次の方法で共有

ドメイン コントローラーにイベント ID 5722 が記録されている

この記事では、ドメイン コントローラーのシステム ログにイベント 5722 が表示される問題を診断して解決する方法について説明します。

適用対象: Windows 2000
元の KB 番号: 810977

Note

この記事は Windows 2000 に適用されます。 Windows 2000 のサポートは、2010 年 7 月 13 日に終了します。 詳しくは、「マイクロソフト サポート ライフサイクル」を参照してください。

まとめ

イベント ビューアーを使用して Windows ドメイン コントローラーのシステム ログを表示すると、イベント 5722 がログに記録されることがあります。 この問題は、次の 2 つのシナリオのいずれかで発生する可能性があります。

  • コンピューターがドメイン コントローラーを使用してコンピューター アカウントのパスワードを更新する場合
  • コンピューターが既に存在する名前のドメインに参加している場合

この記事では、2 つのシナリオを区別する方法と、問題を解決する方法について説明します。

現象

Microsoft Windows ドメイン コントローラーでは、次のイベントがシステム ログに記録されます。

イベントの種類: エラー
イベント ソース: NETLOGON
イベント カテゴリ: なし
イベント ID: 5722
日付: 日付
時間: Time
ユーザー: N/A
コンピューター: ComputerName
説明: コンピューター ComputerName からのセッションセットアップが認証に失敗しました。 セキュリティ データベースで参照されるアカウントの名前は AccountName $です。
次のエラーが発生しました。
アクセスが拒否されました。

原因

Windows 2000 以降の Microsoft Windows ドメインでは、個別の通信チャネルを使用すると、ドメイン コントローラーとメンバー サーバーまたはワークステーション間の通信パスをより安全に提供できます。 このチャネルは、 安全なチャネルと呼ばれます。 コンピューターをドメインに参加させると、コンピューター アカウントが作成され、コンピューターとドメインの間でパスワードが共有されます。 既定では、このパスワードは 30 日ごとに変更されます。 セキュリティで保護されたチャネルのパスワードは、プライマリ ドメイン コントローラー (PDC) 上のコンピューター アカウントと共に格納されます。 パスワードはすべてのレプリカ ドメイン コントローラーにレプリケートされます。

イベント 5722 は、次のシナリオでログに記録されます。

  • コンピューターがドメイン コントローラーでコンピューター アカウントのパスワードを更新すると、イベントは認証ドメイン コントローラーのシステム ログに記録されます。

    このシナリオでは、認証ドメイン コントローラーを使用するコンピューターのセキュリティで保護されたチャネルは引き続き有効です。

  • 別のコンピューターで既に使用されている名前を使用してコンピューターをドメインに参加させる場合、または既存のコンピューター アカウントがリセットされたとき。 既存のコンピューター アカウントは、Active Directory ユーザーとコンピューターを使用するか、Netdom.exe ユーティリティを使用してリセットできます。

    このシナリオでは、コンピューターのアカウント パスワードがドメイン コントローラーのパスワードと一致せず、元のコンピューターからドメイン コントローラーにセキュリティで保護されたチャネルを設定することはできません。

解決方法

警告

ADSI 編集スナップイン、100%300%、または他の LDAP バージョン 3 クライアントを使用し、Active Directory オブジェクトの属性を誤って変更すると、重大な問題が発生する可能性があります。 これらの問題により、Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server、Microsoft Exchange Server 2003、または Windows と Exchange の両方を再インストールすることが必要になる場合があります。 Active Directory オブジェクト属性を誤って変更した場合に発生する問題を解決できることを Microsoft は保証できません。 これらの属性は、ご自身の責任で変更してください。

この問題を解決するには、まず、問題の原因となるシナリオを特定します。 以下の手順に従います。

  1. イベントがシステム ログに記録された日付と時刻をメモします。

  2. Startをクリックし、Programs をポイントし、Resource Kit をポイントして、[ツール管理コンソール] をクリック

  3. コンソール ツリーで、 ツール A から Z をクリックします。

  4. 詳細ウィンドウで、 ADSI エディターをクリックします。

    Note

    ADSI 編集は、Windows サポート ツールに含まれています。 Windows サポート ツールは、Windows 2000 Server CD-ROM の Support\Tools フォルダーからインストールできます。

    Windows Server® 2003 または Windows XP オペレーティング システムを実行しているコンピューターに ADSI Edit をインストールするには、Windows® Server 2003 製品 CD から Windows Server 2003 サポート ツールをインストールします。 製品 CD から Windows サポート ツールをインストールする方法の詳細については、「 Windows サポート ツールのインストールを参照してください。

    Windows Server 2008 または Windows Server 2008 R2 を実行しているサーバーでは、サーバーをドメイン コントローラーにするために Active Directory ドメイン Services (AD DS) の役割をインストールすると、ADSI Edit がインストールされます。 Windows Server 2008 リモート サーバー管理ツール (RSAT) をドメイン メンバー サーバーまたはスタンドアロン サーバーにインストールすることもできます。 具体的な手順については、「 リモート サーバー管理ツール パックのインストールまたは削除を参照してください。

