してローカルに認証することができませんでした。使用されたターゲット名は無効です。ターゲット名は、DNS ホスト名などのローカル コンピュータ名を参照している必要があります。

     

    別のターゲット名を使用してください。

    2010年4月16日 4:43

回答

  • こんにちは、フォーラムオペレーターの三沢健二です。

    使用されたターゲット名に何らかの問題がある事を示したイベントのようですが、これだけでは何も分からないと思われます。

    svchost.exe 配下で動作しているサービスの設定などに問題がある可能性が考えられますので、まずはどのサービスで発生したイベントなのか、どのような処理が発生した際に発生しているのか、実害が発生していないか、などを調査されてはいかがでしょうか?

    - 参考情報
    svchost.exeプロセスとは?
    http://www.atmarkit.co.jp/fwin2k/win2ktips/400svchost/svchost.html


    補足:
    Web 上の情報を検索してみますと、下記 KB957097 に記載されている "NTLM リフレクション保護" を無効にして回避出来た場合もあるようです。
    この方法が有効かどうか現時点では何とも言えませんが、もしよろしければお試しいただければと思います。

    - 参考情報
    [MS08-068] SMB の脆弱性により、リモートでコードが実行される
    http://support.microsoft.com/kb/957097/


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年4月28日 4:58
    2010年4月20日 4:14
    モデレータ
  • こんにちは。

    ここで言うターゲット名とは、spnの事で、svchostが不正なspnを指定している事が原因です。
    spnについてはこちらを参照してください。
    http://msdn.microsoft.com/ja-jp/library/ms191153.aspx

    今回のイベントでは、"HOST/. "に対する認証が、PID 2260 が割り当てられたプログラムsvchost.exeから発生しています。
    つまり、コンピュータ名 "."に対しての認証が発生していますので、これは不正なspnです。

    PID 2260 が割り当てられたプログラムsvchost.exeで対処をする必要がありますが、何のサービスなのかわかりませんので、あとは三沢健二さんが提示された情報を元にサービスを特定し、そのサービスについて調べてみてください。

    • 回答としてマーク 服部清次 2010年4月28日 4:58
    2010年4月21日 23:30

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    使用されたターゲット名に何らかの問題がある事を示したイベントのようですが、これだけでは何も分からないと思われます。

    svchost.exe 配下で動作しているサービスの設定などに問題がある可能性が考えられますので、まずはどのサービスで発生したイベントなのか、どのような処理が発生した際に発生しているのか、実害が発生していないか、などを調査されてはいかがでしょうか?

    - 参考情報
    svchost.exeプロセスとは?
    http://www.atmarkit.co.jp/fwin2k/win2ktips/400svchost/svchost.html


    補足:
    Web 上の情報を検索してみますと、下記 KB957097 に記載されている "NTLM リフレクション保護" を無効にして回避出来た場合もあるようです。
    この方法が有効かどうか現時点では何とも言えませんが、もしよろしければお試しいただければと思います。

    - 参考情報
    [MS08-068] SMB の脆弱性により、リモートでコードが実行される
    http://support.microsoft.com/kb/957097/


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年4月28日 4:58
    2010年4月20日 4:14
    モデレータ
  • こんにちは。

    ここで言うターゲット名とは、spnの事で、svchostが不正なspnを指定している事が原因です。
    spnについてはこちらを参照してください。
    http://msdn.microsoft.com/ja-jp/library/ms191153.aspx

    今回のイベントでは、"HOST/. "に対する認証が、PID 2260 が割り当てられたプログラムsvchost.exeから発生しています。
    つまり、コンピュータ名 "."に対しての認証が発生していますので、これは不正なspnです。

    PID 2260 が割り当てられたプログラムsvchost.exeで対処をする必要がありますが、何のサービスなのかわかりませんので、あとは三沢健二さんが提示された情報を元にサービスを特定し、そのサービスについて調べてみてください。

    • 回答としてマーク 服部清次 2010年4月28日 4:58
    2010年4月21日 23:30
  • life of efforts さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。
    その後の状況はいかがでしょうか?

    今回、弊社の三沢健二と 中年やっちゅうねん さんの回答が参考になったようですので、
    勝手ながら、私の方で [回答としてマーク] のチェックを付けさせていただきました。
    ぜひこちらのスレッドで得られた情報を参考にして、調査していただければと思います。

    また何か疑問や質問がありましたら、ぜひ TechNet フォーラムをご利用ください。
    今後とも、よろしくお願いします。
    それでは、また!


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2010年4月28日 4:59