社内で使用しているActive Directoryに参加するPCで、Active Directoryと認証できないネットワーク接続中でログインをしようとすると以下メッセージが表示され、ログインすることができません。ドメインが利用できないため、この資格情報ではサインインできません。デバイスが組織のネットワークに接続されていることを確認し、やり直してください。このデバイスで、別の資格情報を使用して最近ログインした場合は、その資格情報を使ってログオンすることができます。症状として、以下状態を確認しています。ドメインネットワーク接続中はログインでき、オフライン状態に切り替わるとすぐにログイン不可になるグループポリシーで「対話型ログオン: キャッシュする過去のログオン数」は10 HKEY_LOCAL_MACHINE\SECURITY\CacheでNL$1～10にデータがあることを確認また、グループポリシーの「対話型ログオン: キャッシュする過去のログオン数」を10→20に変更したところ、症状は変わらず、NL$11以降にいくつかデータが記録されたことを確認しています。本来であればドメインネットワークのログイン情報とログオンキャッシュの記録は一意であるべきですが、なぜか複数キャッシュされる不具合とみています。ログオンキャッシュの登録に問題があるとみていますが、事例が見つからず解決法がわかりません。本事象が発生する原因と、解決するための対処がありましたらご教授ください。

チャブーンです。この件ですが、やり取りを拝見している限り、以下の状況ということでしょうか？クライアントの全ユーザーではなく、特定のユーザーだけで起こっているオンライン時の挙動には全く問題がなく、オフライン時だけ問題が起こっている上記の状態ですと、たぶん対象のユーザーの「資格情報のキャッシュ」だけが、何らかの原因で読み取り不可になっている、ように思います。ではなぜ、読み取り不可になっているのか、ですが、ユーザーがログオン時に入力したパスワードのハッシュが、資格情報キャッシュの復号に必要なパスワードハッシュと一致していない、のかもしれません。 Active DirectoryではWindows 2000から長年、RC4アルゴリズムでパスワードハッシュが生成されていましたが、RC4セキュリティホールが発見されたため、最近はAES265に置き換えられています。以前から利用されているユーザーだと、資格情報キャッシュにはRC4ベース、オンラインではAES256ベースのパスワードハッシュが保存され、不一致のままで運用されている可能性があります。上記を解消し、統一化するには、以下の方法を採るしかありません。オンラインの状態で、ユーザー自身が「パスワードの変更」を行う上記を行った場合、AES256ベースのパスワードハッシュが資格情報キャッシュに反映されます。それで事象が解消しないかどうか、一度試されてみてはいかがでしょうか？

こんにちは、説明に基づいて、この問題を解決するには次の手順をお試しください。 Windows + R を押して実行コマンドを開き、「secpol.msc」と入力して、「OK」をクリックします。次のパスに移動します: [セキュリティ設定] > [ローカルポリシー] > [セキュリティオプション]。 [ポリシーリスト] で [対話型ログオン: キャッシュする以前のログオンの数] を検索し、ダブルクリックします。その値を 0 に設定します。 [OK] をクリックして、問題が解決したかどうかを確認します。よろしくお願いします、ヤンホン・リウ =========================================== 回答が役に立った場合は、「回答を受け入れる」をクリックして賛成票を投じてください。

チャブーンです。返信が遅れました。ご提示いただいたパスワードの変更を行いましたが解消されませんでした。こちらですが、問題が起こっているクライアントPC上で変更していただく必要があるのですが、実際にそうされていますか？パスワードハッシュのRC4ベースとAES256ベースの違いとありましたが、こちらは同じパスワードを長期間変更しない場合を想定していますでしょうか。そうですね。旧来のバージョンから引き継いだActive Directoryの場合、ドメインユーザーのパスワードはRC4ハッシュで保存されています。パスワードを変更した場合、これがAES256ベースに変更され、その内容がローカルPCの資格情報キャッシュにも反映されることを想定していました。同じユーザーでほかのクライアントPCで問題が起こるかを改めて確認いただき、特定のPCだけで問題が起こる、という場合、そのPC上固有の問題だと思いますので、以下の対応を検討するといいかと思います。ユーザープロファイルの削除ここで期待しているのはプロファイルデータの削除ではなく、プロファイルと紐づいているはずの該当ユーザーの資格情報キャッシュの削除です。プロファイルフォルダーをエクスプローラーで削除するのはNGで、別の手順がありますので、試してみてください。 https://aprico-media.com/posts/3294 資格情報キャッシュレジストリの直接削除最終手段として、以下のように「手動でレジストリ情報を削除(リセット)」という方法もあるにはあります。がこのような方法はかなり危険なため、以下の内容をよく読んで、ご自身の自己責任で実行してください。https://jwgoerlich.com/viewing-cached-credentials-and-clearing-cached-credentials-in-windows-10/ (リンクは外してありますので、ご自身の責任でアクセスをお願いします) 現実解としては、ユーザープロファイルの削除でうまくいかなかった段階でのPC初期化(インストール直後の状態にする)が、適切なように思えます。

