[NT] ドメイン メンバの安全な通信チャネルのリセット

文書翻訳 文書翻訳
文書番号: 175024 - 対象製品
この記事は、以前は次の ID で公開されていました: JP175024
すべて展開する | すべて折りたたむ

現象

ドメイン メンバの Netlogon サービスでは、エラー 3210 または 5721 が発生する場合がありますが、ドメイン コントローラの Netlogon サービスでは、システム イベント ログにエラー 5722 が記録されます。

また、ドメインのメンバである Windows NT Workstation または Windows NT Server を実行中のコンピュータから Windows NT ドメインへログオンすると、以下のログオン メッセージが表示される場合もあります。

システムはユーザーをこのドメインへログオンさせることができません。そのプライマリ ドメイン内のシステムのコンピュータ アカウントが損失しているか、そのアカウントのパスワードが不正であるからです。

以下の条件のどれもがあてはまる場合に、これらの問題が発生する可能性があります。

  • ドメイン メンバの名前が最近変更された
  • システム修復ディスクを使用したが、それには古い情報が入っていた。
  • ドメイン メンバのコンピュータ アカウントが削除された。
この資料で説明する手順は、サーバー マネージャで多くの操作を行うのではなく、1 つのコマンド ラインを使用することで、メンバの保護されたチャネルをリセットします。この手順では、Windows NT 4.0 Resource Kit Supplement 2 に付属する NETDOM ユーティリティが必要です。

解決方法

注意: この資料に書かれている解決方法は、大規模なインストレーションで広範囲にテストされていません。弊社では、この資料で推奨されているドメインの修正によって、すべての環境およびすべての構成で、この資料に記述された目的を達成するとは保証いたしかねます。

各メンバについて、ドメイン コントローラ付きの個別の通信チャネル (すなわち、安全な通信チャネル) があります。この安全な通信チャネルは、メンバ上およびドメイン コントローラ上で Netlogon サービスによって通信用に使用されます。NETDOM コマンド ライン ユーティリティは、メンバの安全な通信チャネルをリセット可能にします。

DOMAINMEMBER という名前のドメイン メンバがあると仮定します。以下のコマンドを使って、そのメンバの安全な通信チャネルをリセットできます。
  NETDOM MEMBER \\DOMAINMEMBER /JOINDOMAIN

DOMAINMEMBER に対する管理者アクセスを持つアカウントでログオンしている場合には、メンバ DOMAINMEMBER またはそのドメインの他のメンバやドメイン コントローラで、上記のコマンドを実行できます。

このコマンドは以下のように表示します。
  Searching PDC for domain DOMAIN ...
  Found PDC \\DOMAINPDC
  Querying domain information on PDC \\DOMAINPDC ...
  Querying domain information on computer \\DOMAINMEMBER ...
  Computer \\DOMAINMEMBER is already a member of domain DOMAIN.
  Verifying secure channel on \\DOMAINMEMBER ...
  Verifying the computer account on the PDC \\DOMAINPDC ...
  Resetting secure channel ...
  Changing computer account on PDC \\DOMAINPDC ...
  Stopping service NETLOGON on \\DOMAINMEMBER .... stopped.
  Starting service NETLOGON on \\DOMAINMEMBER .... started.
  Querying user groups of \\DOMAINMEMBER ...
  Adding DOMAIN domain groups on \\DOMAINMEMBER ...

  The computer \\DOMAINMEMBER joined the domain DOMAIN successfully.

  Logoff/Logon \\DOMAINMEMBER to take modifications into effect.

ログオフ後、ログオンして、変更を有効にしてください。

関連情報

この資料の情報は、Microsoft Knowledge Base から提供されている、以下の関連文書の続きです。
Article ID: 160324
Title : Event ID 5721 After Deleting Computer Account
この資料に書かれている解決方法は、 160324 内に記述されている解決方法に取って代わることに注意してください (この方法のほうが単純です)。

以下の構成であると仮定します。
ドメイン = DOMAIN
DC = DOMAINDC (ドメイン コントローラ)
メンバ = DOMAINMEMBER
メンバ サーバーがドメインに接続するとき、コンピュータ アカウントが作成されます (Server Manager を使ってコンピュータ アカウントを見ることができます)。既定のパスワードがコンピュータ アカウントに与えられ、メンバはそのパスワードを LSA (Local Security Authority) シークレット ストレージ $MACHINE.ACC に格納します。既定では、パスワードは 7 日ごとに変わります。

各メンバはそのような LSA シークレットを保持します。これは、保護されたチャネルを確立するために、Netlogon サービスによって使用されます。ある理由でコンピュータ アカウントのパスワードと LSA シークレットが同期を取らない場合、Netlogon サービスは以下のエラーを記録します。
  NETLOGON イベント ID 3210:

このサーバーはドメイン コントローラによるセキュリティ データベースへのアクセスを拒否しました。この問題を解決するまで、サーバーはユーザー アカウント情報とドメイン コントローラとの同期をとることができません。

コンピュータ アカウントが削除されている場合、メンバの Netlogon サービスによって以下のエラーが記録されます。
  NETLOGON イベント ID 5721:

Windows NT ドメイン コントローラ DOMAINDC (ドメイン DOMAIN) へのセッション セットアップに失敗しました。これは Windows NT ドメイン コントローラにコンピュータ DOMAINMEMBER のアカウントがないためです。

同様に、ドメイン コントローラ上の Netlogon サービスは、パスワードの同期が取られない場合に以下のエラーを記録します。
  NETLOGON イベント ID 5722:

Windows NT ドメイン コントローラ DOMAINDC (ドメイン DOMAIN) へのセッション セットアップに失敗しました。これは Windows NT ドメイン コントローラにコンピュータ DOMAINMEMBER のアカウントがないためです。コンピュータ DOMAINDC からのセッション設定を認証できませんでした。

すべての場合で、イベント データにはそのエラーが含まれます。たとえば、エラー 0xC0000022 はコンピュータのアカウントが無効であることを意味し、エラー 0xC000018B は、コンピュータのアカウントが削除されていることを意味します。
詳細については、Microsoft Knowledge Base から提供されている、以下の関連文書をご参照ください。
Article ID: 131366
Title : Event Error 5712 with Status Access Denied

文書番号 : 409750
タイトル : [NT] ドメイン全体で同期を取るとイベント ID 3210 および 5722 が表示
Article ID: 149664
Title : Verifying Domain Netlogon Synchronization

Article ID: 158148
Title : Domain Secure Channel Utility -- Nltest.exe

Article ID: 160324
Title : Event ID 5721 After Deleting Computer Account

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 175024 (最終更新日 1999-03-03) をもとに作成したものです。

プロパティ

文書番号: 175024 - 最終更新日: 1999年3月3日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
キーワード:?
kbhowto ntdomain sp4prb KB175024
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com