    Windows Vista® Service Pack 1 (SP1) または Windows 7 を実行しているコンピューターに ADSI Edit をインストールするには、RSAT をインストールする必要があります。

  5. ADSI Edit で、問題の原因となっているコンピューターを見つけて右クリックします。

  6. [プロパティ] をクリックします。

  7. 表示するプロパティを選択で、[Both] をクリックします。

  8. 表示するプロパティの選択PwdLastSetクリック

    ntte値が UI で読み取り可能な日付とタイムスタンプに変換されない場合は、次のコマンドを実行するか、別の方法の手順 9 に進みます。

    w32tm /ntte pwdlastsetvalue

  9. Value(s)ボックスに表示される値をクリップボードにコピーします。

  10. Start をクリックし、Programs をポイントし、Accessories をポイントして、[Calculator] をクリックします。

  11. [ View メニューの Scientific をクリックします。

  12. [ Dec をクリックして、番号付けシステムを 10 進数に設定します。

  13. クリップボードの値を電卓に貼り付けます。

  14. 値を 10 進数から 16 進数の番号付けシステムに変更するには、[ Hex をクリックします。

  15. [編集] メニューの [コピー]をクリックします。

  16. クリップボードの 16 進数をメモ帳のファイルに貼り付けます。

  17. 16 進文字列の右端の文字から 8 文字をカウントし、SPACE キーを押します。

    Note

    この操作により、16 進文字列が 2 つの 16 進文字列に分割されます。

  18. 左側の 16 進文字列に 7 文字しかない場合は、文字列の先頭に 0 を追加します。

  19. コマンド プロンプトで、次のように入力します。

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString

    次のような出力が表示されます。

     C:\>nltest /time:a25cc370 01c294bc  
 a25cc370 01c294bc = 11/25/2002 13:55:41  
 The command completed successfully.

  20. デコードされた日付と時刻をメモします。

  21. 手順 1 で示した日付と時刻と、手順 20 で記載したデコードされた日時が一致するかどうかを確認します。

  22. イベント 5722 がログに記録され、デコードされた日時が一致する場合は、コマンド プロンプトで次のコマンドを入力して、問題の原因となっているコンピューターにセキュリティで保護されたチャネルがドメイン コントローラーで確立されているかどうかを確認します。

    Nltest /server: **ComputerName** /sc_query: **DomainName**

    問題のあるコンピューターにドメイン コントローラーで確立された有効なセキュリティで保護されたチャネルがある場合は、次のような出力を受け取ります。

    
 C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
HAS_IP HAS_TIMESERV  
Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.

    問題のあるコンピューターにドメイン コントローラーで確立された有効なセキュリティで保護されたチャネルがない場合は、次のような出力を受け取ります。

    
 C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  
Trusted DC Name  
Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.

イベント 5722 の日時とデコードされた日時が一致しない場合、問題のあるコンピューターのアカウント パスワードがドメイン コントローラー上のパスワードと一致しない可能性があります。 この問題は、次のいずれかの状況で発生する可能性があります。

  • 管理者は、Active Directory ユーザーとコンピューターまたはNetdom.exeなどの別のツールを使用して、コンピューター アカウントをリセットします。
  • ドメインに既に存在する名前を使用して、新しいコンピューターがドメインに参加します。

Note

ドメイン コントローラーに対して Netlogon サービスのログ記録が有効になっている場合は、次のようなNetlogon.logエントリを確認して、このシナリオを確認します。

05/06 13:35:25 [MISC] NlMainLoop: 信頼アカウントが追加 (または変更) されたという通知 TRUSTING_DOMAIN$ 0x#### 4

コンピューターが独自のコンピューター アカウントのパスワードを更新した場合、このメッセージはログに記録されません。

重複するコンピューター名に関連する問題を解決するには、元のコンピューターをドメインに再度参加させます。

次の両方の条件に該当する場合は、イベント 5722 を無視できます。

  • イベント 5722 の日時とデコードされた日時が一致する場合。
  • 問題のあるコンピューターとドメイン コントローラーの間に有効なセキュリティで保護されたチャネルが確立されます。

Note

これらの条件が両方とも当てはまる場合、コンピューター アカウントの更新プロセス中にコンピューターがドメイン コントローラーで認証を試みると、イベント 5722 がドメイン コントローラーに記録されます。

管理者は、Ldp.exeを使用して、ドメイン内の任意のコンピューターから Active Directory 情報を照会することもできます。 Windows XP Service Pack 2 サポート ツールに含まれるLdp.exeのバージョンを使用して、PwdLastSet 値をデコードすることもできます。

関連情報

デバッグ ログの有効化の詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

net Logon サービスのデバッグ ログを有効にする109626