次の方法で共有

ワークグループ シナリオでパスワードの有効期限が切れた場合のパスワードの変更が失敗する

この記事は、パスワードの有効期限が切れているユーザーまたは次回ログオン時に変更するように設定されているユーザーのパスワード変更を処理するときに発生するエラーを修正するのに役立ちます。

元の KB 番号: 2879424

現象

DMZ 内に、ドメインのメンバーではないサーバーがあります。 管理の場合、管理者である一連のローカル ユーザーがいます。

管理のためにサーバーに新しいユーザーを追加する場合は、初期パスワードを設定し、[ユーザーは次回ログオン時にパスワードを変更する必要があります] を設定します。 ユーザーはリモート デスクトップ サービスを使用してサーバーにログオンします。 ユーザーにパスワードの変更を求めるメッセージが表示され、パスワードを入力すると、"このコマンドを処理するのに十分なストレージがありません" というエラー メッセージが表示されます。

このコマンドを処理するのに十分なストレージがないエラー メッセージのスクリーンショット。

RDS サーバーで NLA が有効になっている場合、サーバーへのログオンの試行は失敗し、有効期限が切れたパスワードにエラーが表示されます。

[ウィンドウ タイトル]
リモート デスクトップ接続[コンテンツ]

認証エラーが発生しました。
ローカル セキュリティ機関にアクセスできません。

リモート コンピューター: <コンピューター名>
この原因として考えられるのは、パスワードの有効期限切れです。
パスワードの有効期限が切れている場合は、パスワードを更新してください。
サポートが必要な場合は、管理者かテクニカル サポートに問い合わせてください。

[OK]

エラー ダイアログは次のようになります。

NLA が有効になっているエラー メッセージを示す [リモート デスクトップ接続] ウィンドウのスクリーンショット。

原因

パスワードの有効期限が切れているユーザーまたは次回ログオン時に変更するように設定されているユーザーのパスワード変更を処理する場合、Winlogon は匿名トークンを使用してパスワード変更要求を処理します。

パスワードの変更ダイアログでは、リモート コンピューターに対するパスワードの変更も可能であるため、API 呼び出しでは SMB 経由の名前付きパイプ経由の RPC 経由でリモート可能なインターフェイスが使用されます。 このプロトコル シーケンスの場合、RPC ランタイムは、キー HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpcからポリシー設定 "Server2003NegotiateDisable" を読み取ります。

これは、匿名トークンのコンテキストで失敗します。既定のアクセス許可では、認証されたユーザー、管理者、LocalSystem のみがキーを読み取ることができるようにします。

NLA が有効になっている場合、ユーザー セッション要求は検証されないため、失敗します。

解決方法

この問題を回避する方法は次のとおりです。

  1. パスワードをリモートで変更します。 現在、リモート パスワード変更を実行するコンテキストのユーザーは、既定の資格情報を使用してターゲット サーバーにログオンできる必要があることに注意してください (または、パスワードの変更時に SMB を使用してサーバーに既に接続されています)。
  2. キー HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc のアクセス許可を変更して、匿名でキーを読み取れるようにします。 キーが存在しない場合は、キーを作成し、匿名アカウントの読み取りアクセス許可を追加できます。

Note

方法 2 では、エラーから回復しようとすると、グループ ポリシー サービスによってキーが削除され、既定のアクセス許可を使用して再作成される場合があります。 この場合、アクセス許可を再適用する必要があります。

マシンがドメインのメンバーである場合、レジストリ セキュリティ ポリシーの使用に対するアクセス許可の設定を自動化できます。 ワークグループ マシンの場合、このテキストを rpc-pol.inf ファイルとしてインポートできます。

---------------------------  
[Unicode]  
Unicode=yes  
[Version]  
signature="$CHICAGO$"  
Revision=1  
[Registry Keys]  
"MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\rpc",0,"D:PAR(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KR;;;S-1-5-7)(A;CI;KR;;;BU)"  
------------------------------

次の方法で適用できます。

secedit /configure /db C:\Windows\security\database\rpc-pol.sdb/cfg rpc-pol.inf /log rpc-pol.logキーが存在する必要があることに注意してください。

詳細

ワークグループまたはリモート メンバーのマシン パスワードを変更する機能では、多くの互換性要件を考慮する必要があります。 このシナリオは、今日では非常に境界線のトピックです。

NLA で保護された RDS セッションの場合、パスワードの有効期限が切れたリモート セッションの開始は許可されません。 NLA を使用する場合は、別のユーザーと認証されたセッションでリモートでパスワードを変更する必要があります。