ドメインでのコンピュータ アカウントのレプリケーションによる影響

文書翻訳 文書翻訳
文書番号: 175468 - 対象製品
この記事は、以前は次の ID で公開されていました: JP175468
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

現象

ドメインに所属している Windows コンピュータそれぞれには、ドメイン コントローラとの個別の通信チャネルがあります。

: セキュリティ チャネルは個別の通信チャネルの例です。

セキュリティ チャネルのパスワードは、プライマリ ドメイン コントローラ (PDC) にコンピュータ アカウントと共に格納され、すべてのバックアップ ドメイン コントローラ (BDC) にレプリケートされます。このパスワードは、ワークステーションの LSA シークレット $MACHINE.ACC にもあります。それぞれのワークステーションは、このようなシークレット データを保持しています。

ワークステーションは、セキュリティ チャネルのパスワードの変更を 7 日ごとに送信して、コンピュータ アカウントのパスワードを更新します。プライマリ ドメイン コントローラ (PDC) で Windows NT 4.0 Service Pack 3 以前が実行されている場合、コンピュータ アカウントのパスワードの変更は "即時に通知" としてマークされ、コンピュータ アカウントのパスワードが変更されるたびに、すぐにレプリケーションが行われます。PDC で Windows NT 4.0 Service Pack 4 以降が実行されている場合、コンピュータ アカウントは次のレプリケーション周期でレプリケートされます。


Windows 2000、Windows XP、および Windows Server 2003 では、コンピュータ アカウント パスワードの変更期間のデフォルトは 30 日です。

解決方法

Windows NT 4.0

この問題を解決するには、Windows NT 4.0 または Windows NT Server 4.0 Terminal Server Edition の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
152734 Windows NT 4.0 の最新の Service Pack を入手する方法


警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

この問題の回避策は 2 つあります。

方法 1

この問題を回避するために、すべての Windows NT ワークステーションに次のレジストリ パラメータを追加します。
   キー       = HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
   値        = DisablePasswordChange REG_DWORD 1
   デフォルト = 0
				

これにより、ワークステーションがパスワードを変更することを防止できます。このレジストリ値を追加する前にドメインに参加して再起動することで、コンピュータ アカウントのパスワードを、少なくとも 1 回、システムだけが認識するランダムな値で変更することができます。

方法 2

この問題を回避するために、ドメイン コントローラ レベルでパスワードが変更されるのを拒否します。これを行うには、次のレジストリ値をすべてのドメイン コントローラに追加します。
   キー      = HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
   値        = RefusePasswordChange REG_DWORD 1
   デフォルト = 0
				
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
154501 自動的なコンピュータアカウントパスワード変更を無効にする方法

Windows XP および Windows Server 2003

Microsoft Windows XP 以降のバージョンでは、コンピュータ アカウントのパスワード設定は、グループ ポリシー エディタ (Gpedit.msc) を使用して設定することもできます。これらの設定を行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、Gpedit.msc と入力し、Enter キーを押します。
  2. [ローカル コンピュータ ポリシー] を展開し、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[セキュリティの設定]、[ローカル ポリシー]、[セキュリティ オプション] を順に展開します。
  3. 以下の設定を構成します。
    • ドメイン メンバ : コンピュータ アカウント パスワード : 定期的な変更を無効にする (DisablePasswordChange)
    • ドメイン メンバ : 最大コンピュータ アカウントのパスワードの有効期間 (MaximumPasswordAge)
    • ドメイン コントローラ : コンピュータ アカウントのパスワードの変更を拒否する (RefusePasswordChange)

状況

マイクロソフトでは、この問題を Windows NT 4.0 および Windows NT Server 4.0 Terminal Server Edition の問題として認識しています。 この問題は Windows NT 4.0 Service Pack 4.0 および Windows NT Server 4.0 Terminal Server Edition Service Pack 4 で最初に修正されました。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 175468 (最終更新日 2005-02-16) を基に作成したものです。

プロパティ

文書番号: 175468 - 最終更新日: 2005年8月18日 - リビジョン: 5.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
キーワード:?
kbbug kbfix KB175468
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com