Q


△ 図をクリックすると拡大されます
図5●Windows XPからNTドメインにログオンしようとするとエラーが出ることがある
新規に購入したWindows XP Professionalクライアントで既存のWindows NT 4.0ドメインにログオンしようとしましたが,ログオン画面でエラー・メッセージが表示されログオンできません(図5)。それまで使っていたWindows 2000 Professionalクライアントからは,同一アカウントとパスワードでログオンできています。そのため,アカウントの問題ではないと思いますが,何が原因なのでしょう?

A

これはWindows XPがドメイン・コントローラとの通信に暗号を使うようになったことで発生する問題です。Windows XPクライアントは,セキュリティで保護されたチャネルで署名または暗号化してドメイン・コントローラと通信します。しかし,Windows NT 4.0のService Pack(SP)3以前では,この暗号化を処理できません。

ネットワークに古いNTマシンが存在
 恐らくネットワークのどこかに互換性の問題か,管理の不行き届きで古いサービス・パックしか適用していないNT 4.0サーバーが存在しているのでしょう。これがログオンに失敗した原因と思われます。


△ 図をクリックすると拡大されます
図6●Windows XPのローカル・セキュリティ・ポリシーで暗号化署名を無効にする

 この問題をクライアントの設定で解決するには,対象となるWindows XPクライアントでローカル・セキュリティ・ポリシーの設定を変更します。コントロール・パネルにある[パフォーマンスとメンテナンス]から[管理ツール]を開き,[ローカルセキュリティポリシー]を実行し,左側のペインで[ローカルポリシー]-[セキュリティオプション]を選択します。右側のペインで[ドメインメンバ:常にセキュリティチャネルのデータをデジタル的に暗号化または署名する]を選択し,続いて[ローカルセキュリティの設定]タブで[無効]を選択します(図6)。この設定により,本現象は解消されます。

 しかし,本来は問題となっているドメイン・コントローラを発見し,新しいサービス・パックを適用して解決すべき問題です。互換性などの問題で意図的に適用していないのでなければ,Windows NT 4.0 SP4以降で「セキュリティで保護されたチャネルで署名または暗号化」をサポートしているため,最新版のサービス・パック(SP6a)の適用を推奨いたします。

NTクライアントから2003でも発生
 また,本現象と似たケースとして,Windows Server 2003ドメインへSP3以前のサービス・パックしか適用していないWindows NT Workstation 4.0(SP3以前)からログオンできないという逆の問題があります。これはログオン時に,Windows Server 2003ドメイン・コントローラが,セキュリティで保護されたチャネルで署名または暗号化に加え,SMB署名を求めるからです。この要求に対し,Windows NT 4.0 SP4より前では,これらを処理しないことが原因です。

 前述の対策と同様に,Windows NT Workstation 4.0のローカル・セキュリティ・ポリシーを変更すれば,問題を解決できますが,やはりこの場合も最新版のサービス・パック(SP6a)の適用を推奨します。

見方 享二