セキュア チャンネルが機能しないと NetLogon サービスが失敗する

文書翻訳 文書翻訳
文書番号: 150518 - 対象製品
この記事は、以前は次の ID で公開されていました: JP150518
すべて展開する | すべて折りたたむ

現象

バックアップ ドメイン コントローラ (BDC) で、NetLogon エラー 3210 または 5721 が発生し、NetLogon サービスが起動に失敗します。このとき、プライマリ ドメイン コントローラ (PDC) のシステム イベント ログには NetLogon サービスによってエラー 5722 が記録されます。または、同時に、BDC では NetLogon サービスを開始できなかったため、サービス コントロール マネージャによってエラー 7023 が記録されます。

各 BDC には、PDC との専用の通信チャンネル (セキュア チャンネル) があります。BDC および PDC の NetLogon サービスは、このセキュア チャンネルを通信のために使用します。

以下に説明する手順に従うと、サーバー マネージャで多くの操作を実行する代わりに、1 行のコマンド ラインで BDC のセキュア チャンネルをリセットすることができます。この方法では、Windows NT 4.0 リソース キット サプリメント 2 で提供される NETDOM ユーティリティが必要です。

原因

この資料では、次のような構成を想定しています。

   ドメイン = DOMAIN
   PDC     = DOMAINPDC
   BDC     = DOMAINBDC
				


BDC がドメインに参加する場合、コンピュータ アカウントが作成されます (コンピュータ アカウントはサーバー マネージャで確認できます)。コンピュータ アカウントにはデフォルトのパスワードが与えられ、BDC は、そのパスワードを LSA シークレット ストレージ $machine.acc に保存します。このパスワードは 7 日ごとに変更されます。

各 BDC にはこのような LSA シークレットが保持されており、NetLogon サービスはそれを使用してセキュア チャンネルを確立します。コンピュータ アカウントのパスワードと LSA シークレットが同期されていない場合、BDC では NetLogon サービスを開始することができず、次のエラー メッセージが生成されます。
NETLOGON イベント 3210

ドメイン DOMAIN の Windows NT ドメイン コントローラ \\DOMAINPDC で認証に失敗しました。

コンピュータ アカウントが削除されていると、BDC の NetLogon サービスにより次のいずれかのエラー メッセージがログに記録されます。
NETLOGON イベント 5721

Windows NT ドメイン コントローラ \\DOMAINPDC (ドメイン DOMAIN) へのセッション セットアップに失敗しました。これは Windows NT ドメイン コントローラにコンピュータ DOMAINBDC のアカウントがないためです。

または
NETLOGON イベント 5723

コンピュータ DOMAINBDC からのセッション設定は、このコンピュータのセキュリティ データベースに信頼関係のあるアカウントがないため失敗しました。セキュリティ データベースで参照されたアカウントの名前は DOMAINBDC$ です。

同様に、パスワードが同期されていない場合には、PDC の NetLogon サービスにより次のエラー メッセージがログに記録されます。
NETLOGON イベント 5722

コンピュータ DOMAINBDC からのセッション設定を認証できませんでした。セキュリティ データベースで参照されたアカウントの名前は DOMAINBDC$ です。次のエラーが発生しました。

アクセスが拒否されました。


いずれの場合も、イベント データにはエラーが含まれます。たとえば、エラー 0xC0000022 はコンピュータ アカウントのパスワードが無効であることを示し、エラー 0xC000018B はコンピュータ アカウントが削除されていることを示します。



セキュア チャンネルの詳細については、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。

131366 アクセス拒否によるイベント エラー 5712

142869ドメイン全体で同期を取るとイベント ID 3210 および 5722 が出力される

149664 ドメインの Netlogon 同期の確認

158148 ドメイン セキュア チャンネル ユーティリティ -- Nltest.exe

160324 コンピュータ アカウントを削除した後のイベント ID 5721

解決方法

警告 : この資料に記載されている解決方法は、大規模なインストール環境での広範囲なテストは行われていません。ここで推奨されているとおりにドメインを変更しても、すべての環境やすべての構成において、この資料に記載されている目的を達成できるとは限りません。

NETDOM コマンド ライン ユーティリティを使用すると、BDC のセキュア チャンネルをリセットできます。セキュア チャンネルの問題が原因で BDC の NetLogon サービスを開始できない場合、このツールが非常に役立ちます。

BDC のセキュア チャンネルをリセットするには、次のコマンドを実行します。

   NETDOM BDC mybdc /RESET
				


上記のコマンドは、ユーザーが Domain Admins グループのメンバとしてログオンしていれば、PDC、BDC、またはドメインの任意のメンバから実行できます。出力は次のようになります。

   NetDom 1.2 @1997.
   Querying domain information on computer \\MYBDC ...
   The computer \\MYBDC is a domain controller of THEDOMAIN.
   Searching PDC for domain THEDOMAIN ...
   Found PDC \\THEPDC
   Verifying secure channel on \\MYBDC ...
   Verifying the computer account on the PDC \\THEPDC ...
   The computer account for \\MYBDC doesn't exist or has an invalid
   password.
   Resetting secure channel ...
   Changing computer account on PDC \\THEPDC ...
   Stopping service NETLOGON on \\MYBDC .... stopped.
   Starting service NETLOGON on \\MYBDC .... started.
   The BDC \\MYBDC secure channel was reset successfully.
   Logoff/Logon \\MYBDC to take modifications into effect.
				


上記のコマンドは、必要な場合にのみ BDC のセキュア チャンネルをリセットします。BDC のセキュア チャンネルのパスワードが有効であれば、次のようなメッセージが出力されます。

   NetDom 1.2 @1997.
   Querying domain information on computer \\MYBDC ...
   The computer \\MYBDC is a domain controller of THEDOMAIN.
   Searching PDC for domain THEDOMAIN ...
   Found PDC \\THEPDC
   Verifying secure channel on \\MYBDC ...
   Verifying the computer account on the PDC \\THEPDC ...
   Secure channel checked successfully.
				

プロパティ

文書番号: 150518 - 最終更新日: 2007年5月21日 - リビジョン: 2.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows NT Server 4.0 Standard Edition
キーワード:?
kbnetwork KB150518
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com