windowsイベントログ「SAM データベースへのリモート呼び出しが拒否されています」について

#事象
windowsイベントログ(ID:16969)で出力される「%2 過去 %1 秒の調整期間内に SAM データベースへのリモート呼び出しが拒否されています。("%1 - "調整期間:"%2 - "抑制されたメッセージ数:")」に関して質問です。

・このメッセージはアクセス権のないファイルへのアクセスに失敗した回数が既定の回数を超えた際に出力されるイベントメッセージであっていますでしょうか？
・また、アクセス拒否がされているため、アクセス権のないユーザによるファイルへのアクセスはされていないということであっていますでしょうか。

##参考にしたサイト
・https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-access-restrict-clients-allowed-to-make-remote-sam-calls

行動規範の内容に同意します

回答2件

このエラーは、ファイルへのアクセス許可を検査する前の状態で発生しているエラーですね。
ネットワーク経由で外部のWindowsホストへアクセスするログイン動作時点でのエラーになります。
SAMはSecurity Account Managerの略で、ユーザーのパスワードを管理している仕組みです。
ここへのアクセスが失敗している別のエラーが大量に発生してると思います。
そちらのエラーから原因を調査してみてはいかがでしょうか？

投稿2020/06/24 07:00

Takeda_Kazuhito

総合スコア379

montai21

2020/07/02 13:05

SAMへのアクセスルートとはどういった経路でしょうか？サーバへアクセス→SAMにアクセス→ユーザ認証というながれでしょうか？また、このメッセージは深刻なものでしょうか？

Takeda_Kazuhito

2020/07/03 04:58

サーバーアクセス→ユーザー認証(SAMアクセス)→ACLチェック…という感じでしょうか。このエラー発生において深刻な状況(サービスダウンなど)に陥るかは、エラーに関わるホストの実装によるためコメントは出来ません。ただ一つ言える事は、このエラーは正しく設計および実装されたインフラでは発生しないものです。その為、このエラーが発生させないためにも原因を調査する事をお勧めします。

montai21

2020/07/03 12:58

インフラというのはサーバの設定に該当しますでしょうか？ポリシー、レジストリー、FW、ユーザ、グループ構成、アクセス制御等の設定に問題があるかもしれないのでしょうか？また、このエラーが発生しているサーバにファイル共有をする処理をしているプログラムがあるのですが、そのプログラムが関係しているとかは可能性としてありますでしょうか？

Takeda_Kazuhito

2020/07/06 07:34

> ポリシー、レジストリー、FW、ユーザ、グループ構成、アクセス制御等の設定に > 問題があるかもしれないのでしょうか？もちろんです。単一の原因かもしれませんし、上記の内の複数の要因が重なって発生している可能性もあります。その為、アクセスする側、アクセスされる側の双方の設定を確認してください。詳しく知りたい場合は、SMB(Server Message Block)プロトコルを調べてみてください。 > また、このエラーが発生しているサーバにファイル共有をする処理をしているプログラムが > あるのですが、そのプログラムが関係しているとかは可能性としてありますでしょうか？ネットワークを経由したアクセス由来なので、プログラムも原因候補になり得ます。エラー発生日時を時系列に並べ、該当のプログラムが稼働している期間を重ねる事で白黒はっきりするのではないでしょうか？ (もちろん原因調査における初歩的な調査手法なので実施済みだとは思いますが…)

montai21

2020/07/08 12:17

わかりました。ご回答ありがとうございます。調査してみます。また、何かあれば、ここに質問を追記すると思いますので、そのときはまたご回答していただけますと幸いです。

行動規範の内容に同意します