24H2罠シリーズの10ですw 前回のはこんな感じですw
結論のようなものが出たと割り切ったはずですが、なんか、納得いかないので問題の切り分けをもう少し深堀しました。そもそも今回の問題は
クリーンインストールされたWINDOWS 24H2でクライアントPCで、ADへの参加はできるものの、再起動後、ドメインユーザーでのDCへのログオンが「このワークステーションとプライマリドメインの信頼関係に失敗しました」となり、イベントにエラーが記録され、その結果、グループポリシーの適用などもできない。ただし、ドメインユーザーでのクライアントPCへのログオンは「キャッシュログオン」として実行されている。
というものです。エラーから推測すると、セキュリティ上のネゴシエーションが上手くいかないことがわかりますが、ネゴシエーションの際に使われる「Kerberos認証」を疑って様々な調整をしていました。ですが、一向に変化がありませんでした。DCは結構古いサーバーですので、認証時の暗号化などで差異がでることも想定はできるのですが、WINDOWS11 22H4までは問題なかったし、現役で動いているWINDOWS10のPCでも問題がないというところで、
「23H2以降のセキュリティ上の問題」
ではないか?と考えました。23H2と24H2での問題の違いは、クリーンインストール直後の状況でのドメイン登録後の動作については、症状が全く同じです。よって、24H2よりもセキュリティ上の強化が低い23H2で設定などの見直しを行うことで、問題なくログオンできるようになれば、それは24H2に対しても初期アプローチとしてはいけるんじゃね?ってことでの検証ですw
※単にあきらめが悪いだけかもですがwww
というわけで、実はこの「WINDOWS11 24H2の罠」シリーズのエントリーは、意外と読んでいただいている方や、グーグルでの検索ヒット数が多くて、結構、いろんなところで問題を抱えた方がググりまくってるんだろうなぁと感じています。そんな方におすすめは、前回のブログでもご紹介した、GEMINIの活用です。
ポイントは、もはやYahoo質問箱に投稿するような勢いで、普通に文章を書くことです。ぶっちゃけとか、よくね?とかもきっちり読み解いてくれますし、なにより、スクショを張り付けることで、ほぼ、オンラインサポートのような状況も作れます。
さて、それでは現時点での検証結果を書いときます。参考にしてもらったら光栄です。
◎WINDOWS11 23H2をすごく古いWINDOWS SERVERのDCにログオンさせるときの設定
1.KERBEROS 認証の暗号化の種類の設定
全部ONにしましたw たぶん、しっかり一つ一つ見るといいかもですが、メンドクサイのでw
2.低速リンク検出
無効化。これ、やり方あって、構成は有効にして、接続速度を0Kbpsにします。
3.安全でないゲストログオン
有効。たぶん、23H2まではデフォで有効。
4.LAN Manager 認証レベル
「未定義」 WEB上の情報などでは画像のように「LMとNTLM応答を送信する」として、最低の認証レベルにするようにとの記載を見かける。っていうか、ほとんどこれw だけど、GEMINIやCopilotによると、「NTLMv2のみ応答」とするように言われます。これは、WINDOWS 2000 SERVER以降だと、NTLMv2がネイティブで動作するようになっているのと、これを「未定義」とすることでの動作が、どうも、23H2と24H2では違うかもな感じなので、明示的にということです。でも、23H2であれば「未構成」で動作できています。
というわけで、あくまでも23H2の場合ですが、これでDCとのログオン失敗はクリアできましたw もし、同じ問題で悩まれている方に少しでもお役に立てればと思います。
