データ回復力におけるNo.1 グローバルリーダー
データ回復力におけるNo.1 グローバルリーダー
CrowdStrikeのコンテンツ更新によって影響を受けるお客様向けのVeeamのガイダンス
続きを読む
BACK TO KB LIST

DCOMハードニングを有効にすると、Hyper-VまたはVeeam Backup and Replicationコンポーネントへのアクセスが失敗する

KB ID: 4376
Product: Veeam Backup & Replication
Veeam ONE
Veeam Agent for Microsoft Windows
Veeam Management Pack for Microsoft System Center
Veeam Recovery Orchestrator
Published: 2022-11-04
Last Modified: 2025-03-07
Languages: EN
mailbox
Get weekly article updates
登録することで、Veeamのプライバシー通知に従って当社が個人情報を管理することに同意したものと見なされます。
このサイトはhCaptchaによって保護されており、そのプライバシーポリシー利用規約が適用されます(Veeamのプライバシーポリシーに記載されている場合を除く)。

Cheers for trusting us with the spot in your mailbox!

Now you’re less likely to miss what’s been brewing in our knowledge base with this weekly digest

error icon

問題が発生しました。

時間をおいて、再度お試しください

記事の適用範囲

この記事で議論されている問題は、Veeamのエラーのみに基づいて特定されるのではなく、WindowsイベントID# 10036との関連によって特定されるものです。このイベントでは次のようなメッセージが表示されます。

The server-side authentication level policy does not allow the user from address <IP> to activate DCOM server.
Please raise the activation authentication level at least to RPC_AUTHN_LEVEL_PKT_INTEGRITY in client application.

この記事で言及されているVeeam製品のエラーは他の理由で発生する可能性もあります。しかし、WindowsイベントID# 10036と同時に発生する場合、根本原因はDCOMハードニングによるものです。

問題の内容

2022年6月14日以降、Hyper-V、Veeam Backup & Replication、およびその他のWindowsベースのサーバーへのDCOM接続は、Microsoft CVE-2021-26414セキュリティ更新プログラムのインストールすることで有効化されるDCOMハードニングポリシーの影響を受ける可能性があります。

以下は、この影響を受けるVeeam製品で表示される可能性のあるエラーの例です:

このエラー例のリストはすべてを網羅しているわけではありません。WindowsイベントID 10036を確認することが重要です。

  • Veeam Backup & Replication - Hyper-Vインフラにおける操作は次のエラーで失敗する可能性があります:
    Failed to call RPC function 'HviCreateVmRecoverySnapshot'

    Failed to connect to cluster <clustername>
Failed to create Hyper-V Cluster Wmi utils: Access denied or timeout expired.
Check if you have local administrator privileges on computer '<clustername>'.
Possible reason:
Specified host is not a cluster node.

    Failed to connect to host vmhost2
Access denied or timeout expired.
Check if you have local administrator privileges on computer '<hostname>'.
Possible reasons:
1. Invalid credentials.
2. Specified host is not a Hyper-V server.
HostError

注意:この記事で示されているエラーは他の要因で発生することもあります。

Windows イベントID #10036が同時に発生している場合にこの記事の内容を適用してください。
not a cluster

注意:この記事で示されているエラーは他の要因で発生することもあります。

Windows イベントID #10036が同時に発生している場合にこの記事の内容を適用してください。
  • Veeam Agent for Microsoft Windows - Hyper-Vインフラへの接続が次のエラーで失敗します:
    Failed to connect to cluster 'CLUSTERNAME.contoso.com'.
  • Veeam ONE - Hyper-VおよびVeeam Backup & Replicationインフラへの接続が次のエラーで失敗します:
    System.UnauthorizedAccessException:'Access denied. (Exception from HRESULT : 0x80070005 (E_ACCESSDENIED))'
  • Veeam Recovery Orchestrator - Veeam Backup & Replicationへの接続が次のエラーで失敗します:
    Failed to connect to the server. Specified user is invalid or does not have enough permissions on the server.

