RWDC が使用できない場合の DPAPI MasterKey バックアップエラー

この記事では、RWDC が使用できないときに発生する DPAPI MasterKey バックアップエラーを解決するためのソリューションを提供します。

適用対象:  Windows 10 Version 1809、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019
元の KB 番号:   3205778

現象

  • MS14-066、KB2992611、KB3000850、またはこれらの修正プログラムを含む新しい更新プログラムをインストールした後、Windows 8.1 および Windows Server 2012 R2 で次の動作が発生します。
  • 同じ動作は、すべてのバージョンの Windows 10以降のバージョンでもWindows。 読み取り専用ドメイン コントローラー (RODC) によってサービスされるサイト内の新しいコンピューターに初めてログオンするドメイン ユーザーには、次のエラーと問題が発生します。

一般的な問題

  1. 資格情報マネージャーの開きに失敗すると、0x80090345エラーが発生し、次のエラーにマップされます。

    16 進数 10 進数 シンボリック フレンドリー
    0x80090345 -2146892987 SEC_E_DELEGATION_REQUIRED 要求された操作を完了できません。 コンピューターは委任に対して信頼されている必要があります。また、委任を許可するように現在のユーザー アカウントを構成する必要があります。
  2. RDP パスワードの保存は失敗し、明らかなエラーはありません。

  3. パスワードの変更は、完了までに予想以上に時間がかかります。

  4. ファイルを暗号化するときにエクスプローラーがハングします。

  5. 2012 OfficeおよびOffice 365 Windows Live メール 2012 で新しいアカウントを追加すると、エラー が発生0x80090345。

  6. Outlookプロファイルの作成が失敗し、次のエラーが発生します。

    メール サーバーへの暗号化された接続は使用できません。

  7. Lync にサインインし、Skype"サーバーへの接続とサインイン" ステージ中にハングアップまたは長時間の遅延が発生します。

  8. SQLサービスはドメイン アカウントで開始に失敗し、次のエラーをトリガーします。

    有効な証明書が見つからなかったため、および自己署名証明書を作成することができないため、SSL 暗号化を初期化できません。

  9. SQL Serverが失敗し、次のエラーが発生します。

    Error(s): サーバー SQL次のエラーが発生しました 0x8410001。

  10. ドメイン ユーザーは、SMSS SQLデータベースを管理できません。 (SQL Server Management Studio)。 この問題は、データベースが DataBases -> CustomerDatabase Tables テーブルSSMSから移動するときに -> -> 発生します

    テーブルを右クリックし、[デザイン] を 選択すると、 次のエラー が発生します。

    要求された操作を完了できません。 コンピューターは委任に対して信頼されている必要があります。また、委任を許可するように現在のユーザー アカウントを構成する必要があります。 この例外は、System_Security_ni!System.Security.Cryptography.ProtectedData.Protect(Byte[], Byte[], System.Security.Cryptography.DataProtectionScope)。"

  11. ADFS WAP のインストールは自己署名証明書の作成に失敗し、次のエラーをトリガーします。

    例外: プロキシ信頼証明書を作成しようとするときにエラーが発生しました。

  12. RODC 専用の対象サイトでの ADLDS インストールは、次のエラーで失敗します。

    選択したサービス アカウントの有効なユーザーとパスワードを入力する

    1. この状況では、AdamInstall.log には次の情報が表示されます。

      adamsetup D20.10F8 0255 15:30:22.002 Enter GetServiceAccountError
      adamsetup D20.10F8 0256 15:30:22.002 選択したサービス アカウントの有効なユーザー名とパスワードを入力します。
      adamsetup D20.10F8 0257 15:30:22.002 ADAMERR_SERVICE_INVALID_CREDS

    2. エラーの間に実行されたネットワーク トレースのサンプルは、ADLDS が正しくないパスワードを送信し、Kerberos TGT 要求が次のエラーで失敗KDC_ERR_PREAUTH_FAILED。

