Windowsで認証が失敗し、ログインできない、ネットワークリソースにアクセスできないといった問題に直面すると、業務に大きな支障が出ます。原因が特定できないままでは、解決策を見つけるのは困難です。この記事では、Windows 11およびWindows 10で認証失敗の詳細な記録を取得し、根本的な原因を特定するための具体的な手順を解説します。
この手順を実行することで、なぜ認証が失敗するのか、その具体的な理由をログから読み解き、適切な対処法を講じることが可能になります。
【要点】Windows認証失敗の原因特定を助ける詳細ログ設定
- レジストリのバックアップ: 認証失敗ログの詳細化設定前にシステムを保護します。
- 監査ポリシーの変更: 認証失敗イベントの詳細記録を有効にします。
- レジストリの設定変更: より詳細なログオンイベント情報の記録を許可します。
- イベントビューアーでの確認: 記録された詳細な認証失敗イベントを分析し、原因を特定します。
ADVERTISEMENT
目次
Windows認証失敗の原因特定が難しい理由
通常のWindowsイベントログでは、認証失敗の原因が特定しにくい場合があります。例えば、アカウントロックアウトやネットワーク認証の問題など、表面的なエラーだけでは根本原因が見えてきません。一般的なログオンイベントでは、「ログオンの種類」や「失敗理由」が簡潔に示されるだけのため、詳細な状況把握が難しいのです。
詳細なログを記録することで、どのユーザーが、どのサービスに対して、どのタイミングで認証に失敗したのか、具体的なエラーコードと共に把握できます。これにより、パスワード入力ミス、ドメインコントローラーとの通信問題、不正アクセス試行など、さまざまな可能性の中から真の原因を絞り込むことが可能になります。特にビジネス環境では、認証失敗はセキュリティインシデントにつながる可能性もあるため、迅速な原因特定が重要です。
Windows認証失敗の詳細記録を有効にする手順
ここでは、Windowsの認証失敗に関する詳細なログを記録するための設定手順を解説します。レジストリの編集が含まれるため、必ず事前にバックアップを取得してください。
1. レジストリのバックアップ
レジストリの編集はシステムに深刻な影響を与える可能性があります。万が一に備え、以下の手順でレジストリ全体のバックアップを取得してください。
- レジストリエディターを開く
WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。「regedit」と入力し、Enterキーを押します。ユーザーアカウント制御のプロンプトが表示されたら、「はい」を選択します。 - レジストリ全体を選択する
レジストリエディターの左ペインで、「コンピューター」を右クリックして選択します。 - レジストリをエクスポートする
「ファイル」メニューから「エクスポート」を選択します。 - 保存先とファイル名を指定する
任意の保存場所を選択し、ファイル名に「registry_backup_日付」など分かりやすい名前を入力します。エクスポート範囲が「すべて」になっていることを確認し、「保存」ボタンをクリックします。
2. 監査ポリシーを設定する
Windowsのローカルセキュリティポリシーを変更し、ログオンイベントの失敗を詳細に記録するように設定します。この手順はWindows 11とWindows 10で共通です。
- ローカルセキュリティポリシーエディターを開く
Windowsキーを押し、「secpol.msc」と入力してEnterキーを押します。 - 監査ポリシーの場所へ移動する
左ペインで「セキュリティの設定」を展開し、「ローカルポリシー」を展開します。さらに「監査ポリシー」を選択します。 - 「監査ログオンイベント」を開く
右ペインで「監査ログオンイベント」をダブルクリックします。 - 失敗の監査を有効にする
プロパティダイアログで「失敗」チェックボックスをオンにします。「適用」ボタンをクリックし、「OK」ボタンをクリックしてダイアログを閉じます。 - 「監査アカウントログオンイベント」を開く
同様に、右ペインで「監査アカウントログオンイベント」をダブルクリックします。 - 失敗の監査を有効にする
プロパティダイアログで「失敗」チェックボックスをオンにします。「適用」ボタンをクリックし、「OK」ボタンをクリックしてダイアログを閉じます。 - ローカルセキュリティポリシーエディターを閉じる
設定が適用されたことを確認し、エディターを閉じます。
3. レジストリを設定する
より詳細なログオンイベント情報を記録するために、レジストリに特定のキーを追加または変更します。この設定は、認証失敗の詳細な理由をイベントビューアーで確認するために重要です。この手順もWindows 11とWindows 10で共通です。
- レジストリエディターを開く
WindowsキーとRキーを同時に押し、「regedit」と入力してEnterキーを押します。 - 対象のパスへ移動する
レジストリエディターのアドレスバーに以下のパスをコピーして貼り付け、Enterキーを押します。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Security - 新しいDWORD値を作成する
右ペインの空白部分を右クリックし、「新規」から「DWORD 32ビット値」を選択します。 - 値の名前を変更する
作成された新しい値の名前を「EnableDetailedLogonEvents」に変更します。 - 値のデータを設定する
「EnableDetailedLogonEvents」をダブルクリックします。「値のデータ」を「0」から「1」に変更します。 - レジストリエディターを閉じる
「OK」ボタンをクリックして設定を保存し、レジストリエディターを閉じます。 - Windowsを再起動する
設定をシステムに反映させるため、Windowsを再起動します。
4. イベントビューアーでログを確認する
設定変更と再起動後、認証失敗を意図的に発生させて、イベントビューアーで詳細なログが記録されているか確認します。
- イベントビューアーを開く
Windowsキーを押し、「イベントビューアー」と入力してEnterキーを押します。 - セキュリティログにアクセスする
