概要
ドメインのメンバーである Windows 2000 または Windows XP ワークステーションまたはサーバーごとに、ドメイン コントローラーを備えた個別の通信チャネル (セキュリティ チャネルと呼ばれます) があります。セキュリティ チャネルのパスワードは、すべてのドメイン コントローラーのコンピューター アカウントと共に保存されます。 Windows 2000 または Windows XP の場合、既定のコンピューター アカウントのパスワード変更期間は 30 日ごとに行われます。 何らかの理由で、コンピューター アカウントのパスワードと LSA シークレットが同期されていない場合、Netlogon サービスは次のエラー メッセージの一方または両方をログに記録します。
NETLOGON イベント ID 5723:コンピューター DOMAINMEMBER からのセッションセットアップが認証に失敗しました。 セキュリティ データベースで参照されるアカウントの名前は DOMAINMEMBER$ です。 次のエラーが発生しました: Access が拒否されました。
NETLOGON イベント ID 3210:ドメイン ドメインのWindows NT ドメイン コントローラーである \\DOMAINDC で認証を行います。
ドメイン コントローラーの Netlogon サービスは、パスワードが同期されていない場合に次のエラー メッセージをログに記録します。
NETLOGON イベント ID 5722:コンピューター ComputerName からのセッションセットアップが認証に失敗しました。 セキュリティ データベースで参照されるアカウントの名前は AccountName$ です。次のエラーが発生しました:Access が拒否されました。
この記事では、Windows 2000 または Windows XP でコンピューター アカウントをリセットする 4 つの方法について説明します。 これらのメソッドは次のとおりです。
-
Netdom.exe コマンド ライン ツールの使用
-
Nltest.exe コマンド ライン ツールを使用注 Netdom.exe ツールと Nltest.exe ツールは、Support\Tools フォルダーの Windows Server CD-ROM にあります。 これらのツールをインストールするには、Setup.exe を実行するか、Support.cab ファイルからファイルを抽出します。
-
Active Directory ユーザーとコンピューター Microsoft 管理コンソール (MMC) の使用
-
Microsoft Visual Basic スクリプトの使用
これらのツールを使用すると、リモート管理と非リモート管理が可能になります。 Netdom.exe と Nltest.exe は、正常に確立されたセキュリティ チャネルをリセットするコマンド ライン ツールです。 これらのツールは、セキュリティ チャネルが壊れていて、通信が正しく機能していない場合は使用できません。
詳細情報
Netdom.exe
メンバーごとに、ドメイン コントローラーを備えた個別の通信チャネル (セキュリティ チャネル) があります。 セキュリティ チャネルは、メンバーとドメイン コントローラーの Netlogon サービスによって通信に使用されます。 Netdom を使用すると、メンバーのセキュリティ チャネルをリセットできます。 次のコマンドを使用して、メンバー セキュリティ チャネルをリセットできます。
netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = ローカル コンピューター名と 'domainname' = コンピューター/マシン アカウントが格納されているドメイン。MYDOMAIN というドメインに DOMAINMEMBER という名前のドメイン メンバーがあるとします。 次のコマンドを使用して、メンバー セキュリティ チャネルをリセットできます。
netdom reset domainmember /domain:mydomain DOMAINMEMBER への管理者アクセス権を持つアカウントでログオンしている場合は、メンバー DOMAINMEMBER またはドメインの他のメンバーまたはドメイン コントローラーでこのコマンドを実行できます。
Nltest.exe
Nltest.exe を使用して、ドメインのメンバーである Windows 2000 または Windows XP を実行しているコンピューターと、そのコンピューター アカウントが存在するドメイン コントローラー間の信頼関係をテストできます。
C:\Ntreskit\Nltest.exe Usage: nltest [/OPTIONS] /SC_QUERY:DomainName - ServerName /SERVER:ServerName /SC_VERIFY:DomainName 上のドメインのセキュリティ チャネルを照会します。フラグ: 30 HAS_IP HAS_TIMESERV 信頼された DC 名 \\server.windows2000.com 信頼された DC 接続状態 = 0 0x0 NERR_Successコマンドは正常に完了しました
Active Directory ユーザーとコンピューター (DSA)
Windows 2000 または Windows XP では、グラフィカル ユーザー インターフェイス (GUI) 内からマシン アカウントをリセットすることもできます。 ACTIVE DIRECTORY ユーザーとコンピューター MMC (DSA) で、[コンピューター] または適切なコンテナー内のコンピューター オブジェクトを右クリックし、[アカウントのリセット] をクリックできます。 これにより、マシン アカウントがリセットされます。 このメソッドを使用してドメイン コントローラーのパスワードをリセットすることはできません。 コンピューター アカウントをリセットすると、そのコンピューターのドメインへの接続が切断され、ドメインに再度参加する必要があります。 注: これにより、確立されたコンピューターがドメインに接続できなくなります。また、再構築したばかりのコンピューターにのみ使用する必要があります。
Microsoft Visual Basic スクリプト
スクリプトを使用して、マシン アカウントをリセットできます。 IADsUser インターフェイスを使用してコンピューター アカウントに接続する必要があります。 その後、SetPassword メソッドを使用して、パスワードを初期値に設定できます。 コンピューターの初期パスワードは常に "computername$" です。次のサンプル スクリプトは、すべての環境で動作しない場合があり、実装の前にテストする必要があります。 最初の例はWindows NT 4.0 コンピューター アカウント用で、2 つ目は Windows 2000 または Windows XP コンピューター アカウント用です。
サンプル 1
Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit
サンプル 2
Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit
イベント 5722 の日付と時刻がデコードされた日時と一致するかどうかを判断する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。
175024 ドメイン メンバーのセキュリティで保護されたチャネルをリセットする
810977 Windows 2000 サーバー ベースのドメイン コントローラーにイベント ID 5722 が記録される
