Windows Server ベースのドメイン コント ローラー上でイベント ID 5722 が記録されます。

文書翻訳 文書翻訳
文書番号: 810977
Notice
この資料は Windows 2000 に適用されます。 2010 年 7 月 13日両端の Windows 2000 をサポートします。 は、 Windows 2000 のサポート終了のソリューション センター Windows 2000 から移行の計画の開始点です。詳細については、 マイクロソフト サポート ライフ サイクル ポリシー.
すべて展開する | すべて折りたたむ

概要

Windows ドメイン コント ローラーでシステム ログを表示するのには、イベント ビューアーを使用すると、イベント 5722 がログに記録する可能性があります。この 2 つのシナリオのいずれかで発生します。
  • コンピューター アカウントのパスワードがドメイン コント ローラーでコンピューターを更新
  • コンピューターに既に存在する名前を持つドメイン参加しているとき
この資料では、2 つのシナリオを識別する方法と、この問題を解決する方法について説明します。

現象

Windows ドメイン コント ローラー上で、次のイベントがシステム ログに記録されます。
イベントの種類: エラー
イベント ソース: NETLOGON
イベント カテゴリ: なし
イベント ID: 5722
作成日: 日付
時刻: 時間
ユーザー: 該当なし
コンピューター: コンピューター名
説明:コンピューターからのセッション設定 コンピューター名 認証に失敗しました。セキュリティ データベースで参照されたアカウントの名前です。 アカウント名$.
次のエラーが発生しました。
アクセスは拒否されます。

原因

Windows ドメインでは、Windows 2000 以降での個別の通信チャネル サーバーまたはワークステーションのドメイン コント ローラーとメンバー間でのより安全な通信パスを提供できます。このチャネルとして知られています、セキュリティで保護されたチャネル.コンピューターをドメインに参加して、コンピューター アカウントが作成され、パスワードは、コンピューターとドメインの間で共有されています。既定では、このパスワードは 30 日ごとに変更されます。セキュリティで保護されたチャネルのパスワードは、プライマリ ドメイン コント ローラー (PDC) にコンピューター アカウントと共に格納されます。パスワードは、すべてのレプリカ ドメイン コント ローラーにレプリケートされます。

次のシナリオでイベント 5722 が記録されます。
  • コンピューター アカウントのパスワードがドメイン コント ローラーがコンピューターを更新すると、認証ドメイン コント ローラーのシステム ログにイベントが記録されます。

    このシナリオでは、コンピューターのセキュリティ保護されたチャネルは、認証ドメイン コント ローラーには引き続き有効です。
  • ときに、既に別のコンピューター、または既存のコンピューター アカウントをリセットすると使用されている名前を使用して、コンピューターをドメインに参加します。Netdom.exe ユーティリティを使用して、Active Directory ユーザーとコンピューターを使用して、既存のコンピューター アカウントをリセットする可能性があります。

    このシナリオでは、コンピューターのアカウントのパスワードがドメイン コント ローラーでパスワードと一致しないし、ドメイン コント ローラーに、元のコンピューターからをセキュリティで保護されたチャネルを設定することはできません。

解決方法

警告 ADSI Edit スナップインを使用すると、して、LDP ユーティリティ、またはその他の LDAP version 3 クライアントを Active Directory オブジェクトの属性を誤って変更、深刻な問題が発生することができます。これらの問題は、Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server、Microsoft Exchange Server 2003、または Windows と Exchange の再インストールが必要です。Microsoft は、Active Directory オブジェクトの属性を誤って変更する場合に発生する問題を解決できることを保証できません。ご自身の責任でこれらの属性を変更します。

この問題を解決するには、まず問題の原因がどのシナリオを特定します。これを行うには、次の手順を実行します。
  1. イベントがシステム ログに記録された日時を確認します。
  2. クリックしてください。 開始、ポイント プログラム、ポイント リソース キット、し 管理コンソールのツール.
  3. コンソール ツリーをクリックします。 A から z のツール.
  4. 詳細ペインをクリックします。 ADSI エディター.

    メモ ADSI Edit は Windows サポート ツールに付属しています。Msi は、Windows 2000 Server CD-ROM から、Windows サポート ツールをインストールできます。

    Windows サポート ツールを Windows 2000 をインストールする方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
    301423Windows 2000 Server ベースのコンピューターに、Windows 2000 サポート ツールをインストールする方法
    Windows Server ? 2003年や Windows ? XP オペレーティング システムを実行しているコンピューター上で ADSI Edit をインストールするには、Windows Server 2003 サポート ツールが Windows Server 2003 の製品 CD から、またはには、Microsoft ダウンロード センター (からインストールします。http://go.microsoft.com/fwlink/? か。LinkId 100114 =).製品の CD から Windows Support Tools をインストールする方法の詳細については、「Windows サポート ツールのインストール (http://go.microsoft.com/fwlink/? か。LinkId 62270 =).

    サーバーがドメイン コント ローラーを確認するのには、Active Directory ドメイン サービス (AD DS) の役割をインストールすると Windows Server 2008 または Windows Server 2008 R2 を実行しているサーバーでは、ADSI Edit がインストールされます。ドメインのメンバー サーバーまたはスタンドアロン サーバーで Windows サーバー 2008年リモート サーバー管理ツール (RSAT) をインストールすることもできます。インストールまたは削除するのには、リモート サーバー管理ツール パック (詳細については、参照してください。http://go.microsoft.com/fwlink/? か。LinkId 143345 =).