原因

この状況は、Microsoft Windows DCOM接続のハードニングが原因です。この新しいハードニングポリシーの展開に関するマイクロソフト社のスケジュールを以下に示します。
アップデートのリリース 動作の変更
2021年6月8日 ハードニングの変更がデフォルトで無効になるが、レジストリキーを使用して有効にできるようになる。
2022年6月14日 ハードニングの変更がデフォルトで有効になるが、レジストリキーを使用して無効にすることができる。
2023年3月14日 ハードニングの変更が有効になり、無効にすることはできません。これにより、環境内のハードニング変更とアプリケーションの互換性の問題を解決する必要があります。
スワイプで表をさらに表示
すべてのVeeam製品はこの変更に対応しており、Packet Integrity DCOM認証レベルを利用します。

しかし、基盤となるWindowsオペレーティングシステムに必要なセキュリティ更新プログラムがインストールされていない場合、DCOM接続にて異なる認証レベルが使用され、認証に失敗する可能性があります。たとえば、ある Windows マシンでは、更新プログラムがインストールされていないため、ハードニングの変更が無効になっているが、別の Windows マシンでは、更新プログラムがインストールされているため、DCOM のハードニングが有効になっている可能性があります。このような状況でDCOM認証の失敗が発生すると、イベント#10036が発生し、以下のメッセージが表示されます:

Please raise the activation authentication level at least to RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in client application

(クライアントアプリケーションでアクティベーション認証のレベルを少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYまで上げてください。)

Event 10036 Example
次のPowerShellコマンドを実行すると、システムイベントログ内にてイベントID# 10036が発生しているかどうかを素早くチェックすることができます: 
Get-WinEvent -FilterHashtable @{LogName='System'; ID=10036}

解決方法

すべてのVeeam製品は、このDCOMの変更に対応しており、Packet Integrity DCOM認証を使用します。それが有効に機能するためには、Windows OS側でアップデートが適用されていなければなりません。

これらの問題を解決するには、すべてのWindowsベースのサーバーにDCOM ハードニングアップデートがインストールされていることを確認してください。次の記事の一番下にあるリストを参照してください: KB5004442-Manage changes for Windows DCOM Server Security Feature Bypass (CVE-2021-26414)

このページに記載されている更新プログラムは、将来の更新プログラムに包含される可能性があります。詳細については、Windows DCOM Server Security Feature Bypass CVE-2021-26414を確認してください。

 

注意:

  • これらの更新プログラムはオプションとして表示され、Windows または WSUS システムによって無視されている可能性があります。このような場合は、更新プログラムを手動でインストールする必要があります。
  • この問題は古いWindowsオペレーティングシステムに影響する可能性がありますが、この問題を解決する更新プログラムはESUなしでは利用できない可能性があります。
  • Veeam Backup & Replicationが、最新バージョンのVeeam Backup & Replicationではサポートされなくなった古いオペレーティングシステム(Server 2008 R2など)上にデプロイされている環境については、こちらをご確認ください: KB1803: How to Upgrade Legacy Veeam Backup Server (古いVeeam Backup Serverをアップグレードする方法)
To submit feedback regarding this article, please click this link: Send Article Feedback
To report a typo on this page, highlight the typo with your mouse and press CTRL + Enter.

Spelling error in text

このサイトはhCaptchaによって保護されており、そのプライバシーポリシー利用規約が適用されます(Veeamのプライバシーポリシーに記載されている場合を除く)。
Thank you!

ありがとうございました。

フィードバックを受信しました。内容を確認させていただきます。

問題が発生しました。

時間をおいて、再度お試しください

You have selected too large block!

Please try select less.

KB Feedback/Suggestion

このフォームは、ナレッジベースに対するご意見専用となっております。ソフトウェアでお困りの場合は、サポートケースを作成してください。
送信することで、Veeamのプライバシー通知に従って当社が個人情報を管理することに同意したものと見なされます。
このサイトはhCaptchaによって保護されており、そのプライバシーポリシー利用規約が適用されます(Veeamのプライバシーポリシーに記載されている場合を除く)。
製品のダウンロードを続行するにはメールアドレスを確認します
次のメールアドレスに確認メールを送信しました:
  • 認証コードが間違っています。もう一度入力してください。
認証コードのメールを次のメールアドレスに送信しました:
コードを受信していない場合は、クリックして秒後に再送信してください。
コードを受信していない場合は、クリックして再送信してください。
Veeamの使用を開始:
製品のダウンロード
&
ライセンスキーの有効化
Thank you!

ありがとうございました。

フィードバックを受信しました。内容を確認させていただきます。

error icon

問題が発生しました。

時間をおいて、再度お試しください