セキュア チャンネルが機能しないと NetLogon サービスが失敗する

現象

バックアップ ドメイン コントローラ (BDC) で、NetLogon エラー 3210 または 5721 が発生し、NetLogon サービスが起動に失敗します。このとき、プライマリ ドメイン コントローラ (PDC) のシステム イベント ログには NetLogon サービスによってエラー 5722 が記録されます。または、同時に、BDC では NetLogon サービスを開始できなかったため、サービス コントロール マネージャによってエラー 7023 が記録されます。



各 BDC には、PDC との専用の通信チャンネル (セキュア チャンネル) があります。BDC および PDC の NetLogon サービスは、このセキュア チャンネルを通信のために使用します。



以下に説明する手順に従うと、サーバー マネージャで多くの操作を実行する代わりに、1 行のコマンド ラインで BDC のセキュア チャンネルをリセットすることができます。この方法では、Windows NT 4.0 リソース キット サプリメント 2 で提供される NETDOM ユーティリティが必要です。

原因

この資料では、次のような構成を想定しています。




ドメイン = DOMAIN
PDC = DOMAINPDC
BDC = DOMAINBDC


BDC がドメインに参加する場合、コンピュータ アカウントが作成されます (コンピュータ アカウントはサーバー マネージャで確認できます)。コンピュータ アカウントにはデフォルトのパスワードが与えられ、BDC は、そのパスワードを LSA シークレット ストレージ $machine.acc に保存します。このパスワードは 7 日ごとに変更されます。



各 BDC にはこのような LSA シークレットが保持されており、NetLogon サービスはそれを使用してセキュア チャンネルを確立します。コンピュータ アカウントのパスワードと LSA シークレットが同期されていない場合、BDC では NetLogon サービスを開始することができず、次のエラー メッセージが生成されます。


NETLOGON イベント 3210


ドメイン DOMAIN の Windows NT ドメイン コントローラ \\DOMAINPDC で認証に失敗しました。


コンピュータ アカウントが削除されていると、BDC の NetLogon サービスにより次のいずれかのエラー メッセージがログに記録されます。


NETLOGON イベント 5721


Windows NT ドメイン コントローラ \\DOMAINPDC (ドメイン DOMAIN) へのセッション セットアップに失敗しました。これは Windows NT ドメイン コントローラにコンピュータ DOMAINBDC のアカウントがないためです。


または

NETLOGON イベント 5723


コンピュータ DOMAINBDC からのセッション設定は、このコンピュータのセキュリティ データベースに信頼関係のあるアカウントがないため失敗しました。セキュリティ データベースで参照されたアカウントの名前は DOMAINBDC$ です。


同様に、パスワードが同期されていない場合には、PDC の NetLogon サービスにより次のエラー メッセージがログに記録されます。


NETLOGON イベント 5722


コンピュータ DOMAINBDC からのセッション設定を認証できませんでした。セキュリティ データベースで参照されたアカウントの名前は DOMAINBDC$ です。次のエラーが発生しました。



アクセスが拒否されました。



いずれの場合も、イベント データにはエラーが含まれます。たとえば、エラー 0xC0000022 はコンピュータ アカウントのパスワードが無効であることを示し、エラー 0xC000018B はコンピュータ アカウントが削除されていることを示します。





セキュア チャンネルの詳細については、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。



131366 アクセス拒否によるイベント エラー 5712


142869 ドメイン全体で同期を取るとイベント ID 3210 および 5722 が出力される


149664 ドメインの Netlogon 同期の確認



158148 ドメイン セキュア チャンネル ユーティリティ -- Nltest.exe


160324 コンピュータ アカウントを削除した後のイベント ID 5721


解決方法

警告 : この資料に記載されている解決方法は、大規模なインストール環境での広範囲なテストは行われていません。ここで推奨されているとおりにドメインを変更しても、すべての環境やすべての構成において、この資料に記載されている目的を達成できるとは限りません。



NETDOM コマンド ライン ユーティリティを使用すると、BDC のセキュア チャンネルをリセットできます。セキュア チャンネルの問題が原因で BDC の NetLogon サービスを開始できない場合、このツールが非常に役立ちます。



BDC のセキュア チャンネルをリセットするには、次のコマンドを実行します。




NETDOM BDC mybdc /RESET


上記のコマンドは、ユーザーが Domain Admins グループのメンバとしてログオンしていれば、PDC、BDC、またはドメインの任意のメンバから実行できます。出力は次のようになります。




NetDom 1.2 @1997.
Querying domain information on computer \\MYBDC ...
The computer \\MYBDC is a domain controller of THEDOMAIN.
Searching PDC for domain THEDOMAIN ...
Found PDC \\THEPDC
Verifying secure channel on \\MYBDC ...
Verifying the computer account on the PDC \\THEPDC ...
The computer account for \\MYBDC doesn't exist or has an invalid
password.
Resetting secure channel ...
Changing computer account on PDC \\THEPDC ...
Stopping service NETLOGON on \\MYBDC .... stopped.
Starting service NETLOGON on \\MYBDC .... started.
The BDC \\MYBDC secure channel was reset successfully.
Logoff/Logon \\MYBDC to take modifications into effect.


上記のコマンドは、必要な場合にのみ BDC のセキュア チャンネルをリセットします。BDC のセキュア チャンネルのパスワードが有効であれば、次のようなメッセージが出力されます。




NetDom 1.2 @1997.
Querying domain information on computer \\MYBDC ...
The computer \\MYBDC is a domain controller of THEDOMAIN.
Searching PDC for domain THEDOMAIN ...
Found PDC \\THEPDC
Verifying secure channel on \\MYBDC ...
Verifying the computer account on the PDC \\THEPDC ...
Secure channel checked successfully.
プロパティ

文書番号:150518 - 最終更新日: 2007/05/21 - リビジョン: 1

フィードバック