ファイルサーバーに共有フォルダをADユーザーグループで設定。無期限設定のユーザーがある日有効期限切れとなった

TESHIMA HISANORI/手島 寿憲 0 評価のポイント
2026-07-06T09:57:43.5733333+00:00

Windowsサーバーが2台(ADサーバー、ファイルサーバー)でADユーザーでWinows11PCの端末から接続する構成です

ファイルサーバーには共有フォルダを設定して上記ユーザーが含まれるADユーザーグループで権利設定しています

ユーザーは無期限有効の設定でフォルダにアクセスしていたのですが、

ある日突然、特定ユーザーの端末だけ有効期限切れが出てフォルダを開けなくなりました

数百台の端末を使用していて、年に2,3回ほど別の端末で現象が発生しています

無期限設定のユーザーの有効期限切れはADサーバーとの連携がうまく行ってないと思われるのですが、これの原因と正しい対処方法についてはどうすればいいのでしょうか

以前は次の順番で確認して、たまたま再度アクセスできるようになる場合がほとんどでした

1.端末PCのファイルーサーバーへのアクセスで別のユーザーのWindows資格情報が入っていれば削除して再起動

2.ADサーバーに登録された問題のユーザーの有効期限を無期限から期限ありで100年後などの支障のない未来への設定

ビジネス向け Windows | Windows Server | ネットワーク | ネットワーク接続とファイル共有
0 件のコメント コメントはありません

1 件の回答

並べ替え方法: 最も役に立つ
  1. Chen Tran 11,380 評価のポイント 独立アドバイザー
    2026-07-06T10:51:56.0733333+00:00

    こんにちは、手島さん。

    Microsoft Windowsフォーラムに質問を投稿してくださりありがとうございます!

    問題の説明に基づいています。ユーザーが特定のマシンで突然「期限切れ」や「アクセス拒否」エラーが出る際の症状のもっともらしい説明は、Windows 11がネットワークリソースのために認証情報を積極的にキャッシュしているからです。ユーザーがファイルサーバーに接続して「認証情報を覚えている」にチェックを入れたり、アプリケーションが認証トークンをキャッシュした場合、Windowsはこれを認証マネージャーに保存します。ユーザーが後でファイルサーバーにアクセスしようとすると、WindowsはアクティブなログインユーザーのKerberosチケット付与チケット(TGT)ではなく、その特定のキャッシュされた認証情報を使おうとします。キャッシュされたトークンのセッションが古くなっているか、バックエンドのパスワードが変更された場合、ファイルサーバーはそれを拒否し、「期限切れ」エラーを出します。だからこそ、Windowsの認証情報を手動で削除することで問題が解決します。

    一方、Windows 11はモダンスタンバイを利用しています。デフォルトでは、Kerberos TGTは10時間有効です。PCがスリープ状態になり、チケットが切れてPCが起動すると、WindowsはADサーバーに対して静かにTGTを更新するはずです。しかし、ウェイク時にネットワークインターフェースの初期化に時間がかかりすぎると、更新は失敗します。OSは数学的に期限切れのKerberosチケットを使ってファイルサーバーにアクセスしようとしますが、即座に失敗します。

    ここでもう一つ言及すべき点は、時には見えないバックグラウンドプロセス(マッピングされたドライブスクリプトや更新エージェントなど)が、ファイルサーバーのIPC$シェアに対して匿名または代替認証セッションを確立することです。Windowsはターゲットサーバーごとに1セットの認証情報しか許可していません。ユーザーが共有フォルダをクリックすると、Windowsは既存の競合するセッションパイプにユーザーのトークンを押し込もうとしますが失敗します。

    アカウントの有効期限を「無期限」から「100年後」に変更するという一時的な回避策について。さて!その属性を変更すると、ADオブジェクトに変更が強制されます(USN - Update Sequence Numberの更新)。これによりドメインコントローラーは変更を再現せざるを得なくなります。さらに重要なのは、ユーザーの現在のKerberos TGT状態を無効にすることです。次にクライアントが認証シーケンスを試みた際、ドメインコントローラーはWindows 11 PCに古いキャッシュをダンプし、完全に新規のKerberosチケットを交渉させ、キャッシュされた認証情報の罠を回避します。

    このシナリオでは、Windowsがネットワーク共有用の明示的な認証情報を保存しないようにし、常にアクティブなKerberosセッションを強制的に使うことを検討しています。

    上記の情報がお役に立てば幸いです!

    この回答は役に立ちましたか?

    0 件のコメント コメントはありません

お客様の回答

質問作成者は回答に "承認済み"、モデレーターは "おすすめ" とマークできます。これにより、ユーザーは作成者の問題が回答によって解決したことを把握できます。