ドメインユーザ情報のキャッシュを使ってログインができない

Ikeda_756 0

社内で使用しているActive Directoryに参加するPCで、Active Directoryと認証できないネットワーク接続中でログインをしようとすると以下メッセージが表示され、ログインすることができません。

ドメインが利用できないため、この資格情報ではサインインできません。デバイスが組織のネットワークに接続されていることを確認し、やり直してください。このデバイスで、別の資格情報を使用して最近ログインした場合は、その資格情報を使ってログオンすることができます。

症状として、以下状態を確認しています。

ドメインネットワーク接続中はログインでき、オフライン状態に切り替わるとすぐにログイン不可になる
グループポリシーで「対話型ログオン: キャッシュする過去のログオン数」は10
HKEY_LOCAL_MACHINE\SECURITY\CacheでNL$1～10にデータがあることを確認

また、グループポリシーの「対話型ログオン: キャッシュする過去のログオン数」を10→20に変更したところ、症状は変わらず、NL$11以降にいくつかデータが記録されたことを確認しています。

本来であればドメインネットワークのログイン情報とログオンキャッシュの記録は一意であるべきですが、なぜか複数キャッシュされる不具合とみています。ログオンキャッシュの登録に問題があるとみていますが、事例が見つからず解決法がわかりません。本事象が発生する原因と、解決するための対処がありましたらご教授ください。

Hebikuzure aka Murachi Akira 7,686 評価のポイント MVP

2024-09-04T04:03:40.0266667+00:00

特定のユーザーではなく、すべてのドメインユーザーのログインで同じ問題が起きますか？

「対話型ログオン: キャッシュする過去のログオン数」をいったん 0 (キャッシュ無効）にした後で、ドメインネットワーク内でのログオン・ログオフを行って、その後過去のログオン数を 10 などに戻すとどうなるでしょう？
Nakamura Fumiaki 0 評価のポイント

2024-09-04T08:16:01.2733333+00:00

自分も管理者なのでこの件に注目しています。回答ではありませんが、環境についていくつか教えてください。

１）Active Directory は Windows Server ですか。Samba や NAS などの互換ADですか。

２）クライアントのログオンにPINや指紋認証などの Windows Hello は使ってますか。

３）ログオンしたあとロックさせて、その間にオフラインになってもロック解除できますか。

3 件の回答

チャブーン 1,376 評価のポイント MVP

2024-09-05T02:11:21.0466667+00:00
チャブーンです。

この件ですが、やり取りを拝見している限り、以下の状況ということでしょうか？

クライアントの全ユーザーではなく、特定のユーザーだけで起こっている

オンライン時の挙動には全く問題がなく、オフライン時だけ問題が起こっている

上記の状態ですと、たぶん対象のユーザーの「資格情報のキャッシュ」だけが、何らかの原因で読み取り不可になっている、ように思います。

ではなぜ、読み取り不可になっているのか、ですが、ユーザーがログオン時に入力したパスワードのハッシュが、資格情報キャッシュの復号に必要なパスワードハッシュと一致していない、のかもしれません。

Active DirectoryではWindows 2000から長年、RC4アルゴリズムでパスワードハッシュが生成されていましたが、RC4セキュリティホールが発見されたため、最近はAES265に置き換えられています。以前から利用されているユーザーだと、資格情報キャッシュにはRC4ベース、オンラインではAES256ベースのパスワードハッシュが保存され、不一致のままで運用されている可能性があります。

