イベント ID 5722 がドメイン コントローラーに記録される

  • [アーティクル]

この記事では、ドメイン コントローラーのシステム ログにイベント 5722 が表示される問題を診断して解決する方法について説明します。

適用対象: Windows 2000
元の KB 番号: 810977

注:

この記事は Windows 2000 に適用されます。 Windows 2000 のサポートは、2010 年 7 月 13 日に終了します。 詳細については、「Microsoft サポート ライフサイクル ポリシー」を参照してください。

概要

イベント ビューアーを使用して Windows ドメイン コントローラーのシステム ログを表示すると、イベント 5722 がログに記録されることがあります。 この問題は、次の 2 つのシナリオのいずれかで発生する可能性があります。

  • コンピューターがドメイン コントローラーを使用してコンピューター アカウントのパスワードを更新する場合
  • コンピューターが既に存在する名前のドメインに参加している場合

この記事では、2 つのシナリオを区別する方法と、問題を解決する方法について説明します。

現象

Microsoft Windows ドメイン コントローラーでは、次のイベントがシステム ログに記録されます。

イベントの種類: エラー
イベント ソース: NETLOGON
イベント カテゴリ: なし
イベント ID: 5722
日付: 日付
時間: 時間
ユーザー: N/A
コンピューター: ComputerName
説明: コンピューター ComputerName からのセッションセットアップが認証に失敗しました。 セキュリティ データベースで参照されるアカウントの名前は AccountName $です。
次のエラーが発生しました。
アクセスが拒否されました。

原因

Windows 2000 以降の Microsoft Windows ドメインでは、個別の通信チャネルを使用すると、ドメイン コントローラーとメンバー サーバーまたはワークステーション間のより安全な通信パスを提供できます。 このチャネルは 、セキュリティで保護されたチャネルと呼ばれます。 コンピューターをドメインに参加させると、コンピューター アカウントが作成され、コンピューターとドメインの間でパスワードが共有されます。 既定では、このパスワードは 30 日ごとに変更されます。 セキュリティで保護されたチャネルのパスワードは、プライマリ ドメイン コントローラー (PDC) のコンピューター アカウントと共に格納されます。 パスワードは、すべてのレプリカ ドメイン コントローラーにレプリケートされます。

イベント 5722 は、次のシナリオでログに記録されます。

  • コンピューターがドメイン コントローラーを使用してコンピューター アカウントのパスワードを更新すると、認証ドメイン コントローラーのシステム ログにイベントが記録されます。

    このシナリオでは、認証ドメイン コントローラーを持つコンピューターのセキュリティで保護されたチャネルは引き続き有効です。

  • 別のコンピューターで既に使用されている名前を使用してコンピューターをドメインに参加させる場合、または既存のコンピューター アカウントがリセットされたとき。 既存のコンピューター アカウントは、Active Directory ユーザーとコンピューターを使用するか、Netdom.exe ユーティリティを使用してリセットできます。

    このシナリオでは、コンピューターのアカウント パスワードがドメイン コントローラーのパスワードと一致せず、元のコンピューターからドメイン コントローラーにセキュリティで保護されたチャネルを設定することはできません。

解決方法

警告

ADSI Edit スナップイン、LDP ユーティリティ、またはその他の LDAP バージョン 3 クライアントを使用し、Active Directory オブジェクトの属性を誤って変更すると、重大な問題が発生する可能性があります。 これらの問題では、Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server、Microsoft Exchange Server 2003、または Windows と Exchange の両方を再インストールすることが必要になる場合があります。 Active Directory オブジェクト属性を誤って変更した場合に発生する問題を解決できることを Microsoft は保証できません。 これらの属性は、ご自身の責任で変更してください。

この問題を解決するには、まず、問題の原因となるシナリオを特定します。 以下の手順を辿ることができます:

  1. イベントがシステム ログに記録された日付と時刻を書き留めておきます。

  2. [ スタート] をクリックし、[ プログラム] をポイントし、[ リソース キット] をポイントして、[ ツール管理コンソール] をクリックします。

  3. コンソール ツリーで、[ ツール] A から [Z] をクリックします。

  4. 詳細ウィンドウで、[ADSI エディター] をクリックします。

    注:

    ADSI Edit は Windows サポート ツールに含まれています。 Windows サポート ツールは、Windows 2000 Server CD-ROM の Support\Tools フォルダーからインストールできます。

    Windows Server® 2003 または Windows® XP オペレーティング システムを実行しているコンピューターに ADSI Edit をインストールするには、Windows Server 2003 製品 CD から Windows Server 2003 サポート ツールをインストールします。 製品 CD から Windows サポート ツールをインストールする方法の詳細については、「 Windows サポート ツールのインストール」を参照してください。

    Windows Server 2008 または Windows Server 2008 R2 を実行しているサーバーでは、サーバーをドメイン コントローラーにするために Active Directory Domain Services (AD DS) ロールをインストールすると、ADSI Edit がインストールされます。 Windows Server 2008 のリモート サーバー管理ツール (RSAT) をドメイン メンバー サーバーまたはスタンドアロン サーバーにインストールすることもできます。 具体的な手順については、「 リモート サーバー管理ツール パックのインストールまたは削除」を参照してください。