      ソース Destination (転送先) プロトコル 説明
      ADLDS RODC KerberosV5 AS 要求 Cname: ADLDSSvc 領域: CONTOSO Sname: krbtgt/contoso {TCP:375, IPv4:7}
      RODC ADLDS KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_PREAUTH_FAILED (24) {TCP:376, IPv4:7}
    3. イベント ID 4625 は、次のように ADLDS サーバーのセキュリティ ログに記録されます。

      イベント ID: 4625
      キーワード: 監査エラー
      説明: アカウントがログオンに失敗しました。
      ..
      エラー情報:
      失敗の理由: 不明なユーザー名またはパスワードが悪い。
      状態: 0xC000006D
      Sub Status: 0xC000006A
      ..
      プロセス情報:
      発信者プロセス名: C:\Windows\ADAM\adaminstall.exe

    • [状態] と [サブ] の状態が次の場合に変換されます。

      16 進数 10 進数 シンボリック フレンドリー
      0xc000006a -1073741718 STATUS_WRONG_PASSWORD パスワードを更新しようとするときに、この戻り値の状態は、現在のパスワードとして指定された値が正しくありません。
      0xc000006d -1073741715 STATUS_LOGON_FAILURE ログオンの試行が無効です。 これは、ユーザー名または認証情報が悪い場合に発生します。
    • すべての場合、NETLOGON。LOG は、書き込み可能なドメイン コントローラーの呼び出しを行う DsGetDcName 要求を示しています。

      [MISC][3736] DsGetDcName 関数の呼び出し: クライアント PID=568、Dom:VS Acct:(null) フラグ: DS WRITABLE NETBIOS RET_DNS
      [CRITICAL][3736] NetpDcMatchResponse: CON-DC4: .: レスポンダーは書き込み可能 CONTOSO.COM なサーバーではありません。

      [MISC][2600] DsGetDcName 関数は 1355 (クライアント PID=564): Dom:VS Acct:(null) フラグ: FORCE DS WRITABLE NETBIOS RET_DNS

      ここで、

      16 進数 10 進数 シンボリック フレンドリー
      0x54b 1355 ERROR_NO_SUCH_DOMAIN 指定したドメインが存在しないか、または接続できません。

原因

ユーザーが初めてコンピューターにログオンし、初めてデータを暗号化しようとすると、オペレーティング システムは、ユーザーの現在のパスワードに基づく優先 DPAPI MasterKey を作成する必要があります。 DPAPI MasterKey の作成中に、RWDC に問い合わせ、このマスター キーのバックアップを試行します。 バックアップに失敗した場合は、MasterKey を作成できないので、0x80090345エラーが返されます。

このエラーは 、KB2992611によって導入された新しい動作です。 古いオペレーティング システムおよび KB2992611 がインストールされていないシステムでは、MasterKey のバックアップ中にクライアントが RWDC に接続できない場合、マスター キーの作成は引き続き許可され、ローカル バックアップが作成されます。

つまり、従来の動作では、RWDC が使用できない場合、マスター キーのローカル バックアップが実行されます。

RODC がシークレットを格納しない設計ブリーフと一致する RODC は、MasterKey のバックアップを保存または処理します。 したがって、RWDC が使用できないサイトでは、「現象」セクションに記載されている問題が発生する可能性があります。

注意

優先マスター キーが存在するが有効期限が切れている場合 (パスワードの有効期限が切れている場合)、新しいマスター キーの生成が試行されます。 新しいマスター キーのドメイン バックアップを作成できない場合、クライアントは古いマスター キーに戻り、[現象] セクションで説明されている動作は発生しません。

この問題は、MasterKey が存在しない場合と、ユーザーが以前にコンピューターにログオンしていない場合にのみ発生します。

解決方法

  1. ドメインに参加しているワークステーションと、問題が発生したサーバーが RWDC にアクセスできる状態を確認します。

    次のコマンド ラインを実行して、RWDC が存在し、正常な状態にあるか確認します。

    nltest /dsgetdc:<domain> /writable [/force]
    

