次の方法で共有

Netdom.exeを使用して Windows Server ドメイン コントローラーのマシン アカウント パスワードをリセットする

  • [アーティクル]

この記事では、Netdom.exeを使用して Windows Server のドメイン コントローラーのマシン アカウント パスワードをリセットする方法について説明します。

元の KB 番号: 325850

まとめ

各 Windows ベースのコンピューターは、アカウントに使用されている現在のパスワードと以前のパスワードを含むコンピューター アカウントのパスワード履歴を保持します。 2 台のコンピューターが相互に認証しようとして、現在のパスワードの変更がまだ受信されていない場合、Windows は以前のパスワードに依存します。 一連のパスワード変更が 2 つの変更を超えると、関係するコンピューターが通信できず、エラー メッセージが表示される可能性があります。 たとえば、Active Directory レプリケーションが発生すると、 Access Denied エラー メッセージが表示されます。

この動作は、同じドメインのドメイン コントローラー間のレプリケーションにも適用されます。 レプリケートされていないドメイン コントローラーが 2 つの異なるドメインに存在する場合は、信頼関係をより詳しく確認してください。

Active Directory ユーザーとコンピューター スナップインを使用してコンピューター アカウントのパスワードを変更することはできません。 ただし、Netdom.exe ツールを使用してパスワードをリセットできます。 Netdom.exe ツールは Windows Server 2003 の Windows サポート ツールに含まれており、新しいオペレーティング システムバージョンに統合されています。

Netdom.exe ツールは、コンピューターのアカウント パスワードをローカルにリセットします ( ローカル シークレットと呼ばれます)。 この変更は、同じドメイン内にある Windows ドメイン コントローラー上のコンピューターのコンピューター アカウント オブジェクトに書き込まれます。 両方の場所に新しいパスワードを同時に書き込むと、操作に関係する少なくとも 2 台のコンピューターが同期されます。 また、Active Directory レプリケーションを開始すると、他のドメイン コントローラーが変更を受け取ります。

次の手順では、netdom コマンドを使用してマシン アカウントのパスワードをリセットする方法について説明します。 この手順は、ドメイン コントローラーで最もよく使用されますが、Windows コンピューター アカウントにも適用されます。

パスワードを変更する Windows ベースのコンピューターからツールをローカルで実行する必要があります。 さらに、Netdom.exeを実行するには、Active Directory のローカルおよびコンピューター アカウントのオブジェクトに対する管理アクセス許可が必要です。

Netdom.exeを使用してマシン アカウントのパスワードをリセットする

  1. パスワードをリセットするドメイン コントローラーに Windows Server 2003 サポート ツールをインストールします。 これらのツールは、Windows Server 2003 CD-ROM の Support\Tools フォルダーにあります。 これらのツールをインストールするには、 Support\Tools フォルダー内のSuptools.msi ファイルを右クリックし、 Install を選択します。

    Note

    この手順は、Windows Server 2008、Windows Server 2008 R2、またはそれ以降のバージョンでは必要ありません。これらの Windows エディションにはNetdom.exe ツールが含まれているためです。

  2. Windows ドメイン コントローラーのパスワードをリセットする場合は、Kerberos キー配布センター サービスを停止し、そのスタートアップの種類を Manual に設定する必要があります。

    Note

    • 再起動し、パスワードが正常にリセットされたことを確認した後、Kerberos キー配布センター (KDC) サービスを再起動し、スタートアップの種類を [自動] に戻すことができます。 これにより、コンピューター アカウントのパスワードが正しくないドメイン コントローラーが、Kerberos チケットの別のドメイン コントローラーに強制的に接続されます。
    • 1 つを除くすべてのドメイン コントローラーで Kerberos キー配布センター サービスを無効にする必要がある場合があります。 可能な場合は、問題が発生していない限り、グローバル カタログを持つドメイン コントローラーを無効にしないでください。

  3. エラーが発生したドメイン コントローラー上の Kerberos チケット キャッシュを削除します。 これを行うには、コンピューターを再起動するか、KLIST、Kerbtest、または KerbTray ツールを使用します。 KLIST は Windows Server 2008 以降のバージョンに含まれており、KLIST は Windows Server 2003 リソース キット ツールで無料でダウンロードできます。

  4. コマンド プロンプトに次のコマンドを入力します。

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    このコマンドの説明は次のとおりです。

    • /s:<server> は、マシン アカウントのパスワードの設定に使用するドメイン コントローラーの名前です。 KDC が実行されているサーバーです。

    • /ud:<domain\User> は、 /s パラメーターで指定したドメインとの接続を確立するユーザー アカウントです。 ドメイン\ユーザー形式である必要があります。 このパラメーターを省略すると、現在のユーザー アカウントが使用されます。

    • /pd:* は、 /ud パラメーターで指定されたユーザー アカウントのパスワードを指定します。 パスワードの入力を求めるプロンプトを表示するには、アスタリスク (*) を使用します。 たとえば、ローカル ドメイン コントローラー コンピューターは Server1 で、ピア Windows ドメイン コントローラーは Server2 です。 次のパラメーターを使用して Server1 でNetdom.exeを実行すると、パスワードはローカルで変更され、Server2 で同時に書き込まれます。 レプリケーションによって、変更が他のドメイン コントローラーに反映されます。

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. パスワードが変更されたサーバーを再起動します。 この例では、Server1 です。