Netdom.exe を使用して Windows Server ドメイン コントローラーのマシン アカウント パスワードをリセットする

この記事では、Netdom.exe を使用して Windows Server のドメイン コントローラーのマシン アカウント パスワードをリセットする方法について説明します。

適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 325850

概要

各 Windows ベースのコンピューターは、アカウントに使用されている現在のパスワードと以前のパスワードを含むマシン アカウントのパスワード履歴を保持します。 2 台のコンピューターが相互に認証しようとしたときに、現在のパスワードの変更がまだ受信されていない場合、Windows は以前のパスワードに依存します。 パスワードの一連の変更が 2 回を超えると、関係するコンピューターが通信できず、エラー メッセージが表示される可能性があります。 たとえば、Active Directory レプリケーションが発生すると 、アクセス拒否 エラー メッセージが表示されます。

この動作は、同じドメインのドメイン コントローラー間のレプリケーションにも適用されます。 レプリケートされていないドメイン コントローラーが 2 つの異なるドメインに存在する場合は、信頼関係をより詳しく確認してください。

Active Directory ユーザーとコンピューター スナップインを使用してマシン アカウントのパスワードを変更することはできません。 ただし、Netdom.exe ツールを使用してパスワードをリセットできます。 Netdom.exe ツールは、Windows Server 2003、Windows Server 2008 R2、および Windows Server 2008 の Windows サポート ツールに含まれています。

Netdom.exe ツールは、コンピューターのアカウント パスワードをローカルにリセットします ( ローカル シークレットと呼ばれます)。 この変更は、同じドメイン内の Windows ドメイン コントローラー上のコンピューターのコンピューター アカウント オブジェクトに書き込まれます。 新しいパスワードを両方の場所に同時に書き込むと、操作に関係する少なくとも 2 台のコンピューターが同期されます。 また、Active Directory レプリケーションを開始すると、他のドメイン コントローラーが変更を受け取ります。

次の手順では、netdom コマンドを使用してマシン アカウントのパスワードをリセットする方法について説明します。 この手順は、ドメイン コントローラーで最も頻繁に使用されますが、Windows マシン アカウントにも適用されます。

パスワードを変更する Windows ベースのコンピューターからツールをローカルで実行する必要があります。 さらに、Netdom.exe を実行するには、ローカルおよび Active Directory のコンピューター アカウントのオブジェクトに対する管理アクセス許可が必要です。

Netdom.exe を使用してマシン アカウントのパスワードをリセットする

1. パスワードをリセットするドメイン コントローラーに Windows Server 2003 サポート ツールをインストールします。 これらのツールは、Windows Server 2003 CD-ROM のフォルダーにあります Support\Tools 。 これらのツールをインストールするには、フォルダー内の Suptools.msi ファイルを Support\Tools 右クリックし、[ インストール] を選択します。

   注:

   この手順は、Windows Server 2008、Windows Server 2008 R2、またはそれ以降のバージョンでは必要ありません。これらの Windows エディションには Netdom.exe ツールが含まれているためです。

2. Windows ドメイン コントローラーのパスワードをリセットする場合は、Kerberos Key Distribution Center サービスを停止し、そのスタートアップの種類を [手動] に設定する必要があります。

   注:

   • パスワードが正常にリセットされたことを再起動して確認したら、Kerberos Key Distribution Center (KDC) サービスを再起動し、スタートアップの種類を [自動] に戻すことができます。 これにより、コンピューター アカウントのパスワードが正しくないドメイン コントローラーが、Kerberos チケットの別のドメイン コントローラーに強制的に接続されます。
   • 1 つを除くすべてのドメイン コントローラーで Kerberos キー配布センター サービスを無効にする必要がある場合があります。 可能な場合は、問題が発生していない限り、グローバル カタログを持つドメイン コントローラーを無効にしないでください。

3. エラーが発生するドメイン コントローラー上の Kerberos チケット キャッシュを削除します。 これを行うには、コンピューターを再起動するか、KLIST、Kerbtest、または KerbTray ツールを使用します。 KLIST は、Windows Server 2008 および Windows Server 2008 R2 に含まれています。 Windows Server 2003 の場合、KLIST は Windows Server 2003 Resource Kit Tools で無料でダウンロードできます。

4. コマンド プロンプトで、次のコマンドを入力します。

   netdom resetpwd /s:<server> /ud:<domain\User> /pd:*
   

   このコマンドの説明は次のとおりです。

   • /s:<server> は、マシン アカウントのパスワードの設定に使用するドメイン コントローラーの名前です。 KDC が実行されているサーバーです。

   • /ud:<domain\User> は、 パラメーターで /s 指定したドメインとの接続を行うユーザー アカウントです。 ドメイン\ユーザー形式である必要があります。 このパラメーターを省略すると、現在のユーザー アカウントが使用されます。

   • /pd:* は、 パラメーターで指定されたユーザー アカウントのパスワードを /ud 指定します。 パスワードの入力を求めるプロンプトを表示するには、アスタリスク (*) を使用します。 たとえば、ローカル ドメイン コントローラー コンピューターは Server1 で、ピア Windows ドメイン コントローラーは Server2 です。 次のパラメーターを使用して Server1 で Netdom.exe を実行すると、パスワードがローカルで変更され、同時に Server2 に書き込まれます。 レプリケーションでは、変更が他のドメイン コントローラーに反映されます。

     netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*  
     

5. パスワードが変更されたサーバーを再起動します。 この例では、Server1 です。