上記を解消し、統一化するには、以下の方法を採るしかありません。

オンラインの状態で、ユーザー自身が「パスワードの変更」を行う

上記を行った場合、AES256ベースのパスワードハッシュが資格情報キャッシュに反映されます。それで事象が解消しないかどうか、一度試されてみてはいかがでしょうか？
サインインしてこの回答を評価してください。

1 人がこの回答が役に立ったと思いました。
Ikeda_756 0 評価のポイント

2024-09-06T01:58:17.8233333+00:00

チャブーンさん

ご回答いただきありがとうございます。

状況については記載の通りで間違いございません。

ご提示いただいたパスワードの変更を行いましたが解消されませんでした。

パスワードハッシュのRC4ベースとAES256ベースの違いとありましたが、こちらは同じパスワードを長期間変更しない場合を想定していますでしょうか。

事象が発生しているPCは数カ月前に新規に導入したもので、パスワードも半月ほど前に変更していたとのことです。

Deleted

このコメントは当社の行動規範に違反したため削除されました。アクションを実行する前にこのコメントを手動で報告したか、自動検出機能により特定しました。詳細については、当社の行動規範を参照してください。
サインインしてコメントする

コメントを使用して、説明、追加情報、または質問の改善を求めます。
Yanhong Liu 8,300 評価のポイント Microsoft ベンダー

2024-09-04T02:45:08.7466667+00:00
こんにちは、

説明に基づいて、この問題を解決するには次の手順をお試しください。

Windows + R を押して実行コマンドを開き、「secpol.msc」と入力して、「OK」をクリックします。

次のパスに移動します: [セキュリティ設定] > [ローカルポリシー] > [セキュリティオプション]。

[ポリシーリスト] で [対話型ログオン: キャッシュする以前のログオンの数] を検索し、ダブルクリックします。

その値を 0 に設定します。

[OK] をクリックして、問題が解決したかどうかを確認します。

よろしくお願いします、

ヤンホン・リウ

===========================================

回答が役に立った場合は、「回答を受け入れる」をクリックして賛成票を投じてください。
サインインしてこの回答を評価してください。
Ikeda_756 0 評価のポイント

2024-09-04T05:50:07.26+00:00

ご回答いただきありがとうございます。ご提示いただいた手順を試しましたが、事象は解消しませんでした。実施した内容と結果は以下になります。

[対話型ログオン: キャッシュする以前のログオンの数] を0にして [OK] 　→レジストリエディタでキャッシュ（NL$1～10）が消えていることを確認

ドメインネットワーク接続状態でログイン　→ログイン成功

ドメインネットワーク切断状態でログイン　→ログイン失敗

[対話型ログオン: キャッシュする以前のログオンの数] を0にして [OK] 　→レジストリエディタでキャッシュ（NL$1～10）が作成されてデータがすべて00であることを確認

ドメインネットワーク接続状態でログイン　→ログイン成功、レジストリエディタでNL$1にデータが記録されたことを確認

ドメインネットワーク切断状態でログイン　→ログイン失敗

ドメインネットワーク接続状態でログイン　→ログイン成功、レジストリエディタでNL$2にデータが記録されたことを確認

Ikeda_756 0 評価のポイント

2024-09-04T05:58:43.9466667+00:00

Hebikuzure aka Murachi Akira さん

特定のユーザーではなく、すべてのドメインユーザーのログインで同じ問題が起きますか？

同じドメインに参加している他のユーザからは同様の事象が発生しているとの相談はありませんでした。（自分も同じドメインですが発生しておりません）

Yanhong Liu 8,300 評価のポイント Microsoft ベンダー

2024-09-04T06:19:32.1933333+00:00

こんにちは、

ご返信ありがとうございます。

私たちの検索によると、一部のユーザーが同様の問題に遭遇しています。ユーザーの 1 人は、自分のラップトップにドメインユーザーと同じ名前のローカルユーザーが存在することを発見しました。このローカルユーザーを削除した後、問題は解決されました。デバイス上にドメインユーザーと同じ名前のローカルユーザーが存在するかどうかも確認し、それを削除して、発生している問題の解決に役立つかどうかを確認することをお勧めします。

https://learn.microsoft.com/en-us/answers/questions/67376/cached-logon-not-working

