この資料では、Microsoft Windows 2000 で破損したドメイン コントローラのセキュア チャネルを再確立する方法を説明します。
当該ドメイン コントローラと PDC エミュレータ間の LSA シークレット 情報に不整合が起こると、セキュア チャネルが
確立できずにドメインへのログオンに失敗します。 LSA シークレット情報の不整合が起こる一つの原因として、セ
キュアチャネルのパスワード更新期間を過ぎたバックアップデータのリストアがあります。Windows 2000 のセキュア
チャネルのパスワード更新間隔は既定値では 30 日です。
ドメイン コントローラのコンピュータ アカウントパスワードをリセットする事で、セキュア
チャネルの再確立および、ドメインへのログオンが可能になります 。
注 : Windows 2000 Server Resource Kit 付属の
Kerbtray.exe、 Windows 2000 Support tools 付属の netdom.exe および repadmin.exe
を使用します。予め現象が発生した DC にインストールを行ってください。
手順
以下の操作は現象が発生している DC 上にて行ってください。 また、下記手順内の 例) では、ドメイン名を
[microsoft.com]、PDC エミュレーターの名前を [DC1]、障害発生の DC の名前を [DC3]、 ハブサーバーの名前を [DC2]
とします。
- 現象が発生している DC 上にて、コマンド ラインから、"net stop KDC"
を実行し、KDC(Kerberos Key Distribution Center) サービスを停止します。
- 現象が発生している DC 上にて Kerberos 認証チケットをクリア (purge) します。
- [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に Kerbtray.exe と入力し、[OK] をクリックします。
- タスクバー右下に表示された Kerbtray
のアイコンを右クリックし、ショートカット メニューから [Purge Tickets] をクリックします。
- [Ticket Cashe Purged] と表示されるので、[OK] をクリックします。
- [スタート] ボタンをクリックし、[管理ツール] をクリックします。[サービス]
から [Kerbeos Key Distribution Center] サービスの [スタートアップの種類] を [無効] に変更します。
- DC
を再起動します。
- kerbtray.exe を起動し、タスクバー右下に Kerbtray
のアイコンが表示され、動作するか確認します。
- 以下のコマンドをコンソールから実行し、PDC エミュレータ上にあるコンピュータ アカウントのパスワード
をリセットします。
netdom resetpwd /server:<PDC エミュレータ名> /userd:<domain>\administrator /passwordd:*
例
c:\>netdom resetpwd /server:DC1 /userd:microsoft\administrator /passwordd:xxxxx - 次のメッセージが表示されれば、成功です。
The machine account password for the local machine has
been successfully reset
注 : 次のエラー メッセージが表示された場合、現象が発生している対象の DC が "Domain Controlers" OU
に存在していない可能性があります。Logon failure, the target account name is
incorrect
- コンピュータ アカウントを複製させるため、 複製パートナー (ローカル) の Domain NC と PDC
エミュレータの同 期を取ります。
repadmin /sync <Naming Context><hub_server><PDC エミュレータの "NTDS Settings" オブジェクトの Object Guid>
例
c:\>repadmin /sync DC=microsoft,DC=com DC2 f1234567-1234-1234-1234-123456789012
注 : PDC エミュレータの "NTDS Settings" Object Guid を確認するには、"repadmin
/showreps <PDC エミュレータ名 >" の出力結果にある、PDC エミュレータ DC の "objectGuid" にて確認できます。
- 次のメッセージが表示されれば、成功です。Domain Naming Context と
PDC エミュレータ間での複製が 自動的に行われるようになります。
one-way replication from source:<PDC エミュレータ FQDN> to
dest:<複製パートナー FQDN> established.
注 : ローカル DC 上の複製パートナーが、PDC
エミュレータの複製パートナーでない場合、このコマンドは失敗します。 その場合には次のコマンドにて、ローカル DC 上の複製パートナーと PDC
エミュレータ間で複製リンクを作成します。
repadmin /add <Domain NC><複製パートナー FQDN><PDC エミュレータ FQDN> /u:<domain>\administrator /pw:*
例
c:\>repadmin /add DC=microsoft,DC=com DC3.microsoft.com DC1.microsoft.com /u:microsoft\administrator /pw:xxxxx
成功すると、"one-way replication from source:<PDC エミュレータ FQDN> to
dest:<複製パートナー FQDN> established." と表示されます。これにより、Domain Naming Context と
PDC エミュレータ間での複製が 自動的に行われるようになります。 - KDC サービスの [スタートアップの種類] を [自動] にし、[適用] をクリックし更に [開始]
を実行します。
- Kerbtray アイコンの上で右クリックし、[Exit Kerb Tray] をクリックしアイコンをとじます。
関連情報を参照するには、以下の 「サポート技術情報」 (Microsoft Knowledge Base)
をクリックしてください。
229896?
(http://support.microsoft.com/kb/229896/JA/
)
Repadmin.exe を使った Active
Directory 複製のトラブルシューティング
netdom.exe および repadmin.exe は Windows 2000 Support tools suite
に含まれています。 Kerbtray.exe は Windows 2000 Resource Kit に含まれています。
先頭へ戻る