左ペインで「Windowsログ」を展開し、「セキュリティ」を選択します。 - 認証失敗イベントをフィルタリングする
右ペインの「現在のログをフィルター」をクリックします。「イベントID」の入力欄に「4625」と入力し、「OK」ボタンをクリックします。これはログオン失敗イベントの標準的なIDです。 - 詳細情報を確認する
フィルターされたイベントの中から、認証失敗が発生した時刻のイベントをダブルクリックして開きます。「全般」タブや「詳細」タブで、失敗理由、サブステータスコード、アカウント名、ソースネットワークアドレスなどの詳細情報を確認します。特に「失敗理由」や「サブステータスコード」は、問題の特定に役立つ情報を含んでいます。 - ログから原因を読み解く
例えば、サブステータスコード「0xC000006A」はユーザー名またはパスワードが正しくないことを示し、「0xC0000234」はアカウントがロックアウトされていることを示します。これらの情報と「ログオンプロセス」や「認証パッケージ」を組み合わせることで、どの認証方式で、なぜ失敗したのかを具体的に把握できます。
認証詳細ログ設定時の注意点とトラブル対処
詳細な認証ログは原因特定に役立ちますが、いくつかの注意点や対処法があります。
ログの記録量が多すぎる場合
詳細ログを有効にすると、多くの情報が記録され、イベントログのサイズが肥大化する可能性があります。これにより、ディスク容量を消費したり、イベントビューアーの動作が遅くなったりする場合があります。
対処法: イベントログの最大サイズを調整するか、古いイベントを上書きする設定を検討してください。イベントビューアーの「セキュリティ」ログを右クリックし、「プロパティ」を選択します。「ログのサイズ」セクションで最大ログサイズを調整したり、「イベントログがいっぱいになったとき」の動作を変更したりできます。問題解決後は、詳細ログを無効に戻すことを推奨します。
イベントビューアーで認証失敗イベントが見つからない場合
設定を完了しても、イベントビューアーで認証失敗イベントが確認できない場合があります。これは、監査ポリシーが正しく設定されていないか、認証失敗自体が発生していない可能性があります。
対処法: まず、上記の手順2「監査ポリシーを設定する」と手順3「レジストリを設定する」の設定が正しく行われているか再確認してください。特にレジストリの値が「1」になっているか、再起動が完了しているかを確認します。その後、意図的にパスワードを間違えて認証失敗を発生させ、ログが記録されるか確認してください。もしドメイン環境であれば、ドメインコントローラー側の監査ポリシーも確認する必要があります。
レジストリ編集後にシステムが不安定になった場合
レジストリの編集は慎重に行う必要があります。誤ったレジストリキーを編集したり、不適切な値を設定したりすると、システムが不安定になる可能性があります。
対処法: 事前に取得したレジストリバックアップをインポートして元に戻すことができます。レジストリエディターを開き、「ファイル」メニューから「インポート」を選択し、保存しておいたバックアップファイルを選択します。インポート後、Windowsを再起動してください。もしレジストリのインポートでも解決しない場合は、システムの復元ポイントを利用するか、専門家への相談を検討してください。
ADVERTISEMENT
Windows 11とWindows 10のログオンイベントの違い
| 項目 | Windows 11 | Windows 10 |
|---|---|---|
| 監査ポリシー設定 | ローカルセキュリティポリシーエディターでの手順は共通 | ローカルセキュリティポリシーエディターでの手順は共通 |
| レジストリ設定 | EnableDetailedLogonEventsキーの追加/変更は共通 | EnableDetailedLogonEventsキーの追加/変更は共通 |
| イベントID | ログオン失敗を示すイベントID 4625は共通 | ログオン失敗を示すイベントID 4625は共通 |
| ログの詳細度 | 本記事の設定により、より詳細な情報が記録される | 本記事の設定により、より詳細な情報が記録される |
| イベントビューアー | インターフェースや機能はほぼ共通 | インターフェースや機能はほぼ共通 |
Windows 11とWindows 10では、認証失敗の詳細ログ記録に関する基本的な設定方法やイベントIDに大きな違いはありません。本記事で解説した手順は、両方のOSで同様に適用できます。ただし、OSのバージョンや適用されている更新プログラムによっては、表示されるメッセージや一部のUI要素がわずかに異なる場合があります。
まとめ
この記事では、Windows 11およびWindows 10で認証失敗の詳細な記録を有効にし、イベントビューアーで原因を特定する手順を解説しました。詳細なログを分析することで、従来のイベントログでは把握できなかった具体的な失敗理由やエラーコードを特定できます。これにより、アカウントのロックアウト、パスワードの誤り、ネットワークの問題など、認証失敗の根本原因を明確に把握することが可能になります。
取得したログ情報を基に、対象アカウントのパスワードリセット、ネットワーク接続の確認、またはドメインコントローラーとの同期状況の確認など、具体的な次のアクションを講じてください。また、原因特定後には、不要なログの記録を防ぐため、詳細ログの設定を元に戻すことも検討しましょう。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】画面がチカチカ・点滅する!グラフィックドライバの更新と設定の見直し
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Windows】デスクトップアイコンの「緑のチェック」は何?OneDriveの同期マークを非表示にする方法
- Windows 11を極限まで軽量化する「不要な標準サービス」停止リスト|PCの動作を爆速化する設定手順とリスク管理の全貌
- 【Windows】イヤホンを挿してもスピーカーから音が出る!ジャックを認識しない時のRealtek設定と直し方