Ikeda_756 0 評価のポイント

2024-09-04T06:28:33.7833333+00:00

Yanhong Liu さん

情報をいただきありがとうございます。

確認しましたが、同じ名前のローカルユーザーは存在しませんでした。

ユーザーはローカルのAdministratorとドメインユーザーの2つのみで、他の端末でも同様の運用をしています。

Ikeda_756 0 評価のポイント

2024-09-04T06:33:01.36+00:00

Yanhong Liu さん情報をいただきありがとうございます。

確認しましたが、同じ名前のローカルユーザーは存在しませんでした。

ユーザーは「Administrator」という名前のローカルユーザーとドメインユーザーの2つのみで、他の端末でも同様の運用をしています。

Ikeda_756 0 評価のポイント

2024-09-04T08:52:23.2733333+00:00

Nakamura Fumiaki さん

１）Active Directory は Windows Server ですか。Samba や NAS などの互換ADですか。

　→Windows Serverを使用しています。

２）クライアントのログオンにPINや指紋認証などの Windows Hello は使ってますか。

　→使用していません。パスワード認証のみです。

３）ログオンしたあとロックさせて、その間にオフラインになってもロック解除できますか。

　→できません。こちらに記載している確認ではすべて「ロック→パスワード入力」になります。

Deleted

このコメントは当社の行動規範に違反したため削除されました。アクションを実行する前にこのコメントを手動で報告したか、自動検出機能により特定しました。詳細については、当社の行動規範を参照してください。

Nakamura Fumiaki 0 評価のポイント

2024-09-04T23:38:27.0666667+00:00

追加で確認させてください。

４）DNSマネージャーで該当のクライアントのタイムスタンプは更新されていますでしょうか。

５）ログオンキャッシュのレジストリを確認されているようですが、そのキーは意図的にアクセス許可を変えないと管理者でも見れないはずですが、元に戻してみたらどうでしょうか。

Nakamura Fumiaki 0 評価のポイント

2024-09-05T00:22:03.5233333+00:00

追加で確認させてください。

４）DNSマネージャーで該当クライアントのタイムスタンプは更新されていますでしょうか。

５）ログオンキャッシュのレジストリを確認されていますが、このキーはアクセス許可を変更しないと管理者でも見えないので変更してると思いますが、元に戻してみたらどうでしょうか。

Nakamura Fumiaki 0 評価のポイント

2024-09-05T00:24:56.2666667+00:00

ポストされてないと思って同じ内容を二度送ってしまいました。すみません。

Ikeda_756 0 評価のポイント

2024-09-05T01:44:36.0333333+00:00

Nakamura Fumiaki さん

４）DNSマネージャーで該当のクライアントのタイムスタンプは更新されていますでしょうか。

　→更新日は8/30となっていました。本事象がこの日付以降に発生したかは未確認です。

　→(9/6追記)本日確認したところ、タイムスタンプが9/6に更新されていました。ただ、確認後も事象は再現しました。

５）ログオンキャッシュのレジストリを確認されているようですが、そのキーは意図的にアクセス許可を変えないと管理者でも見れないはずですが、元に戻してみたらどうでしょうか。

　→該当項目のアクセス許可で、読み取りの許可を選択しました。確認後は選択を外しました。選択の前後で事象に変化はありませんでした。
サインインしてコメントする

コメントを使用して、説明、追加情報、または質問の改善を求めます。
チャブーン 1,376 評価のポイント MVP

2024-09-12T02:51:51.3566667+00:00
チャブーンです。

返信が遅れました。

ご提示いただいたパスワードの変更を行いましたが解消されませんでした。

こちらですが、問題が起こっているクライアントPC上で変更していただく必要があるのですが、実際にそうされていますか？

パスワードハッシュのRC4ベースとAES256ベースの違いとありましたが、こちらは同じパスワードを長期間変更しない場合を想定していますでしょうか。

そうですね。旧来のバージョンから引き継いだActive Directoryの場合、ドメインユーザーのパスワードはRC4ハッシュで保存されています。パスワードを変更した場合、これがAES256ベースに変更され、その内容がローカルPCの資格情報キャッシュにも反映されることを想定していました。

