Windows Server 2012 R2 を実行しているファイル サーバー上の共有にドメイン ユーザーがアクセスすると、エラー (ターゲット アカウント名が正しくありません)

この記事では、Windows Server 2012 R2 を実行しているファイル サーバー上の共有にユーザーがアクセスできない問題の解決策について説明します。

元の KB 番号: 3040803

現象

ドメイン ユーザーが Windows Server 2012 R2 を実行しているファイル サーバー上の共有にアクセスしようとすると、共有にアクセスできず、次のエラー メッセージが表示されます。

ログオンエラー: ターゲット アカウント名が正しくありません。

さらに、この問題が発生すると、イベント ID 4 とイベント ID 1097 がサーバー ログに記録されます。 この問題は、数時間または最大 1 日発生する可能性があります。 その後、ユーザーはサーバー上の共有にアクセスできなくなります。

• イベント ID 4

  The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server server_name$. The target name used was server_name$. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Please ensure that the target SPN is registered on, and only registered on, the account used by the server. This error can also happen when the target service is using a different password for the target service account than what the Kerberos Key Distribution Center (KDC) has for the target service account. Please ensure that the service on the server and the KDC are both updated to use the current password. If the server name is not fully qualified, and the target domain (DNS_prefix.dns_suffix) is different from the client domain (DNS_prefix.dns_suffix), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
  

• イベント ID 1097

  The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.
  

原因

この問題は、ファイル サーバーが AES256 で暗号化されたチケットを復号化できないために発生します。

解決方法

この問題を解決するには、SupportedEncryptionTypes 属性の値を 0x7fffffff に設定します。 これを行うには、次の手順を実行します。

1. グループ ポリシー管理コンソール (GPMC) で、 Computer の構成を展開 Windows の設定を展開し、 セキュリティ設定を展開 ローカル ポリシーを展開し、 セキュリティ オプションを選択します。
2. [ Network security: Configure encryption types allowed for Kerberos ] オプションをクリックして選択します。
3. クリックして、 これらのポリシー設定を定義します チェック ボックスと、暗号化の種類の 6 つのチェック ボックスをすべてオンにします。
4. [ OK をクリックし、GPMC を閉じます。

Note

このポリシーは、SupportedEncryptionTypes レジストリ エントリを 0x7FFFFFFF の値に設定します。 SupportedEncryptionTypes レジストリ エントリは、次の場所にあります: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters。

状態

Microsoft は、これが Windows Server 2012 R2 の問題であることを確認しました。

関連情報

• Kerberos

• Kerberos 認証の変更

• SupportedEncryptionTypes レジストリ キーの解釈

• Kerberos の機能強化

• Kerberos 認証の AES 暗号化を無効にした後、Windows 7 ベースまたは Windows Server 2008 R2 ベースのクライアント コンピューターにログオンすることはできません