    Service Pack 1 (SP1) または Windows 7 と Windows Vista ? を実行しているコンピューター上で ADSI Edit をインストールするには、RSAT をインストールする必要があります。詳細情報および RSAT をダウンロードするのには、記事 941314 では、サポート技術情報 (を参照してください。http://go.microsoft.com/fwlink/? か。LinkID 116179 =).
  5. ADSI Edit を検索し、問題の原因となっているコンピューターを右クリックします。
  6. クリックしてください。 プロパティ.
  7. 表示するプロパティを選択します。をクリックして 両方とも.
  8. 表示するプロパティを選択します。をクリックして PwdLastSet.
  9. 表示される値のコピー、 クリップボードにボックスします。
  10. クリックしてください。 開始、ポイント プログラム、ポイント アクセサリ、し 電卓.
  11. で、 ビュー メニューをクリックして 科学.
  12. クリックしてください。 12 月 10 進数に番号の付け方を設定します。
  13. 電卓には、クリップボードから値を貼り付けます。
  14. 値を 10 進数から 16 進数の 10 進の番号付けシステムを変更するをクリックしてください。 16 進数.
  15. で、 編集 メニューをクリックして コピー.
  16. クリップボードから 16 進数のファイルをメモ帳に貼り付けます。
  17. 16 進数の文字列の右ほとんど文字から 8 文字をカウントし、space キーを押してキーを押します。

    メモ これは 16 進数の文字列 2 つの 16 進数の文字列に分割します。
  18. 左側にある 16 進数文字列のみ 7 文字が含まれている場合は、文字列の先頭にゼロを追加します。
  19. コマンド プロンプトで
    Nltest/time:RightSideHexadecimalstringLeftSideHexadecimalString
    次のような出力が表示されます。
    C:\>nltest /time:a25cc370 01c294bc
    a25cc370 01c294bc = 11/25/2002 13:55:41 
    The command completed successfully.
    
  20. デコードされた日付と時刻に注意してください。
  21. 日付と手順 1 とデコードされた日付で、書き留めた時間でメモした時間 20 一致ステップ実行するかどうかを確認してください。
  22. 日付と時刻、イベント 5722 をされた場合は、ログに記録し、デコードされた日付と時刻と、問題の原因となっている、コンピューターがコマンド プロンプトで次のコマンドを入力して、ドメイン コント ローラーを確立、セキュリティで保護されたチャネルを持つかどうかを確認します。
    Nltest/server:コンピューター名 /sc_query:ドメイン名
    問題のあるコンピューターが、ドメイン コント ローラーと確立の有効なセキュリティで保護されたチャネルがある場合は、次のような出力が表示されます。
    C:\>Nltest /server:computer1 /sc_query:DomainNameFlags: 30
    HAS_IP HAS_TIMESERV
    Trusted DC Name \\homenode1.myhouse.comTrusted DC Connection Status Status = 0 0x0 NERR_SuccessThe command completed successfully.
    問題のあるコンピューター、ドメイン コント ローラーと確立の有効なセキュリティで保護されたチャネルがない場合は、次のような出力が表示されます。
    C:\>nltest /server:machine1 /sc_query:DomainNameFlags: 0 
    Trusted DC Name
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIEDThe command completed successfully.
日付と時刻のイベント 5722 およびデコードされた日付と時刻が一致しない場合は、問題のあるコンピューターのアカウントのパスワードは、ドメイン コント ローラーでパスワードと一致可能性があります。これは、次の状況のいずれかで発生します。
  • 管理者は、Active Directory ユーザーとコンピューターまたはその他のツールなどの Netdom.exe を使用してコンピューター アカウントをリセットします。
  • 新しいコンピューターがドメインに既に存在する名前を使用してドメインのです。
メモ ドメイン コント ローラーの Netlogon サービスのログ出力がオンになっている場合は、このシナリオは次のような Netlogon.log エントリをチェックすることによって確認します。
05/06 13:35:25 [MISC] NlMainLoop: Notification that trust account added (or changed) TRUSTING_DOMAIN$ 0x#### 4
コンピューターがそれ自体のコンピューター アカウントのパスワードを更新する場合は、このメッセージは記録されません。

コンピューター名を複製するのに関連する問題を解決するには、元のコンピューターをドメインに再び参加させます。

次の条件の両方に当てはまる場合、イベント 5722 を無視してかまいません。
  • 日付および時間イベント 5722 のデコードされた日付と時刻と一致する場合。
  • 有効なセキュリティで保護されたチャネルは、問題のあるコンピューターとドメイン コント ローラー間で確立されます。
メモ これらの条件の両方に当てはまる場合は、コンピューターを使用して、コンピューター アカウントの更新処理中に、ドメイン コント ローラーを認証しようとするとイベント 5722 ドメイン コント ローラー上に記録されます。

また、管理者 Ldp.exe を使用しても、ドメイン内の任意のコンピューターから Active Directory 情報を照会できます。PwdLastSet 値をデコードするの Ldp.exe は Windows XP サービス パック 2 のサポート ツールに含まれているバージョンを使用することもできます。

Windows XP サービス パック 2 のサポート ツールの詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
838079Windows XP Service Pack 2 サポート ツール
PwdLastSet 値をデコードするのには、Windows XP ユーティリティ W32tm.exe を使用することもできます。

関連情報

デバッグ ログを有効にすることの詳細については、マイクロソフト サポート技術記事を表示するのには、次の資料番号をクリックしてください。
221833Windows のユーザー環境のデバッグの小売り業でのログ記録を有効にする方法を構築します。
109626 Net Logon サービスのデバッグ ログを有効にします。

プロパティ

文書番号: 810977 - 最終更新日: 2011年7月28日 - リビジョン: 4.0
キーワード:?
kbtshoot kbeventlog kbprb kbmt KB810977 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:810977
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com