Q

Service Pack(SP)2を適用したWindows 2000 ServerのActive Directory(AD)で,セキュリティのため,ログオンに3回失敗した場合にアカウントをロックアウトしています。ところが,「アカウントがロックアウトされたので解除してほしい」という連絡をユーザーから受けても,管理ツールの「Active Directoryユーザーとコンピュータ」で確認すると,そのアカウントがロックアウトされていないという不思議な現象がこのほど発生しました。ADは,東京,名古屋,大阪の3つのサイトを持つシングル・ドメインで構成しており,東京サイトにPDCエミュレータを導入しています。ロックアウトされたアカウントは大阪サイトにあるクライアント・マシンで利用されています。

A

Windows 2000 Server SP2から,アカウントのロックアウトに関する動作の仕様が一部変更されました。この事象は恐らくこの仕様変更に起因して発生した問題だと思われます。


△ 図をクリックすると拡大されます
図1●Windows 2000 SP2で,誤ったパスワードを続けて入力した場合にロックアウトになるまでの動作

 図1は,SP2を適用したWindows 2000 ServerによるADドメインが,ご質問のように東京サイトと大阪サイトを持つ場合,誤ったパスワードを続けて3回入力してロックアウトになるまでの動作を示したものです。

 最初に誤ったパスワードを入力すると,大阪のドメイン・コントローラ(DC1)は,認証できなかったユーザー名とパスワードを常に最新のユーザー名とパスワードが保持されていることが保証されている東京のPDCエミュレータ(DC2)に送ります。正しいパスワードでないため,DC2でも当然認証に失敗して,最終的には認証に失敗したという結果をDC1から大阪のクライアントに返信します。

 続いて2回目に,1回目と同様に再度誤ったパスワードを入力したとしましょう。この場合は1回目とは異なり東京のPDCエミュレータにデータを送信しません。認証は大阪サイトのDC1で処理されるのです。

 実はWindows 2000 Server SP1までは,2回以上誤ったパスワードを入力した場合も,毎回PDCエミュレータに対する通信が行われていました。しかしこの仕様がPDCエミュレータに過度の負荷をかけることから,SP2から仕様が変更されています。詳細はマイクロソフトのサポート技術情報「JP272065:パスワードに誤りのある認証要求がドメイン・コントローラからPDC操作マスターに繰り返し転送される」を参照してください。

 このようにして,最終的に3回ログオン試行が失敗すると,DC1ではそのアカウントはロックアウトされます。同じ大阪サイト内の他のDCには,緊急複製によりこの情報は即座に反映されます。

 しかし,別サイトである東京サイトのDC2には,通常のサイト間複製のタイミングでしかこの情報が反映されません。つまり,一時的にDC1はロックアウト,DC2はロックアウトされない状態が起こり得るのです。  こうした事象が起こった場合は,東京サイトにあるPDCエミュレータではなく,ロックアウトした大阪サイトのDC1に接続してロックアウトを解除することになります。

 別の方法として,ADSI Editなどを利用してサイト間での変更通知を有効にすることも可能です。詳細については「Windows 2000 Serverリソースキット」第3巻p.354ページからの「サイト間の変更通知を有効にするには」を参照してください。この場合サイト間であってもサイト内と同様に即座にロックアウト情報が通知されます。ただし,予期せぬトラフィックの増加を招くことがありますので,この方法を利用する場合はトラフィックの見積りなどを慎重に行ってください。

高橋基信