Netdom.exe を使用して Windows Server ドメイン コントローラの コンピュータ アカウント パスワードをリセットする方法

Windows Server 2019, all versionsWindows Server Standard 2016Windows Server 2012 R2 Standard

Microsoft Windows 2000 については、次の資料を参照してください。
260575

この資料の内容

概要


この資料では、Netdom.exe を使用して、Windows Server のドメイン コントローラのコンピュータ アカウント パスワードをリセットする方法について段階的に説明します。

各 Windows ベースのコンピューターは、アカウントに使用される現在のパスワードと以前のパスワードを含むコンピューター アカウント パスワード履歴を維持します。 2 台のコンピューターが互いに認証を試み、現在のパスワードに対する変更をまだ受信していない場合、Windows は前のパスワードを使用します。 パスワード変更において、シーケンスに 2 つを超える変更を加えると、コンピューターが通信できなくなり、エラーメッセージが表示されることがあります。 たとえば、Active Directory のレプリケーションが発生すると「アクセス拒否」エラーメッセージが表示される場合があります。

この動作は、同じドメインのドメインコントローラ間のレプリケーションにも適用されます。 レプリケートされていないドメイン コントローラーが 2 つの異なるドメインに存在する場合は、信頼関係を詳細に確認してください。

コンピュータ アカウント パスワードを Active Directory ユーザーとコンピュータ スナップインを使用して変更することはできませんが、Netdom.exe ツールを使用してパスワードをリセットできます。 Netdom.exe ツールは、Windows Server 2003 の Windows Support Tool に含まれています。 Netdom.exe ツールは、Windows Server 2008 R 2 および Windows Server 2008 にも含まれています。

Netdom.exe ツールは、コンピューターのアカウント パスワードをローカルにリセットし (通称「ローカル シークレット」)、同じドメインにある Windows ドメイン コントローラ上のコンピューターのコンピューター アカウント オブジェクトにこの変更を書き込みます。 新しいパスワードを両方の場所に同時に書き込むと、操作に関係する 2 台以上のコンピュータが同期され、他のドメインコントローラーが変更を受信するように Active Directory のレプリケーションが開始されます。

次の手順では、 netdom コマンドを使用してコンピューター アカウント パスワードをリセットする方法について説明します。 この手順は、ドメイン コントローラで最も頻繁に使用されますが、Windows マシン アカウントにも適用されます。

パスワードを変更する Windows ベースのコンピューターから、このツールをローカルで実行する必要があります。 また、管理者権限をローカルに持っており、Active Directory 内のコンピューターアカウントのオブジェクトに対して、Netdom.exe を実行する必要があります。
 

Netdom.exe を使用してコンピュータ アカウントのパスワードをリセットする

  1. パスワードをリセットするドメイン コントローラに Windows Server 2003 サポート ツールをインストールします。 これらのツールは、Windows 2003 CD-ROM の Support\Tools フォルダーにあります。 これらのツールをインストールするには、Support\Tools フォルダの Suptools.msi ファイルを右クリックし、[インストール] をクリックします。
    Windows エディションに Netdom.exe ツールが含まれているため、この手順は Windows Server 2008 R2 および Windows Server 2008 では必要ありません。
  2. Windows ドメイン コントローラのパスワードをリセットする場合は、Kerberos Key Distribution Center サービスを停止し、スタートアップの種類を [手動] に設定する必要があります。

    注意事項
    • 再起動して、パスワードが正常にリセットされたことを確認したら、Kerberos Key Distribution Center (KDC) サービスを再起動し、スタートアップの種類を [自動] に戻します。 これにより、不適切なコンピューター アカウント パスワードがあるドメインコントローラーが、Kerberos チケットの別のドメインコントローラーに強制的に送信されます。
    • 1 つを除き、すべてのドメイン コントローラーで Kerberos Key Distribution Center サービスを無効にする必要がある場合があります。 できれば、問題が発生しない限り、グローバル カタログを含むドメイン コントローラーを無効にしないでください。
  3. エラーを受け取ったドメイン コントローラーで Kerberos チケット キャッシュを削除します。 これを行うには、コンピューターを再起動するか、KLIST、Kerbtest、または KerbTray ツールを使用します。 KLIST は、Windows Server 2008 R2 および Windows Server 2008 に含まれます。 Windows Server 2003 の場合、Windows Server 2003 Resource Kit ツールでは、無償のダウンロードが利用できます。 このツールを入手するには、次のマイクロソフト Web サイトにアクセスしてください。
  4. コマンド プロンプトで、次のように入力します。
    netdom resetpwd /s:サーバー /ud:ドメイン\ユーザー /pd:*
    このコマンドの説明
    • /s:サーバーは、コンピューター アカウント パスワードを設定するために使用するドメイン コントローラの名前です。 これは、KDC が実行されているサーバーです。
    • /ud:ドメイン\ユーザーは、 /s パラメータで指定したドメインとの接続を確立するユーザーアカウントです。 これは、ドメイン\ユーザー形式である必要があります。 このパラメーターを省略すると、現在のユーザーアカウントが使用されます。
    • /pd:* は、/ud パラメータで指定したユーザー アカウントのパスワードを指定します。 アスタリスクを使用して (*)、パスワードの入力を求められます。
    例えば、ローカル ドメイン コントローラー コンピューターは、Server1 で、ピア Windows ドメイン コントローラは Server2 です。 Server1 で次のパラメータを使用して Netdom.exe を実行すると、パスワードがローカルで変更されると同時に Server2 にも書き込まれ、レプリケーションによって変更が他のドメイン コントローラに伝達されます。
    netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
  5. パスワードを変更したサーバーを再起動します。 この例では、これは Server1 です。