Active Directory

【Active Directory】GPOのエラー(0x80070035)解消方法

こんにちは!SE ブログの相馬です。

 

 

 

今回は、GPO の設定でエラーが発生しまして、解消方法を見つけましたので情報を共有します。

 

 

なお、環境は Windows Server 2016 を使っています。

 

 

 

事象

 

 

事象としましては、グループポリシー管理エディタを起動し、以下のように設定を見ているうちにエラーが発生しました。

 

 

エラー内容は、「ファイルの解析中にエラー (0x80070035) が発生しました。ネットワークパスが見つかりません」という内容です。

 

 

 

 

解消方法

 

 

サーバーのローカルセキュリティポリシーを変更する事で解消されます。

 

 

ただし、変更するのは環境に影響が無い上を確認した上で変更される事をおすすめ致します。AD に通信するシステムや機器などがどの LAN Manager の認証レベルをサポートしているのかを確認すれば良いでしょう。

 

 

Active Directory (AD)ドメインの場合、Kerberos プロトコルが既定の認証プロトコルです。

 

 

設定的に望ましいのは [NTLMv2 のみ送信する (LM と NTM を拒否する)] に設定する事です。但し、古いネットワーク機器、例えば NAS などやソフトウェアが原因でこの設定が適用できない場合があります。つまり何らかの理由で Kerberos プロトコルがネゴシエートされない時は、LM、NTLM、または NTLM バージョン 2 (NTLMv2) を使用します。

 

 

 

LAN Manager は何か

 

 

LAN Manager (LM) はもともと IBM と Microsoft が共同で開発したネットワーク OS と呼ばれるものです。

 

 

Server Message Block (SMB) プロトコルや TCP/IP をサポートしており、LAN 内でとても安定した通信をする事ができます。1990 年代までよく使われていたようですが、認証モードにおいてセキュリティーの脆弱性が見つかりあまり使用されなくなりました。

 

 

そこで Microsoft は NTLM に置き換えることでセキュリティーの問題を解決しようとしましたが、脆弱性があり結果的には Kerberos 認証プロトコルをサポートするようになりました。とはいえ、古いシステムでは依然として LM や NTLM が使われています。

 

 

 

解消方法

 

 

1. スタートメニューを開き、[ローカルセキュリティポリシー] をクリックします。

 

 

 

2. [セキュリティの設定] - [ローカルポリシー] - [セキュリティオプション] をクリックし、右ペインにある [ネットワークセキュリティ: LAN Manager 認証レベル] の設定を開きます。

 

 

 

3. LAN Manager 認証レベルを変更します。ここでは LM と NTLM を送信する(ネゴシエートした場合NTLMv2セッションセキュリティを使う) を選択します。[OK] をクリックして設定を適用します。

 

 

 

 

以上となります。

 

 

 

まとめ

 

 

いかがでしょうか。GPO の設定を見るとエラーが出る為に LAN Manager の認証レベルを下げるのはどうかと思いますが、一応解消方法とそもそも LAN Manager とは何かをご理解頂けたかと思います。

 

 

それでは最後までお読みいただきありがとうございました!

 

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りな性格です。

人気記事

1

こんにちは!そーまんです。 今回は、PC に適用されている GPO を確認する方法について書きました。 本題に入る前に、一応参考までにGPOの適用タイミングについての記事をここに貼りましたので、必要に ...

2

こんにちは!そーまんです。 今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは前置きからです。 まずはじめに 組織では PC のラ ...

3

こんにちは!そーまんです。 今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました ...

4

こんにちは!そーまんです。 今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 Windows 10 の検証環境をいじってたらサイン ...

5

こんにちは!そーまんです。 今回は、ユーザープロファイルを削除する方法について書いてみました。 企業の場合よくあることですが、1 台の PC を共有 PC として複数人で使ったり、また余り無いかもしれ ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!そーまんです。 今回は、Windows Server 2019 で NTP サーバーと同期する方法について書きました。 NTP サーバーの必要性や時刻同期の重要性を理解することは社内のシス ...

-Active Directory
-,