エラー大全集

様々なツールのエラーを解説しています。

secd.lsa.noServersエラー:Windows Server 2025移行後のSMB3暗号化で発生する問題と実践的対処法

 

secd.lsa.noServersエラー:Windows Server 2025移行後のSMB3暗号化で発生する問題と実践的対処法

Windows Server 2025へ移行した環境で、SMB3の暗号化を有効にした際にNetAppのONTAP上で「secd.lsa.noServers」や「NT_STATUS_NOT_SUPPORTED」などのエラーが発生し、SVM(Vserver)の作成やActive Directory(AD)マシンアカウント作成が失敗する事例が報告されています。本稿では現象の整理、原因の候補、現場で使える診断手順と具体的な対処法、再発防止のための運用ポイントまでを網羅的に解説します。実務で再現した場合にすぐ使える確認項目と優先順位を示すため、読み進めるだけで対応の全体像が掴める構成としています。

概要と現象の整理

Windows Server 2025に移行後、ONTAP(CIFS)でSVM作成やADマシンアカウント作成中に次のようなエラーメッセージが発生します。LSA(Local Security Authority)サーバへ接続できないことを示す secd.lsa.noServers: None of the LSA servers configured for Vserver (<vserver_name>) are currently accessible via the network. や、SMBネゴシエートで NT_STATUS_NOT_SUPPORTED が返ってくるケースが典型です。結果として「Machine account creation procedure failed」「Unable to connect to LSA service on <dc-fqdn>」などのジョブ失敗が記録されます。

考えられる主因

主要な原因は大きく分けてネットワーク層の到達性問題、SMBネゴシエーションの不整合、認証プロトコル(LSA/SMB/NTLM/Kerberos)の互換性、そして環境固有の重複IPやDNS設定ミスの4つです。具体的には以下のようなパターンが頻出します。

  1. ドメインコントローラ(DC)へのTCP/445やKerberos用ポートが遮断されている、あるいはネットワークセグメント間でルーティングできない。

  2. Windows Server 2025側のSMB3暗号化設定やプロトコル実装が、ONTAPの期待するSMBネゴシエーションに対応しておらずNegotiate段階で失敗する。

  3. DCのLSAサービスへ名前解決(DNS)や逆引きが正常に行えず、LSA接続要求が誤ったIPへ向く。重複IPが存在するケースも報告されています。

  4. 時刻同期がずれている、SPN(Service Principal Name)が不正、既存のマシンアカウントに問題があり新規作成が拒否される。

事象切り分けの優先順と実行手順

まずは到達性確認、次にプロトコル互換性、最後に認証周りの深掘り、という順序で進めます。短時間で効果が得られる観点順にまとめます。

1) ネットワーク到達性の確認

対象ONTAPからDC(FQDNおよびIP)へTCP 445、88、389等が通るかを確認する。結果として「到達不可」ならルータやファイアウォール設定を見直す。

2) DNS/逆引きと重複IPのチェック

DCの名前解決が正しく機能しているか、ONTAPが参照するDNSサーバ設定に誤りがないかを確認する。重複IPが疑われる場合はARPやネットワークスキャンで確認する。

3) SMBネゴシエーションの確認

Negotiate応答で NT_STATUS_NOT_SUPPORTED が返る場合、SMBダイヤレクトや暗号化ポリシーの不整合が疑われる。SMB暗号化の強制設定やプロトコルバージョンの優先順位を見直す。

4) LSA接続と認証の検証

LSAサービスへの接続ログ、ADログ(イベントID)を確認し、マシンアカウント作成がどの段階で失敗するかを特定する。Kerberosチケット取得や時刻同期も合わせて確認する。

簡易チェック表(診断の優先度と期待結果)

チェック項目 期待される状態 対応の方向性
DCへのTCP 445/88通達性 接続成功 ネットワーク機器・ACLを修正
DNS正引/逆引 正しいFQDNとIPが返る DNS登録修正、TTL確認
重複IPの有無 重複なし 重複があればIPを解放/再割当
SMBネゴシエーション結果 Negotiate成功、適切なダイヤレクト サーバ/クライアントのSMB設定整合
ADイベントログ エラーなし(マシン作成成功) マシンアカウントの手動作成で切り分け
時刻同期 5分以内のズレ NTP設定の見直し
 

具体的な対処例(現場で効果の高い順)

まずは短時間で試せる対処から。多くの事例でネットワーク到達性や重複IPの解消が即効性を示します。

  1. ONTAPからDCへ疎通確認を行い、到達しない場合はルート/ACL/ファイアウォールを修正する。複数DCがある場合は別DCへ向けてテストを行い、どのDCに問題があるかを切り分ける。

  2. DNSが原因の場合、ONTAPのDNS設定を修正して正しいDCを参照させる。必要ならDNSキャッシュをクリアして再試行する。

  3. 重複IPが見つかった場合、重複しているホストのIPを変更またはネットワークアドミンと調整し、ONTAPからのLSA到達経路を確保する。

  4. SMB暗号化の互換性問題が疑われる場合、テスト目的で一時的にSMB暗号化の強制を緩和してネゴシエーションが成功するか確認する。その結果に応じてONTAP側かWindows側のSMBポリシー(暗号化アルゴリズム、ダイヤレクト優先度)を調整する。

  5. AD側の問題(既存マシンアカウント衝突、権限不足等)が疑われるときは、対象のマシンアカウントを手動で作成・リセットし、ONTAPでの接続を再試行する。権限やOUポリシーによる制約も確認する。

  6. 時刻同期のズレがある場合、NTPの設定を統一し、Kerberosチケット取得の失敗を回避する。

ONTAP特有の注意点

ONTAPはCIFS/SMB設定でLSAの接続先(DC一覧)を管理しており、SVM作成時に指定したDCがネットワーク的に不達だと secd.lsa.noServers が発生します。複数のDCを指定できる場合は冗長性を確保すること、またONTAPのOSバージョンとWindows Server 2025間の既知の互換性情報は公式KBやリリースノートで確認することが望ましい(環境に依存したパッチ適用が必要なケースがあるため)。

再発防止策と運用上の設計

運用面では以下のポイントを実装してください。これらを準備することで移行時やOSバージョンアップ時の類似障害を軽減できます。まずはDC冗長、DNSの監視、SMB暗号化ポリシーの標準化、そして監視アラートの整備です。ONTAPとWindowsの両方でSMBの互換性テストを事前に実施し、本番環境で暗号化ポリシーを段階的に有効化して検証フェーズを設けることを推奨します。

現場でのチェックリスト(運用手順として)

障害が発生したときに実行すべき順序は冒頭の優先度に従ってください。特にAD連携失敗はサービス影響が大きいため、ネットワーク到達性の確認、DNS解決、重複IPの排除、SMBネゴシエーションの確認、AD側のマシンアカウント状態確認、時刻同期の順で短時間に切り分けを実行します。ログはONTAPとWindows双方を同時に取得して照合することで根本原因発見が早まります。

結論

Windows Server 2025への移行環境でSMB3暗号化を利用する際に発生する secd.lsa.noServersNT_STATUS_NOT_SUPPORTED は、多くがネットワーク到達性、DNS/重複IP、SMBネゴシエーションの不整合、あるいはAD側の認証・マシンアカウント問題に起因します。まずはONTAPからDCへ向けた基本的な疎通確認とDNSの整合性確認を行い、次にSMBの暗号化設定やダイヤレクト優先度を切り分けることが最短での解決に繋がります。運用的には事前の互換性検証、DC冗長の確保、監視体制の整備が再発防止に有効です。