SEブログ

【Active Directory】GPOのエラー(0x80070035)解消方法

 

こんにちは!SE ブログの相馬です。

 

 

 

今回は、GPO の設定でエラーが発生しまして、解消方法を見つけましたので情報を共有します。

 

 

なお、環境は Windows Server 2016 を使っています。

 

 

 

スポンサーリンク

事象

 

 

事象としましては、グループポリシー管理エディタを起動し、以下のように設定を見ているうちにエラーが発生しました。

 

 

エラー内容は、「ファイルの解析中にエラー (0x80070035) が発生しました。ネットワークパスが見つかりません」という内容です。

 

 

 

 

スポンサーリンク

解消方法

 

 

サーバーのローカルセキュリティポリシーを変更する事で解消されます。

 

 

ただし、変更するのは環境に影響が無い上を確認した上で変更される事をおすすめ致します。AD に通信するシステムや機器などがどの LAN Manager の認証レベルをサポートしているのかを確認すれば良いでしょう。

 

 

Active Directory (AD)ドメインの場合、Kerberos プロトコルが既定の認証プロトコルです。

 

 

設定的に望ましいのは [NTLMv2 のみ送信する (LM と NTM を拒否する)] に設定する事です。但し、古いネットワーク機器、例えば NAS などやソフトウェアが原因でこの設定が適用できない場合があります。つまり何らかの理由で Kerberos プロトコルがネゴシエートされない時は、LM、NTLM、または NTLM バージョン 2 (NTLMv2) を使用します。

 

 

 

LAN Manager は何か

 

 

LAN Manager (LM) はもともと IBM と Microsoft が共同で開発したネットワーク OS と呼ばれるものです。

 

 

Server Message Block (SMB) プロトコルや TCP/IP をサポートしており、LAN 内でとても安定した通信をする事ができます。1990 年代までよく使われていたようですが、認証モードにおいてセキュリティーの脆弱性が見つかりあまり使用されなくなりました。

 

 

そこで Microsoft は NTLM に置き換えることでセキュリティーの問題を解決しようとしましたが、脆弱性があり結果的には Kerberos 認証プロトコルをサポートするようになりました。とはいえ、古いシステムでは依然として LM や NTLM が使われています。

 

 

 

スポンサーリンク

解消方法

 

 

1. スタートメニューを開き、[ローカルセキュリティポリシー] をクリックします。

 

 

 

2. [セキュリティの設定] – [ローカルポリシー] – [セキュリティオプション] をクリックし、右ペインにある [ネットワークセキュリティ: LAN Manager 認証レベル] の設定を開きます。

 

 

 

3. LAN Manager 認証レベルを変更します。ここでは LM と NTLM を送信する(ネゴシエートした場合NTLMv2セッションセキュリティを使う) を選択します。[OK] をクリックして設定を適用します。

 

 

 

 

以上となります。

 

 

 

スポンサーリンク

まとめ

 

 

いかがでしょうか。GPO の設定を見るとエラーが出る為に LAN Manager の認証レベルを下げるのはどうかと思いますが、一応解消方法とそもそも LAN Manager とは何かをご理解頂けたかと思います。

 

 

それでは最後までお読みいただきありがとうございました!