Netdom.exeを使用して Windows Server ドメイン コントローラーのコンピューター アカウントのパスワードをリセットする
この記事では、Netdom.exeを使用して Windows Server のドメイン コントローラーのコンピューター アカウント パスワードをリセットする方法について説明します。
適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 325850
概要
各 Windows ベースのコンピューターは、アカウントに使用されている現在のパスワードと以前のパスワードを含むコンピューター アカウントのパスワード履歴を保持します。 2 台のコンピューターが互いに認証を試み、現在のパスワードの変更がまだ受信されていない場合、Windows は前のパスワードに依存します。 一連のパスワード変更が 2 つの変更を超えると、関係するコンピューターが通信できず、エラー メッセージが表示される場合があります。 たとえば、Active Directory レプリケーションが発生すると 、アクセス拒否 エラー メッセージが表示されます。
この動作は、同じドメインのドメイン コントローラー間のレプリケーションにも適用されます。 レプリケートしていないドメイン コントローラーが 2 つの異なるドメインに存在する場合は、信頼関係をより詳しく調べてください。
Active Directory ユーザーとコンピューター スナップインを使用してコンピューター アカウントのパスワードを変更することはできません。 ただし、Netdom.exe ツールを使用してパスワードをリセットできます。 Netdom.exe ツールは、Windows Server 2003 用 Windows サポート ツール、Windows Server 2008 R2、および Windows Server 2008 に含まれています。
Netdom.exe ツールは、コンピューター上のアカウント パスワードをローカルにリセットします ( ローカル シークレットと呼ばれます)。 この変更は、同じドメイン内にある Windows ドメイン コントローラー上のコンピューターのコンピューター アカウント オブジェクトに書き込まれます。 両方の場所に新しいパスワードを同時に書き込むと、操作に関連する少なくとも 2 台のコンピューターが同期されます。 また、Active Directory レプリケーションを開始すると、他のドメイン コントローラーが確実に変更を受け取ります。
次の手順では、netdom コマンドを使用してコンピューター アカウントのパスワードをリセットする方法について説明します。 この手順は、ドメイン コントローラーで最も頻繁に使用されますが、Windows コンピューター アカウントにも適用されます。
パスワードを変更する Windows ベースのコンピューターからローカルでツールを実行する必要があります。 さらに、Netdom.exeを実行するには、ローカルと Active Directory のコンピューター アカウントのオブジェクトに対する管理アクセス許可が必要です。
Netdom.exeを使用してコンピューター アカウントのパスワードをリセットする
パスワードをリセットするドメイン コントローラーに Windows Server 2003 サポート ツールをインストールします。 これらのツールは、Windows Server 2003 CD-ROM 上のフォルダーにあります
Support\Tools。 これらのツールをインストールするには、フォルダー内のSuptools.msi ファイルをSupport\Tools右クリックし、[ インストール] を選択します。注:
この手順は、Windows Server 2008、Windows Server 2008 R2、またはそれ以降のバージョンでは必要ありません。これは、Netdom.exe ツールがこれらの Windows エディションに含まれているためです。
Windows ドメイン コントローラーのパスワードをリセットする場合は、Kerberos Key Distribution Center サービスを停止し、スタートアップの種類を 手動に設定する必要があります。
注:
- 再起動してパスワードが正常にリセットされたことを確認したら、Kerberos Key Distribution Center (KDC) サービスを再起動し、スタートアップの種類を [自動] に戻すことができます。 これにより、正しくないコンピューター アカウント のパスワードを持つドメイン コントローラーが、Kerberos チケットの別のドメイン コントローラーに接続するように強制されます。
- Kerberos Key Distribution Center サービスを、1 つを除くすべてのドメイン コントローラーで無効にする必要がある場合があります。 可能であれば、問題が発生している場合を除き、グローバル カタログを持つドメイン コントローラーを無効にしないでください。
エラーが発生したドメイン コントローラー上の Kerberos チケット キャッシュを削除します。 これを行うには、コンピューターを再起動するか、KLIST、Kerbtest、または Kerbノリ ツールを使用します。 KLIST は、Windows Server 2008 および Windows Server 2008 R2 に含まれています。 Windows Server 2003 の場合、KLIST は Windows Server 2003 リソース キット ツールで無料でダウンロードできます。
コマンド プロンプトで、次のコマンドを入力します。
netdom resetpwd /s:<server> /ud:<domain\User> /pd:*このコマンドの説明は次のとおりです。
/s:<server>は、コンピューター アカウントのパスワードの設定に使用するドメイン コントローラーの名前です。 KDC が実行されているサーバーです。/ud:<domain\User>は、パラメーターで/s指定したドメインとの接続を行うユーザー アカウントです。 ドメイン\ユーザー形式である必要があります。 このパラメーターを省略すると、現在のユーザー アカウントが使用されます。/pd:*は、パラメーターで指定されたユーザー アカウントのパスワードを/ud指定します。 アスタリスク (*) を使用して、パスワードの入力を求めます。 たとえば、ローカル ドメイン コントローラー コンピューターは Server1 で、ピア Windows ドメイン コントローラーは Server2 です。 次のパラメーターを使用して Server1 でNetdom.exeを実行すると、パスワードはローカルで変更され、同時に Server2 に書き込まれます。 レプリケーションは、変更を他のドメイン コントローラーに伝達します。netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
パスワードが変更されたサーバーを再起動します。 この例では、Server1 です。