|
【現象】 Windows Server 2003 で構成された Active Directory ドメインに Windows Server 2012 R2 のドメイン コントローラーを追加すると、追加後、2 ヶ月程度経過した後に、ドメインのメンバー、ドメイン コントローラーでログオンができなくなるという現象が発生することがあります。
【解決方法】 Windows Server 2012 R2 をドメイン コントローラーとして追加する前に修正プログラムを適用します。 追加作業をすでに完了している場合には、修正プログラムを Windows Server 2012 R2 のドメイン コントローラーに適用し、ドメイン メンバー (ドメイン コントローラーを含む) 全てを再起動します。 |
具体的な対処方法は下記の通りです。
現象が発生してしまった場合には、対象のコンピューターを再起動します。
再起動することで、起動時に対応した暗号化キーを生成するため、問題が解消します。
問題が発生するのを未然に防ぐためには、次の対応を実施します。
1. KB2989971 を全ての Windows Server 2012 R2 のドメイン コントローラーに適用します。
Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウントのパスワードを変更した後にログオンできない
http://support.microsoft.com/kb/2989971
2. 全てのドメイン コントローラーに対する修正プログラムの適用処理 (再起動を含む) が完了後に、ドメイン コントローラーを含む全メンバー コンピューターを再起動します。
* KB 2989971 の修正プログラムを適用するためには、下記の 2 点の条件が必要です。
・ KB 2919355 が適用されている事
・ Active Directory ドメインサービスがインストールされている事
※ 役割が追加されていれば、必ずしもドメインコントローラーに昇格している必要はありません。
※ KB2919355 は Windows Update にて配信されているプログラムとなります。
こちらを Windows Update から適用したうえで、以下の修正プログラムを適用ください。
Windows RT 8.1、8.1 の Windows および Windows Server 2012 の R2 の更新プログラム: 2014 年 4 月
http://support.microsoft.com/kb/2919355/ja
【その他】
・ すでに Windows Server 2003 のドメイン コントローラーが降格していてもこの問題は発生する可能性があります。
・ Windows Server 2012 R2 のドメイン コントローラーが存在しており、ログオンができないメンバー上でシステム イベントログにMicrosoft-Windows-Security-Kerberos の ID 4 のイベントが記録されている場合には、この問題に合致している可能性が高いと判断できます。
・ Windows Server 2012 R2 に Active Directory ドメイン サービスをインストールし、ドメイン コントローラーへの昇格を実施する前に修正プログラムを適用することをお勧めします。
そうすれば、この問題の発生を未然に防ぐために全メンバー コンピューターの再起動は不要です。
