Windows Q&Aの目次はこちら

図1●Active DirectoryドメインでWindows NT ServerのBDCしか用意していないサイトではWindows 2000 Professionalからログオンできなくなることがある
Q

Windows NTとWindows 2000のドメイン・コントローラが混在するActive Directoryドメインのシステムを運用しています(図1)。PDCエミュレータの役割をもつWindows 2000 Server(コンピュータ名「DC-1」)がActive Directoryドメインのドメイン・コントローラになっていますが,WANをはさんでいるため別のサイトにある既存のWindows NT Server 4.0(同「DC-2」)をBDCとして利用しています。この環境でWANに障害が発生してサイト間の通信ができなくなってしまった場合に,NT 4.0のDC-2を置いたサイト側にあるWindows 2000 Professionalからはログオンできなくなってしまいました。同じサイトにあるWindows NT Workstationからは問題なくログオンできています。なぜなのでしょう。

A

この現象は,Windows 2000のクライアントが一度でもWindows 2000のドメイン・コントローラで認証を受けた場合,以後Windows NT 4.0のドメイン・コントローラでは認証できなくなってしまうことが原因です。

 Windows 2000では通常,ユーザーの認証に,Kerberos認証プロトコルを使用します。しかし,Windows NT 4.0との下位互換性を保つために,Kerberos認証プロトコルに加えて,Windows NT 4.0の認証プロトコルであるNTLM認証プロトコルも実装されています。そのため,Windows 2000 Professionalは,NTドメインに参加してもNTLM認証を使ってWindows NT 4.0を実行しているサーバーに認証を受けたり,Windows NT 4.0ドメインのリソースにアクセスすることができているのです。

 しかし,NTドメインでNTLM認証だけを使っている場合は問題ないのですが,一度でもKerberos認証によってWindows 2000のドメイン・コントローラで認証を受けた場合,Windows 2000 Professionalはそれ以後常にKerberos認証で認証を受けようとしてNTLM認証は使用しない仕様になっています。

 このため,今回の場合はDC-1と通信できなくなったクライアントはDC-2でログオン認証を受けようとしますが,その際にWindows NT 4.0で使えないKerberos認証を使おうとするするためログオンに失敗していると思われます。

Windows 2000の ドメイン・コントローラを追加する
 この問題を解決するには,Windows 2000のクライアントに対して,Kerberos認証を可能にするWindows 2000 のドメイン・コントローラをDC-2側のサイトに追加します。こうすることで,サイト内でログオン認証が可能になります。この仕様が原因で発生する障害がマイクロソフトのサポート情報に報告されていますので参考にして下さい(JP263108)。

津野裕介