    Windows Vista® と Service Pack 1 (SP1) または Windows 7 を実行しているコンピューターに ADSI Edit をインストールするには、RSAT をインストールする必要があります。

  5. ADSI Edit で、問題の原因となっているコンピューターを見つけて右クリックします。

  6. [プロパティ] をクリックします。

  7. [ 表示するプロパティの選択] で、[ 両方] をクリックします。

  8. [ 表示するプロパティの選択] で、[ PwdLastSet] をクリックします。

    ntte UI で値が読み取り可能な日付とタイムスタンプに変換されない場合は、次のコマンドを実行するか、別の方法の手順 9 に進みます。

    w32tm /ntte pwdlastsetvalue

  9. [値] ボックスに表示される をクリップボードにコピーします。

  10. [ スタート] をクリックし、[ プログラム] をポイントし、[ アクセサリ] をポイントして、[ 電卓] をクリックします。

  11. [ 表示 ] メニューの [ 科学] をクリックします。

  12. [ 12 月 ] をクリックして、番号付けシステムを 10 進数に設定します。

  13. クリップボードの値を電卓に貼り付けます。

  14. 値を 10 進数から 16 進数の 10 進数の番号付けシステムに変更するには、[ 16 進] をクリックします。

  15. [編集] メニューで [コピー] をクリックします。

  16. クリップボードの 16 進数をメモ帳のファイルに貼り付けます。

  17. 16 進文字列の右端の文字から 8 文字をカウントし、SPACE キーを押します。

    注:

    このアクションは、16 進文字列を 2 つの 16 進文字列に分割します。

  18. 左側の 16 進文字列に 7 文字のみが含まれている場合は、文字列の先頭に 0 を追加します。

  19. コマンド プロンプトで、「」と入力します。

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString

    次のような出力が表示されます。

     C:\>nltest /time:a25cc370 01c294bc  
 a25cc370 01c294bc = 11/25/2002 13:55:41  
 The command completed successfully.

  20. デコードされた日付と時刻をメモします。

  21. 手順 1 で示した日付と時刻と、手順 20 で確認したデコードされた日付と時刻が一致するかどうかを確認します。

  22. イベント 5722 がログに記録され、デコードされた日付と時刻が一致する場合は、コマンド プロンプトで次のコマンドを入力して、問題の原因となっているコンピューターにセキュリティで保護されたチャネルがドメイン コントローラーで確立されているかどうかをチェックします。

    Nltest /server: **ComputerName** /sc_query: **DomainName**

    問題のあるコンピューターに、ドメイン コントローラーで確立された有効なセキュリティで保護されたチャネルがある場合は、次のような出力を受け取ります。

    
 C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
HAS_IP HAS_TIMESERV  
Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.

    問題のあるコンピューターに、ドメイン コントローラーで確立された有効なセキュリティで保護されたチャネルがない場合は、次のような出力を受け取ります。

    
 C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  
Trusted DC Name  
Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.

イベント 5722 の日時とデコードされた日時が一致しない場合、問題のあるコンピューターのアカウント パスワードがドメイン コントローラー上のパスワードと一致しない可能性があります。 この問題は、次のいずれかの状況で発生する可能性があります。

  • 管理者は、Active Directory ユーザーとコンピューターまたは Netdom.exe などの別のツールを使用して、コンピューター アカウントをリセットします。
  • ドメインに既に存在する名前を使用して、新しいコンピューターがドメインに参加します。

注:

ドメイン コントローラーに対して Netlogon サービス のログ記録が有効になっている場合は、次のようなNetlogon.log エントリを確認して、このシナリオを確認します。

05/06 13:35:25 [MISC] NlMainLoop: 信頼アカウントが追加 (または変更) したことを通知TRUSTING_DOMAIN$ 0x#### 4

このメッセージは、コンピューターが独自のコンピューター アカウント のパスワードを更新した場合はログに記録されません。

重複するコンピューター名に関連する問題を解決するには、元のコンピューターをドメインに再参加します。

次の条件が両方とも当てはまる場合は、イベント 5722 を無視できます。

  • イベント 5722 の日時とデコードされた日時が一致する場合。
  • 問題のあるコンピューターとドメイン コントローラーの間に有効なセキュリティで保護されたチャネルが確立されます。

注:

これらの両方の条件が true の場合、コンピューター アカウントの更新プロセス中にコンピューターがドメイン コントローラーで認証を試みると、イベント 5722 がドメイン コントローラーに記録されます。

管理者は、Ldp.exe を使用して、ドメイン内の任意のコンピューターから Active Directory 情報を照会することもできます。 Windows XP Service Pack 2 サポート ツールに含まれる Ldp.exe のバージョンを使用して、PwdLastSet 値をデコードすることもできます。

関連情報

デバッグ ログを有効にする方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

Net Logon サービスのデバッグ ログを有効にする109626