Active Directory フォレストの回復 - krbtgt パスワードのリセット

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

次の手順を使って、ドメインの krbtgt パスワードをリセットします。 次の手順は、書き込み可能な DC に適用されますが、読み取り専用ドメイン コントローラー (RODC) には適用されません。

重要

フォレストの回復中に RODC をオンラインで回復する予定の場合は、RODC の krbtgt アカウントを削除しないでください。 RODC の krbtgt アカウントは、krbtgt_number という形式で表示されます。

カスタマイズされたパスワード フィルター (passfilt.dll など) を DC 上で使っている場合、krbtgt パスワードをリセットしようとするとエラーが発生することがあります。 回避策などの詳細については、Microsoft サポート技術情報の記事 2549833 を参照してください。

krbtgt パスワードのリセット

1. [スタート] を選択し、[コントロール パネル]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] を選択します。
2. [ビュー] を選択してから [高度な機能] を選択します。
3. コンソール ツリーのドメイン コンテナーをダブルクリックし、[ユーザー] を選択します。
4. 詳細ウィンドウの krbtgt ユーザー アカウントを右クリックし、[パスワードのリセット] を選択します。
5. [新しいパスワード] に新しいパスワードを入力し、[パスワードの確認入力] にそのパスワードをもう一度入力して [OK] を選択します。 指定するパスワードとは関係なく、強力なパスワードがシステムによって自動生成されるので、指定するパスワードは重要ではありません。

重要

この操作は 2 回実行する必要があります。 キー配布センター サービス アカウントのパスワードを 2 回リセットする場合、リセット間隔として 10 時間の待機時間が必要です。 10 時間は既定の [チケットの最長有効期間] と [サービス チケットの最長有効期間] のポリシー構成です。そのため、最長有効期間を変更した場合は、リセット間隔の最短待機時間を構成した値よりも長くする必要があります。

注意

krbtgt アカウントのパスワード履歴値は 2 です。つまり、最新の 2 つのパスワードが含まれています。 パスワードを 2 回リセットすることで、実質的に履歴から古いパスワードをクリアできます。そのため、別の DC が古いパスワードを使ってこの DC とレプリケートすることはできなくなります。

次のステップ

• AD フォレストの回復 - 前提条件
• AD フォレストの回復 - カスタム フォレスト回復計画を作成する
• AD フォレストの回復 - フォレストを復元する手順
• AD フォレストの回復 - 問題の特定
• AD フォレストの回復 - 回復方法を決定する
• AD フォレストの回復 - 最初の回復の実行
• AD フォレストの回復 - 手順
• AD フォレストの回復 - よく寄せられる質問 (FAQ)
• AD フォレストの回復 - マルチドメイン フォレストで 1 つのドメインを回復する
• AD フォレストの回復 - 残りの DC を再デプロイする
• AD フォレストの回復 - 仮想化
• AD フォレストの回復 - クリーンアップ