ドメインユーザ情報のキャッシュを使ってログインができない

Ikeda_756 0 評価のポイント
2024-09-04T00:36:07.0033333+00:00

社内で使用しているActive Directoryに参加するPCで、Active Directoryと認証できないネットワーク接続中でログインをしようとすると以下メッセージが表示され、ログインすることができません。

ドメインが利用できないため、この資格情報ではサインインできません。デバイスが組織のネットワークに接続されていることを確認し、やり直してください。このデバイスで、別の資格情報を使用して最近ログインした場合は、その資格情報を使ってログオンすることができます。

症状として、以下状態を確認しています。

  • ドメインネットワーク接続中はログインでき、オフライン状態に切り替わるとすぐにログイン不可になる
  • グループポリシーで「対話型ログオン: キャッシュする過去のログオン数」は10
  • HKEY_LOCAL_MACHINE\SECURITY\CacheでNL$1~10にデータがあることを確認

また、グループポリシーの「対話型ログオン: キャッシュする過去のログオン数」を10→20に変更したところ、症状は変わらず、NL$11以降にいくつかデータが記録されたことを確認しています。

本来であればドメインネットワークのログイン情報とログオンキャッシュの記録は一意であるべきですが、なぜか複数キャッシュされる不具合とみています。 ログオンキャッシュの登録に問題があるとみていますが、事例が見つからず解決法がわかりません。 本事象が発生する原因と、解決するための対処がありましたらご教授ください。

Windows
Windows
パーソナル コンピューター、タブレット、ノート PC、電話、モノのインターネット デバイス、自己完結型 Mixed Reality ヘッドセット、大規模なコラボレーション画面、その他のデバイスにわたって実行される Microsoft オペレーティング システムのファミリ。
80 件の質問
Active Directory
Active Directory
Windows Server に含まれるディレクトリベースのテクノロジのセット。
27 件の質問

4 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. チャブーン 1,546 評価のポイント MVP
    2024-09-05T02:11:21.0466667+00:00

    チャブーンです。

    この件ですが、やり取りを拝見している限り、以下の状況ということでしょうか?

    • クライアントの全ユーザーではなく、特定のユーザーだけで起こっている
    • オンライン時の挙動には全く問題がなく、オフライン時だけ問題が起こっている

    上記の状態ですと、たぶん対象のユーザーの「資格情報のキャッシュ」だけが、何らかの原因で読み取り不可になっている、ように思います。

    ではなぜ、読み取り不可になっているのか、ですが、ユーザーがログオン時に入力したパスワードのハッシュが、資格情報キャッシュの復号に必要なパスワードハッシュと一致していない、のかもしれません。

    Active DirectoryではWindows 2000から長年、RC4アルゴリズムでパスワードハッシュが生成されていましたが、RC4セキュリティホールが発見されたため、最近はAES265に置き換えられています。以前から利用されているユーザーだと、資格情報キャッシュにはRC4ベース、オンラインではAES256ベースのパスワードハッシュが保存され、不一致のままで運用されている可能性があります。

    上記を解消し、統一化するには、以下の方法を採るしかありません。

    • オンラインの状態で、ユーザー自身が「パスワードの変更」を行う

    上記を行った場合、AES256ベースのパスワードハッシュが資格情報キャッシュに反映されます。それで事象が解消しないかどうか、一度試されてみてはいかがでしょうか?

    1 人がこの回答が役に立ったと思いました。
  2. Yanhong Liu 11,320 評価のポイント Microsoft ベンダー
    2024-09-04T02:45:08.7466667+00:00

    こんにちは、

    説明に基づいて、この問題を解決するには次の手順をお試しください。

    1. Windows + R を押して実行コマンドを開き、「secpol.msc」と入力して、「OK」をクリックします。
    2. 次のパスに移動します: [セキュリティ設定] > [ローカル ポリシー] > [セキュリティ オプション]。
    3. [ポリシー リスト] で [対話型ログオン: キャッシュする以前のログオンの数] を検索し、ダブルクリックします。
    4. その値を 0 に設定します。
    5. [OK] をクリックして、問題が解決したかどうかを確認します。

    よろしくお願いします、

    ヤンホン・リウ

    ===========================================

    回答が役に立った場合は、「回答を受け入れる」をクリックして賛成票を投じてください。

  3. チャブーン 1,546 評価のポイント MVP
    2024-09-12T02:51:51.3566667+00:00

    チャブーンです。

    返信が遅れました。

    ご提示いただいたパスワードの変更を行いましたが解消されませんでした。

    こちらですが、問題が起こっているクライアントPC上で変更していただく必要があるのですが、実際にそうされていますか?

    パスワードハッシュのRC4ベースとAES256ベースの違いとありましたが、こちらは同じパスワードを長期間変更しない場合を想定していますでしょうか。

    そうですね。旧来のバージョンから引き継いだActive Directoryの場合、ドメインユーザーのパスワードはRC4ハッシュで保存されています。パスワードを変更した場合、これがAES256ベースに変更され、その内容がローカルPCの資格情報キャッシュにも反映されることを想定していました。

    同じユーザーでほかのクライアントPCで問題が起こるかを改めて確認いただき、特定のPCだけで問題が起こる、という場合、そのPC上固有の問題だと思いますので、以下の対応を検討するといいかと思います。

    • ユーザープロファイルの削除
      ここで期待しているのはプロファイルデータの削除ではなく、プロファイルと紐づいているはずの該当ユーザーの資格情報キャッシュの削除です。プロファイルフォルダーをエクスプローラーで削除するのはNGで、別の手順がありますので、試してみてください。https://aprico-media.com/posts/3294
    • 資格情報キャッシュレジストリの直接削除
      最終手段として、以下のように「手動でレジストリ情報を削除(リセット)」という方法もあるにはあります。がこのような方法はかなり危険なため、以下の内容をよく読んで、ご自身の自己責任で実行してください。https://jwgoerlich.com/viewing-cached-credentials-and-clearing-cached-credentials-in-windows-10/ (リンクは外してありますので、ご自身の責任でアクセスをお願いします)

    現実解としては、ユーザープロファイルの削除でうまくいかなかった段階でのPC初期化(インストール直後の状態にする)が、適切なように思えます。

  4. Ikeda_756 0 評価のポイント
    2024-10-15T01:45:00.95+00:00

    本件ですが、事象が解消しましたのでご報告します。

    結果として「PCのシャットダウンを行う」で解消しました。

    システムの復元を試す前にシャットダウンを行ったところ事象が発生しなくなりました。

    使用者に確認したところ、Windows Updateに伴う再起動はしていたがシャットダウンは日ごろからしていなかったとのことです。(テレワークでリモート接続するために電源を入れっぱなしにしているようです)

    ログオンキャッシュのバイナリ情報(HKEY_LOCAL_MACHINE\SECURITY\Cache)で複数保存される事象もなくなりました。

    回答・コメントをいただきありがとうございました。

    0 件のコメント

お客様の回答

回答は、質問作成者が [承諾された回答] としてマークできます。これは、ユーザーが回答が作成者の問題を解決したことを知るのに役立ちます。