【緊急】Windows Server 2003 Active Directory ドメインに Windows Server 2012 R2 ドメイン コントローラーを追加すると、追加後2 ヶ月程度経過した後に、ドメインのメンバー、ドメイン コントローラーでログオンができなくなる現象が発生することがあるようです。

2014年10月16日現在、以下の環境で障害が発生するケースがあるそうです。
・Windows Server 2003 で構成された Active Directory ドメイン
・Windows Server 2012 R2 ドメイン コントローラーを追加

症状:追加後約2 ヶ月程度経過後、ドメインのメンバー、ドメイン コントローラーでログオンができなくなることがあります。

現在、マイクロソフトさんではこの問題を認識しており、以下の対策を講ずるよう公開されています。

(1)現象が発生してしまった場合
・対象のコンピューターを再起動します。
再起動することで、起動時に対応した暗号化キーを生成するため、問題が解消します。
民間療法ですが、ログオンできなくなったサーバーはふつうシャットダウンできないですが、電源ボタンをちょん押しするとシャットダウンプロセスに移行するはずです。(2012が走るくらいなので) 無理やりシャットダウンはダメですよ。
または、ほかのサーバーから Shutdown.exe を使ってリモート再起動もありかもしれません。

(2)予防的に対処する方法
まだ、この現象にであってなくても、認証のためのチケットの有効期限(もともと更新されなかった)が到来すると、近い将来発生する可能性があります。(特にドメインコントローラー構成時に再起動が行われていない場合など)。-以下MS情報より転載します。
——————————————–
1) KB2989971 を全ての Windows Server 2012 R2 のドメイン コントローラーに適用します。

Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウントのパスワードを変更した後にログオンできない
http://support.microsoft.com/kb/2989971

2)全てのドメイン コントローラーに対する修正プログラムの適用処理 (再起動を含む) が完了後に、ドメイン コントローラーを含む全メンバー コンピューターを再起動します。

* KB 2989971 の修正プログラムを適用するためには、下記の 2 点の条件が必要です。
・ KB 2919355 が適用されている事
・ Active Directory ドメインサービスがインストールされている事
※ 役割が追加されていれば、必ずしもドメインコントローラーに昇格している必要はありません。
※ KB2919355 は Windows Update にて配信されているプログラムとなります。
こちらを Windows Update から適用したうえで、以下の修正プログラムを適用ください。

Windows RT 8.1、8.1 の Windows および Windows Server 2012 の R2 の更新プログラム: 2014 年 4 月
http://support.microsoft.com/kb/2919355/ja

(3)備考

【その他】
・ すでに Windows Server 2003 のドメイン コントローラーが降格していてもこの問題は発生する可能性があります。
・ Windows Server 2012 R2 のドメイン コントローラーが存在しており、ログオンができないメンバー上でシステム イベントログにMicrosoft-Windows-Security-Kerberos の ID 4 のイベントが記録されている場合には、この問題に合致している可能性が高いと判断できます。
・ Windows Server 2012 R2 に Active Directory ドメイン サービスをインストールし、ドメイン コントローラーへの昇格を実施する前に修正プログラムを適用することをお勧めします。

そうすれば、この問題の発生を未然に防ぐために全メンバー コンピューターの再起動は不要とのことです。

——————————————–
なお、最新情報は、以下のマイクロソフトのサポートチームさんのブログをご参照ください。

http://blogs.technet.com/b/jpntsblog/archive/2014/10/15/windows-server-2012-r2-windows-server-2003.aspx

ITシステムの管理者さん、久しぶりに大きな障害なので、ことが大きくなる前に対処できるよう頑張りましょうね。とりあえず急ぎで公開しました。

【追記1】

・事象が発生した端末(サーバー、クライアントなどのドメインメンバーPC)では、ドメインユーザーによるログオンが行えなくなります。(ローカルログオンはできそうですね。)

・当該端末がサービスを提供するサーバーであった場合は、Kerberos 認証を利用しているサービスにアクセスできないといった問題が生じる可能性もあります。

【追記2】

この事象は Windows Server 2012 R2 のドメインコントローラーの動作に問題があるため発生します。
しかし影響を受ける (ログオン障害が発生する) のは、ドメイン コントローラーを含むすべてのドメイン メンバーです。←つまりはドメインに参加しているクライアントPCも含まれるということです。
その対象 OS は AES を利用できるもの全てで、以下のとおりです。

Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Vista
Windows 7
Windows 8
WIndows 8.1

【追記3】2014/10/16 17:30

重要:Windows Server 2012 R2 をドメイン コントローラーとして追加する前に修正プログラムを適用します。

追加作業をすでに完了している場合には、修正プログラムを Windows Server 2012 R2 のドメイン コントローラーに適用し、ドメイン メンバー (ドメイン コントローラーを含む) 全てを再起動します。

 

 

広告