2014年10月19日日曜日

Windows Server 2003 ADドメインにWindows Server 2012 R2ドメインコントローラーを追加すると60日後にログオンできなくなる

Windows Server 2003からの移行セミナーでアナウンスがあったそうなのですが、見事にhitしてえらい目に遭ってしまいました。私の場合、すでにWindows Server 2003のドメインコントローラーは降格していたのですが、見事に現象通りでした。

60日後というと、Windows Server 2003 ADドメインにWindows Server 2012 R2ドメインコントローラーを追加後、コンピューターアカウントのパスワード変更を2回行ったタイミングになります(既定では30日に一度コンピューターアカウントのパスワードが変更されます)。

これが起きると、コンソールからのログオン、リモートデスクトップからのログオン、リモートからのshutdown、リモートからのイベントビューアー参照等、ほとんどのリモート操作が不可能になります。

他ドメインコントローラーのイベントビューアーでも、問題が発生したドメインコントローラーのコンピューター名で、Microsoft-Windows-Security-Kerberos の ID 4 のイベントが記録されることがあります。

こうなってしまいますと、
  • 物理サーバーであれば、電源ボタンをちょっと押しでOSのシャットダウンを実行する(電源ボタンの長押しはくれぐれもやらないでください。最悪の場合OSが起動しなくなることも想定されます)。
  • 仮想マシンであれば、ハイパーバイザー側の管理ツールからシャットダウンを実行する。

後に、電源再投入して、再起動するしかなくなります。

これはすでに下記のサポート情報で解決策が提示されています。
Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウントのパスワードを変更した後にログオンできない http://support.microsoft.com/kb/2989971
※この修正プログラムは、Windows Updateでも配布されています。

Windows Server 2003からの移行で、 Windows Server 2012 R2にActive Directoryドメイン サービスをインストールしたタイミング(ドメインコントローラーへの昇格前)で、上記リンクからダウンロードできる修正プログラムを適用していください。

すでに、Windows Server 2003からの移行で、 Windows Server 2012 R2をドメインコントローラーへ昇格した場合は、
  1. Windows Server 2012 R2ドメインコントローラーに修正プログラムを適用していください。
  2. その後、Windows Vista以降のクライアントOS、Windows Server 2008以降のサーバーOSは、必ず再起動を行います。

を行います。

改めて修正プログラムの適用条件を確認すると、下記の通りということでした。
  • Windows Server 2012 R2 Updateが適用されていること。
    http://support.microsoft.com/kb/2919355
  • Windows Server 2012 R2にActive Directoryドメイン サービスをインストールされていること。
    ドメインコントローラーに昇格しているか否かは関係ないです。


現象の詳細については、サポートチームのブログにも記事があるそうなので、そちらも参考にしてください。
Windows Server 2012 R2 をドメイン コントローラーとして Windows Server 2003 で構成された Active Directory ドメインに追加後、ログオン障害が発生する http://blogs.technet.com/b/jpntsblog/archive/2014/10/16/windows-server-2012-r2-windows-server-2003.aspx

0 件のコメント:

コメントを投稿