ドメインのアカウントがロックアウトされても、管理ツールにされていないと出る

対象プラットフォーム

質問

Windows 2000 Server SP2で Active Directory を運用しています。 不正アクセスを防ぐ意味でアカウントのロックアウトを 3 回にして運用していますが、このところ、アカウントがロックアウトされてしまったので解除して欲しいという申告があったにもかかわらず、「Active Directoryユーザーとコンピュータ」で確認すると、そのアカウントがロックアウトされていないという現象が発生してしまい困惑しています。 Active Directory は単一ドメイン構成で、東京・名古屋・大阪の 3 サイトで構成されています。

回答

結論からいうと、これは Windows 2000 Server SP2 でパスワードのロックアウトに関する動作が変更されたことに起因して発生した問題だと思われます。 おそらくこうした申告を行ってくるユーザーは、 PDC エミュレータが存在するサイトとは別のサイトでログオンしたユーザーだと思われます。 以下、理由について説明しましょう。

ログオン時の動作とロックアウト

まず、アカウントのロックアウトがどのように行われるかについて説明します。 図1のように user1 というユーザが大阪サイトにある client1 という PC からログオンしようとして誤ったパスワードを入力した場合を考えてみましょう。

                                      大阪サイト | 東京サイト
user1 -ログオン-> client1                        |
                 クライアントPC   <====> DC1 <===|===> DC2
                                                      (PDCエミュレータ)   

図1: 誤ったパスワードによるログオン(一回目)

ユーザ名と誤ったパスワードを受け取った DC1 は、認証できなかったユーザ名とパスワードを常に最新のユーザ名とパスワードが保持されていることが保証されている PDC エミュレータの DC2 に送ります。 しかし、誤ったパスワードが入力されているため、 DC2 でも認証に失敗して、最終的には認証失敗という結果が DC1 から client1 に返却されます。

ここで、再度誤ったパスワードによるログオンを行った際の動作が図2になります。 このように、複数回誤ったパスワードによるログオン試行が行われた場合、要求はローカルの DC1 で処理され、 PDC エミュレータには通信が行われません。 実は Windows 2000 Server SP2 までは、毎回 PDC エミュレータに通信が行われていました。 しかしこの仕様が PDC エミュレータに過度の負荷をかけてしまうということから、 SP2 より仕様が変更されています。 詳細はマイクロソフト社の技術情報「JP272065:パスワードに誤りのある認証要求がドメインコントローラから PDC 操作マスタに繰り返し転送される」を参照してください。

                                      大阪サイト | 東京サイト
user1 -ログオン-> client1                        |
                 クライアントPC   <====> DC1     |   DC2
                                                      (PDCエミュレータ)   

                               !!PDCエミュレータへの通信が行なわれない!!

図2: 誤ったパスワードによるログオン(二回目以降)

このようにして、最終的に 3 回ログオン試行が失敗すると、DC1 ではそのアカウントがロックアウトされ、同じサイト内の他の DC には、緊急複製により、この情報が即座に反映されます。 しかし、別サイトである東京サイトの DC2 には、通常のサイト間複製のタイミングでしか、変更が反映されません。 そのため、しばらくの間は DC1 でロックアウトされている設定が DC2 に反映されない状態になってしまうのです。
このような場合は, ロックアウトを行なっている DC (この場合は, DC1)を特定した上で, その DC に接続してロックアウトを解除する必要があります。

別の方法として、 ADSI Edit などを利用してサイト間での変更通知を有効にすることも可能です。詳細についてはWindows 2000 Server リソースキット第3巻P.354からの「サイト間の変更通知を有効にするには」を参照して下さい。

この場合サイト間であってもサイト内と同様にロックアウト情報が通知されます。ただし、予期せぬトラヒックの増加を招くことがありますので、この方法を利用する場合はトラヒックの見積りなどを慎重に行ってください。

注記・補足

  1. 本文書は、日経 Windows プロ 2002 年 6 月号の「トラブル解決 Q&A コーナー」に掲載された「ドメインのアカウントがロックアウトされても、管理ツールにされていないと出る」の草稿を筆者の方で HTML 化して掲載しているものです。

Copyright (C) 1998-2009 TAKAHASHI, Motonobu
Last update: 2006-07-12 00:00:19 JST
webmaster@monyo.com