none
Windowsドメインへのキャッシュでの認証が出来なくなった RRS feed

  • 質問

  • いつもお世話になっております。

    Windows2008ServerでADドメインを構築している環境下で、時折、Windows10のPCをVPN接続で使用する場合があります。

    社外に出た時は、Windows10のPCを起動し、ADドメインのユーザーでログオンしてから、

    スマホのデザリング機能を使って、PC上に設定したVPN設定を経由して、社内LANに接続する手順を取っていました。

    しかし、先日、いつも通り、社外で使用しようとした時、Windows10のPC起動時に、ADドメインへのログオンが出来なくなってしまいました。

    キャッシュの寿命の問題かと思い、LAN接続ができる状態で、ADドメインに接続した後、ケーブルを抜いた状態で、ドメインログオンしようとしてもできなくなってしまいました。

    特別な操作をしたといえば、そのPCに対して、DHCPでアドレスを割り当てたLAN接続をした状態で、リモートデスクトップ接続してプリンタドライバをインストールした位です。

    VPN接続をする時、ADドメインで認証してからた後で運用するのが好ましくないというご意見もあるのかもしれませんが、長期出張の場合も今までこのような問題が起きたことはありません。

    何を境にこうした現象が起きるのか判りませんが、原因と対応策がありましたら、教えて頂けないでしょうか?

    2019年7月24日 3:02

回答

すべての返信

  • チャブーンです。

    この件ですが、「見た目」(何の状況が起こったか)からだけで、Windowsの内部で何が起こっているのかは、誰にもわからないでしょう。呪術師を探し当てていただくか、そうでなければ、最低した2つの情報は必要かと思います。

    1. ログオンできない状況で出た「エラーメッセージの全文」
    2. ローカルアカウント等でログオンし、「イベントビューアー」のシステムログにある、エラーイベントの全文

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年7月25日 2:36
    モデレータ
  • チャブーン様

    コメントありがとうございました。おっしゃる通りです。情報がないと判りませんね。

    遠隔地でなかなかつかまらないユーザーなので、情報を取るのに時間が掛かりました。

    ログイン画面で出てくるエラーメッセージは下記の通りです。

    ドメインが利用できないため、この資格情報ではサインインできません。デバイスが組織のネットワークに接続されていなることを確認し、やり直してください。このデバイスで、別の資格情報を利用して最近ログインした場合は、その資格情報を使ってログオンすることができます。
    LANケーブルをつないだ状態だと同じアカウントでログインは出来ますが、その直後に外すと同じエラーが出てしまいます。

    LANケーブルを繋いで同じアカウントでログインした状態で、イベントログを見てみましたが、下記のようなエラーが出ていました。

    アプリケーション固有 のアクセス許可の設定では、CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} および APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} の COM サーバー アプリケーションに対するローカルアクティブ化のアクセス許可を、アプリケーション コンテナー 利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。

    詳しく状況を尋ねたところ、リモートデスクトップで作業しているときに、WindowsUpdateで何等かの修正パッチが入ったとのことですが、これも調べたほうが良いのでしょうか?判っていることは、以上しかありませんが、何等かの対処策を教えて頂けると助かります。

    2019年7月26日 2:06
  • こんにちは

    その後のご状況いかがでしょうか。

    下記方法をご検討をお願いします。

    1.もしユーザーが保護されたユーザーグループに追加たら、上記の現象も発生します。

    2DNS設定を確認することDNS設定とコンフリクトすると、このエラーが発生する可能性があります。

    3.セキュリティポリシースナップインウィンドウで、[セキュリティの設定]> [ローカルポリシー]> [セキュリティオプション] Interactive logon: Number of previous logons to cache(ドメインコントローラが使用できない場合)、ポリシーをダブルクリックしてポリシーの値を変更します。

    Best Regards,

    Fan




    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月31日 9:22
    モデレータ
  • チャブーンです。

    この件ですが、ログオン時のエラーメッセージからは「要するに資格情報のキャッシュがない」ということ以上の情報は分からないようです。

    また、イベントログの該当エラーですが、したの情報にあるように「無視して問題ない」内容のもので、おそらく問題とは無関係でしょう。

    https://support.microsoft.com/ja-jp/help/4022522/dcom-event-id-10016-is-logged-in-windows-10-windows-server

    イベントログについて、システムログで「警告」も含めたイベントについて、確認の必要があるかもしれません。ただし、ドメインコントローラーにつながっていない環境では、一般に「netlogon」エラーが出ることが多いのですが、それらはまったく表示されていないのでしょうか?イベントログを「フィルター」していて、実は非表示のイベントがないかどうか、確認してください(フィルターをクリアすれば元に戻ります)。

    あとは、ごく基本的な問題として、「アカウント名の間違い」「ドメイン名の間違い」についても、念のため確認したほうがいいです。存在しないアカウントでサインインしようとすれば、もちろん資格情報がなく、アカウントが存在するかどうかの確認もできないので、冒頭のようなエラーメッセージは表示されるでしょう。

    追記:上記を確認するには、最も簡単なのは「セキュリティログ」をみて、「失敗の監査」の内容を確認することです。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年8月1日 10:32
    モデレータ
  • コメントありがとうございました。

    頂いた情報についてお伝えします。

    1.保護されたユーザーグループというのは、特に意識はしていないのですが、正常に同じ方法でADにログインできているユーザーと所属グループを比較しているのですが、差異が見つかりません。

    2.DNS設定は、DHCPを使う設定になっており、自動取得されるようになっています。

    3.このポリシーは、「対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)」となっており、値は  10 ログオンになっています。これを増やしてみる、ということでしょうか?

    2019年8月2日 2:51
  • こんにちは

    保護されたユーザーグループについて:

    https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group

    このポリシーは、「対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)」となっており、値は  10 ログオンになっています。これを増やしてみる、ということでしょうか?

    このクライアントに登録ユーザー数量によって決めったほうがいいと思います。

    チャブーンさんの意見もご検討をお願いします。

    どうぞよろしくお願いいたします。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月2日 5:41
    モデレータ
  • チャブーン様 flingmin様

    コメント頂きまして有難うございました。

    いろいろご指摘頂きましたが、設定内容は特に間違ってはおらず、他のユーザーと相違が見つかりませんでした。

    結局、該当ユーザがPCを持ち込む機会があったので、その時に、ドメインから離脱、ドメインに再参加、

    したところ、エラーは出なくなりました。

    何のタイミングでこの現象が起きるのか判りませんが、解決策の一つとして同じ現象が起きた方のヒントとなればと思います。

    どうも有難うございました。

    2019年8月27日 0:09
  • チャブーンです。

    この件ですが、フィードバックありがとうございます。ドメイン再参加で事象が解消した、ということであれば、グループポリシーの情報(キャッシュ等)が壊れてしまった可能性があるかもしれません。ただ「なぜ壊れたのか」は分からないこと、対応方法について大きな変更(リモートで使用者が自分で直す等)は行えない、ことはいえるかと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年8月27日 2:50
    モデレータ