現在オフラインです。再接続するためにインターネットの接続を待っています

セキュア チャンネルが機能しないと NetLogon サービスが失敗する

この記事は、以前は次の ID で公開されていました: JP150518
現象
バックアップ ドメイン コントローラ (BDC) で、NetLogon エラー 3210 または 5721 が発生し、NetLogon サービスが起動に失敗します。このとき、プライマリ ドメイン コントローラ (PDC) のシステム イベント ログには NetLogon サービスによってエラー 5722 が記録されます。または、同時に、BDC では NetLogon サービスを開始できなかったため、サービス コントロール マネージャによってエラー 7023 が記録されます。

各 BDC には、PDC との専用の通信チャンネル (セキュア チャンネル) があります。BDC および PDC の NetLogon サービスは、このセキュア チャンネルを通信のために使用します。

以下に説明する手順に従うと、サーバー マネージャで多くの操作を実行する代わりに、1 行のコマンド ラインで BDC のセキュア チャンネルをリセットすることができます。この方法では、Windows NT 4.0 リソース キット サプリメント 2 で提供される NETDOM ユーティリティが必要です。
原因
この資料では、次のような構成を想定しています。

   ドメイン = DOMAIN   PDC     = DOMAINPDC   BDC     = DOMAINBDC				


BDC がドメインに参加する場合、コンピュータ アカウントが作成されます (コンピュータ アカウントはサーバー マネージャで確認できます)。コンピュータ アカウントにはデフォルトのパスワードが与えられ、BDC は、そのパスワードを LSA シークレット ストレージ $machine.acc に保存します。このパスワードは 7 日ごとに変更されます。

各 BDC にはこのような LSA シークレットが保持されており、NetLogon サービスはそれを使用してセキュア チャンネルを確立します。コンピュータ アカウントのパスワードと LSA シークレットが同期されていない場合、BDC では NetLogon サービスを開始することができず、次のエラー メッセージが生成されます。
NETLOGON イベント 3210

ドメイン DOMAIN の Windows NT ドメイン コントローラ \\DOMAINPDC で認証に失敗しました。

コンピュータ アカウントが削除されていると、BDC の NetLogon サービスにより次のいずれかのエラー メッセージがログに記録されます。
NETLOGON イベント 5721

Windows NT ドメイン コントローラ \\DOMAINPDC (ドメイン DOMAIN) へのセッション セットアップに失敗しました。これは Windows NT ドメイン コントローラにコンピュータ DOMAINBDC のアカウントがないためです。

または
NETLOGON イベント 5723

コンピュータ DOMAINBDC からのセッション設定は、このコンピュータのセキュリティ データベースに信頼関係のあるアカウントがないため失敗しました。セキュリティ データベースで参照されたアカウントの名前は DOMAINBDC$ です。

同様に、パスワードが同期されていない場合には、PDC の NetLogon サービスにより次のエラー メッセージがログに記録されます。
NETLOGON イベント 5722

コンピュータ DOMAINBDC からのセッション設定を認証できませんでした。セキュリティ データベースで参照されたアカウントの名前は DOMAINBDC$ です。次のエラーが発生しました。

アクセスが拒否されました。


いずれの場合も、イベント データにはエラーが含まれます。たとえば、エラー 0xC0000022 はコンピュータ アカウントのパスワードが無効であることを示し、エラー 0xC000018B はコンピュータ アカウントが削除されていることを示します。



セキュア チャンネルの詳細については、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。

131366 アクセス拒否によるイベント エラー 5712

142869ドメイン全体で同期を取るとイベント ID 3210 および 5722 が出力される

149664 ドメインの Netlogon 同期の確認

158148 ドメイン セキュア チャンネル ユーティリティ -- Nltest.exe

160324 コンピュータ アカウントを削除した後のイベント ID 5721

解決方法
警告 : この資料に記載されている解決方法は、大規模なインストール環境での広範囲なテストは行われていません。ここで推奨されているとおりにドメインを変更しても、すべての環境やすべての構成において、この資料に記載されている目的を達成できるとは限りません。

NETDOM コマンド ライン ユーティリティを使用すると、BDC のセキュア チャンネルをリセットできます。セキュア チャンネルの問題が原因で BDC の NetLogon サービスを開始できない場合、このツールが非常に役立ちます。

BDC のセキュア チャンネルをリセットするには、次のコマンドを実行します。

   NETDOM BDC mybdc /RESET				


上記のコマンドは、ユーザーが Domain Admins グループのメンバとしてログオンしていれば、PDC、BDC、またはドメインの任意のメンバから実行できます。出力は次のようになります。

   NetDom 1.2 @1997.   Querying domain information on computer \\MYBDC ...   The computer \\MYBDC is a domain controller of THEDOMAIN.   Searching PDC for domain THEDOMAIN ...   Found PDC \\THEPDC   Verifying secure channel on \\MYBDC ...   Verifying the computer account on the PDC \\THEPDC ...   The computer account for \\MYBDC doesn't exist or has an invalid   password.   Resetting secure channel ...   Changing computer account on PDC \\THEPDC ...   Stopping service NETLOGON on \\MYBDC .... stopped.   Starting service NETLOGON on \\MYBDC .... started.   The BDC \\MYBDC secure channel was reset successfully.   Logoff/Logon \\MYBDC to take modifications into effect.				


上記のコマンドは、必要な場合にのみ BDC のセキュア チャンネルをリセットします。BDC のセキュア チャンネルのパスワードが有効であれば、次のようなメッセージが出力されます。

   NetDom 1.2 @1997.   Querying domain information on computer \\MYBDC ...   The computer \\MYBDC is a domain controller of THEDOMAIN.   Searching PDC for domain THEDOMAIN ...   Found PDC \\THEPDC   Verifying secure channel on \\MYBDC ...   Verifying the computer account on the PDC \\THEPDC ...   Secure channel checked successfully.				
4.00 prodnt ntfaqdom
プロパティ

文書番号:150518 - 最終更新日: 05/21/2007 01:59:08 - リビジョン: 2.1

  • Microsoft Windows NT Server 4.0 Standard Edition
  • kbnetwork KB150518
フィードバック