影響を受けるすべてのドメイン コントローラーで AllowNT4Crypto の設定を無効にします。

  • [アーティクル]

これを検討する理由とは

古いNT4暗号アルゴリズムを許可すると、重大なセキュリティリスクが発生する可能性があり、環境内で非常に古く安全でないハードウェアまたはソフトウェア(NT4または古いSAMBA SMBクライアントなど)がまだ使用されている可能性があることを示しています。 その上、現在サポートされているすべてのOSは、この設定を受け入れていません。

カスタマーエンジニアが問題を説明する動画を見る

コンテキストおよびベストプラクティス

既定では、Windows Server 2008以降では、Microsoft以外のオペレーティングシステムまたはWindows NT 4.0オペレーティングシステムを実行しているクライアントが、弱いWindows NT 4.0スタイルの暗号アルゴリズムを使用して安全なチャネルを確立することを禁止しています。 古いバージョンの Windows オペレーティング システム、または強力な暗号アルゴリズムがサポートされていない Microsoft 以外のオペレーティング システムを実行しているクライアントによって開始されるセキュリティ チャネルの依存操作は、Windows Server 2008、既定の設定の Windows Server 2008 R2 または Windows Server 2012 を実行するドメイン コントローラーに対しては失敗します。

Windows Server 2008 R2 以降では、NT4Crypto 設定を使用している場合でも、Windows NT 4.0 との信頼関係はサポートされません。 この制限には、次のセキュリティで保護されたチャネル操作が含まれますが、これらに限定されるものではありません。 - 信頼関係の構築および管理 - ドメイン参加 - ドメイン認証 - SMB セッション

推奨される対応

この問題に対処するには、以下のいずれかの操作を実行します。

  1. レジストリの AllowNTCrypto 設定を無効にします。
    1. 影響を受けるドメイン コントローラにログオンします。
    2. [スタート]、[ファイル名を指定して実行] の順にクリックし、「regedit.exe」と入力して、[OK] をクリックします。
    3. レジストリ エディターで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\ に移動します。
      パラメーター
    4. AllowNT4Crypto の値を 0 に変更します。
    5. 影響を受けるドメイン コントローラーごとにこの手順を繰り返します。
  2. 既定のドメイン コントローラー ポリシー GPO で AllowNTCrypto 設定を無効にします。
    1. Windows Server 2008 ベースのドメイン コントローラーにログオンします。
    2. [スタート]、[ファイル名を指定して実行] の順にクリックし、「gpmc.msc」と入力して、[OK] をクリックします。
    3. グループ ポリシー管理コンソールで、[フォレスト: DomainName]、[ドメイン]、[DomainName] の順に展開し、[ドメイン コントローラー] を展開します。
    4. [既定のドメイン コントローラー ポリシー] を右クリックし、[編集] をクリックします。
    5. グループ ポリシー管理エディター コンソールで、[コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[システム] の順に展開します。
    6. [Net Logon] をクリックします。
    7. [Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する] をダブルクリックします。
    8. ダイアログ ボックスで、[無効] オプションをクリックし、[OK] をクリックします。

さらに詳しくは

この動作に関する詳細については、https://support.microsoft.com/kb/942564 で、「Windows Server 2008 および Windows Server 2008 R2 ドメイン コントローラーの Net Logon サービスでは、既定で Windows NT 4.0 と互換性のある以前の暗号化アルゴリズムを使用できない」を参照してください。

関連する GPO の変更に関する詳細については、https://technet.microsoft.com/library/cc731654.aspx で、「既定のドメイン コントローラー ポリシーでセキュリティ ポリシーを変更する」を参照してください。