同じユーザーでほかのクライアントPCで問題が起こるかを改めて確認いただき、特定のPCだけで問題が起こる、という場合、そのPC上固有の問題だと思いますので、以下の対応を検討するといいかと思います。

ユーザープロファイルの削除
ここで期待しているのはプロファイルデータの削除ではなく、プロファイルと紐づいているはずの該当ユーザーの資格情報キャッシュの削除です。プロファイルフォルダーをエクスプローラーで削除するのはNGで、別の手順がありますので、試してみてください。https://aprico-media.com/posts/3294

資格情報キャッシュレジストリの直接削除
最終手段として、以下のように「手動でレジストリ情報を削除(リセット)」という方法もあるにはあります。がこのような方法はかなり危険なため、以下の内容をよく読んで、ご自身の自己責任で実行してください。https://jwgoerlich.com/viewing-cached-credentials-and-clearing-cached-credentials-in-windows-10/ (リンクは外してありますので、ご自身の責任でアクセスをお願いします)

現実解としては、ユーザープロファイルの削除でうまくいかなかった段階でのPC初期化(インストール直後の状態にする)が、適切なように思えます。
サインインしてこの回答を評価してください。
Ikeda_756 0 評価のポイント

2024-09-12T08:55:54.18+00:00

チャブーンさん

ご回答ありがとうございます。

ご提示いただいたパスワードの変更を行いましたが解消されませんでした。

こちらですが、問題が起こっているクライアントPC上で変更していただく必要があるのですが、実際にそうされていますか？

はい、問題が起こっているクライアントPCでパスワード変更を実施しました。

「Active Directoryネットワーク接続状態でパスワード変更→再度ロックし切断状態で変更後パスワード入力」の順に実施して事象再現しました。

コマンドプロンプトで「>net user /domain 【対象のドメインユーザ】」で確認し、Active Directory上の最終パスワード変更日時が更新されたことも確認しています。

パスワードハッシュのRC4ベースとAES256ベースの違いとありましたが、こちらは同じパスワードを長期間変更しない場合を想定していますでしょうか。

そうですね。旧来のバージョンから引き継いだActive Directoryの場合、ドメインユーザーのパスワードはRC4ハッシュで保存されています。パスワードを変更した場合、これがAES256ベースに変更され、その内容がローカルPCの資格情報キャッシュにも反映されることを想定していました。

承知しました。

同じユーザーでほかのクライアントPCで問題が起こるかを改めて確認いただき、特定のPCだけで問題が起こる、という場合、そのPC上固有の問題だと思いますので、以下の対応を検討するといいかと思います。

承知しました、事象発生ユーザを別PCでプロファイル作成して事象再現するか確認してみます。

ユーザープロファイルの削除

ご提示いただいたページの手順は「プロファイルフォルダーをエクスプローラーで削除する」の手順になりますでしょうか？

提示いただいた手順の「通常の方法でユーザープロファイルを削除する」だとユーザのローカルファイル含めプロファイル全てが消えてしまうように思います。

資格情報キャッシュレジストリの直接削除

こちらですが、直接削除ではなくグループポリシーの「対話型ログオン: キャッシュする以前のログオンの数」を0に変更したことがあります。

その際にキャッシュ（NL$x）の項目が無くなったこと、その後にまた10に変更したところバイナリが全て0のキャッシュの項目があることを確認しています。

(Yanhong Liuさんの回答のコメントに詳細を記載しています)

現実解としては、ユーザープロファイルの削除でうまくいかなかった段階でのPC初期化(インストール直後の状態にする)が、適切なように思えます

承知しました、上記の内容を確認後も解消しないようであれば初期化を試します。

以上、よろしくお願いします。
サインインしてコメントする

コメントを使用して、説明、追加情報、または質問の改善を求めます。

次の方法で共有

ドメインユーザ情報のキャッシュを使ってログインができない

3 件の回答

お客様の回答