    NETLOGON を使用します。RWDC への名前解決と接続を確認するために、この記事で提供されているログ例を含む LOG とネットワーク トレース。
    この問題が発生するかどうかを確認するには、コントロール パネルで CREDMAN を開きます。 エラーが発生して試行が0x80090345場合は、これを確認しました。

  2. 可能であれば、コンピューターを RWDC が存在するサイトに持ち込み、初めてそこにログオンします。 この後、DPAPI MasterKey が作成され、問題が解決されます。

  3. RWDC にアクセスできない場合、ユーザーがコンピューター間をローミングしない場合は、次のレジストリ エントリを使用して問題を解決できます。

    この値を 1 に設定すると、ドメイン バックアップを使用する代わりに、DPAPI マスター キーがローカルでバックアップされます。 さらに、以前に作成したキーは、以下で説明する限られたケースを除き、書き込み可能なドメイン コントローラーの呼び出しをトリガーしません。 このレジストリ設定は、ドメイン アカウントにのみ適用されます。 ローカル アカウントは常にローカル バックアップを使用します。

    パス HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
    設定 ProtectionPolicy
    データ型 DWORD
    1
    OS の再起動が要求されました はい
    メモ OS

警告

ドメイン ユーザーが複数のコンピューターにログオンする場合は、このレジストリ キーを使用しない。 キーはローカルでバックアップされますので、ローカル以外のパスワードの変更によって、すべての DPAPI マスター キーが古いパスワードを使用してラップされ、ドメインの回復ができない状況が発生する可能性があります。 このレジストリ キーは、データ損失が許容できる環境でのみ設定する必要があります。

詳細

トピック 詳細
Windowsデータ保護 Windowsデータ保護

DPAPI でのキーのバックアップと復元
コンピューターがドメインのメンバーである場合、DPAPI には、データの保護を解除するためのバックアップ メカニズムがあります。 MasterKey が生成されると、DPAPI はドメイン コントローラーと話し合います。 ドメイン コントローラーには、DPAPI のみに関連付けられたドメイン全体の公開キーとプライベート キーのペアがあります。 ローカル DPAPI クライアントは、相互に認証されたプライバシー保護された RPC 呼び出しを使用して、ドメイン コントローラーの公開キーをドメイン コントローラーから取得します。 クライアントは、ドメイン コントローラーの公開キーを使用して MasterKey を暗号化します。 次に、このバックアップ MasterKey と、ユーザーのパスワードで保護された MasterKey が格納されます。 データの保護を解除する一方で、DPAPI がユーザーのパスワードで保護された MasterKey を使用できない場合は、相互に認証されたプライバシー保護された RPC 呼び出しを使用して、バックアップ MasterKey をドメイン コントローラーに送信します。 その後、ドメイン コントローラーは秘密キーを使用して MasterKey を復号化し、同じ保護された RPC 呼び出しを使用してクライアントに送信します。 この保護された RPC 呼び出しを使用して、ネットワーク上でリッスンしているユーザーが MasterKey を取得できません。
RODC 配置に関する考慮事項 RODC 配置に関する考慮事項
動作を変更/この問題を開始するリンク KB。 2014 年 11 月の Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 の更新プログラムのロールアップ (KB3000850)
Backup Key Remote Protocol doc 付録 B: 製品の動作
シークレットのClient-Sideの実行

BackupKey リモート プロトコル サーバーは、実際にはシークレットのリモート バックアップを実行しません。 代わりに、サーバーは各シークレットをラップし、クライアントに返します。 クライアントは、シークレットが再び必要になるまでシークレットを格納する責任を負います。その時点で、クライアントはサーバーにシークレットのラップ解除を要求できます。

3.1.4.1.3 を参照BACKUPKEY_RETRIEVE_BACKUP_KEY_GUID