Windows Server 2016で運用していたActive Directory環境の老朽化により、Windows Server 2025をインストールしたサーバーを、新しいドメインコントローラーへ移行した際、思わぬトラブルに遭遇しました。
どのような事象かと言いますと、
ドメインコントローラーの昇格やFSMOの移行、レプリケーションなどは問題なく完了したものの、
移行後にドメイン管理者アカウントである「Administrator」でログオンできなくなってしまったのです。
当初はアカウントロックやパスワードの問題を疑いましたが、調査を進めると原因はMicrosoftがセキュリティ対策として実施した「CVE-2022-37966」の影響ではないかと考えるようになりました(ただし確証はないです)。
本記事では、Windows Server 2016からWindows Server 2025へのActive Directory移行後に発生したAdministratorログオン障害について、発生した事象、原因、調査方法、そして解決手順を実際の体験をもとに紹介します。
同様のトラブルでお困りの方の参考になれば幸いです。
Windows Server 2025へドメインコントローラーを移行したら発生した事象
具体的な、不具合発生環境や経緯は以下になります。
構成変更前の環境
今回の環境は以下のような構成でした。
- Windows Server 2016 ドメインコントローラー
- Active Directoryドメイン環境(機能レベル:Windows Server 2016)
- オンプレミス運用
- ドメイン管理者としてAdministratorアカウントを利用
ドメインコントローラーサーバーの老朽化及び、OSであるWindows Server 2016サポート期限も近い事もあり、新たにWindows Server 2025をインストールしたサーバーを構築し、ドメインコントローラーの移行を実施しました。
Windows Server 2025への移行作業
実施した作業は、Windows Serverを扱う人なら、誰でもやっている、一般的なActive Directory移行手順です。
- 新サーバー筐体へWindows Server 2025インストール
- ドメイン参加
- Active Directory Domain Servicesインストール
- ドメインコントローラーへ昇格
- レプリケーション確認
- FSMO移行
移行作業自体は、今までのWindows Server 2022までと同じなので、問題なく完了しました。
発生した問題
移行完了後、新しいWindows Server 2025ドメインコントローラーへAdministratorアカウントでログオンを試みたところ、「ユーザー名かパスワードが正しくありません」と表示され、認証に失敗する事象が発生しました。
Windows Server 2016ドメインコントローラーでは、同じAdministratorアカウントでログオン出来る事から、アカウントの問題ではなく、新しいWindows Server 2025ドメインコントローラーの問題と思われます。
以下実施してみましたが、相変わらずログオンは出来ません。
<やってみた事>
- パスワードが正しくないと出ているので、何度も入れ直し
- USキーボードの影響かと思い、USキーボード配列でパスワード入力
- サーバー何度も再起動
新しく管理者アカウントを作成
Windows Server 2016ドメインコントローラーは、Administratorでログオンが出来ますので、試しに新しく「test-admin」という、”Domain Admins” "EnterPrise Admins" に所属するアカウントを作成して、ログオン出来るかを試してみました。
すると、問題なくログオンが出来ました!
他の管理者アカウントではログオンできるにもかかわらず、Administratorのみログオンできない状態です。
パスワード誤りやアカウントロックではなく、認証方式に起因する問題のように見えます。
恐らく原因はCVE-2022-37966によるKerberos認証強化
色々調べてみたところ、MicrosoftによるKerberos認証の強化(CVE-2022-37966)による影響ではないか?という事が分かってきました。あくまでも推測の為、もしかしたら違っている可能性も否めませんが、ひとまず、可能性として怪しげです。
CVE-2022-37966とは
CVE-2022-37966は、Kerberos認証に関する権限昇格の脆弱性です。
詳細は以下、「Microsoft Japan Windows Technology Support Blog」の情報をご確認いただきたいのですが、赤線を引いているように、2022年11月の更新プログラムの適用により、アカウントパスワードの暗号化タイプが、「RC4」→「AES」に変更されているようです。
Microsoft Japan Windows Technology Support Blog
その結果、古い環境から新しいドメインコントローラーへ移行した際、これまで問題なく利用できていたアカウントが認証できなくなるケースがあるようです。
Administratorがログオンできない問題の解決方法
このAdministratorアカウントログオンできない問題の解決方法としては、
「Administratorアカウントのパスワードを変更する」事で解決しました。
恐らく、パスワードを再設定する事で、AESで暗号化されたパスワードになる事で、無事ログオンが出来るようになると思われます。
① パスワードポリシーを変更する
Administratorのパスワードを変更すると、インストールアプリケーション等に影響が出ますので、出来る事なら変えたくありません。
その為、Administratorのパスワードを再設定しますが、同じパスワードを使用できるように、Windows Server 2016ドメインコントローラーで、グループポリシーを変更します。
ただし、変更によりセキュリティレベルは落ちますので、対応が終わったら、設定値を戻す事をわすれないようにしてください!
「グループポリシー管理エディター」を開きます
「Default Domain Policy」を編集します
「パスワードポリシー」-「パスワードの履歴を記録する」を変更します
パスワード履歴を「0」に変更します
「パスワードの履歴を記録する」が「0」になっている事を確認します
以上で完了です。
対処後は設定値を戻す事を忘れないようにしましょう。
② Administratorパスワードを再設定する
こちらも、Windows Server 2016ドメインコントローラーで、Administratorパスワードを変更します。
「Active Directoryユーザーとコンピューター」を開きます
「Administratorアカウント」を右クリックし「パスワードのリセット」を選択します
もともと使用していたパスワードを入力します
以下表示がでれば、パスワードの変更は完了です
③ Administratorアカウントでログオンを確認する
Windows Server 2025ドメインコントローラーを使用して、Administratorアカウントでログオンを行います。
問題なく認証され、ログオンできることを確認できました。
まとめ
Windows Server 2016からWindows Server 2025へのドメインコントローラー移行後、Administratorアカウントでログオンできなくなる事象が発生しました。
原因はCVE-2022-37966に関連するKerberos認証強化の影響ではないかと予想しました。
Active Directoryの移行では、FSMOやレプリケーションだけでなく、Kerberos暗号化方式やアカウント属性の確認も重要です。
同様のトラブルを防ぐためにも、移行前の事前確認と検証環境でのテストを実施することをおすすめします。
コメント