次の手順を使って、ドメインの krbtgt パスワードをリセットします。 次の手順は、書き込み可能な DC には適用されますが、読み取り専用ドメイン コントローラー (RODC) には適用されません。
Important
フォレストの復旧中に RODC を復旧する予定の場合は、RODC の krbtgt アカウントを削除しないでください。 The krbtgt account for an RODC is listed in the format krbtgt_number.
カスタマイズされたパスワード フィルター (passfilt.dll など) を DC 上で使っている場合、krbtgt パスワードをリセットしようとするとエラーが発生することがあります。 For more information, including a workaround, see Microsoft Knowledge Base article 2549833.
krbtgt パスワードのリセット
- Select Start, point to Control Panel, point to Administrative Tools, and then select Active Directory Users and Computers.
- Select View, and then select Advanced Features.
- In the console tree, double-click the domain container, and then select Users.
- In the details pane, right-click the krbtgt user account, and then select Reset Password.
- In New password, type a new password, retype the password in Confirm password, and then select OK. 指定したパスワードは、指定したパスワードとは無関係に強力なパスワードが自動的に生成されるため、重要ではありません。
Important
この操作は 2 回実行する必要があります。 パスワードのリセットの間に 10 時間待機する必要があります。 10 時間は 、ユーザー チケット の既定の最大有効期間と サービス チケット ポリシー設定の最大有効期間 です。そのため、最大有効期間が変更される場合は、リセット間の最小待機時間が構成された値を超える必要があります。
Note
krbtgt アカウントのパスワード履歴値は 2 です。つまり、最新の 2 つのパスワードが含まれます。 パスワードを 2 回リセットすると、履歴から古いパスワードを効果的にクリアできるため、古いパスワードを使用して別の DC がこの DC でレプリケートされることはありません。
Next steps
- AD フォレストの回復 - 前提条件
- AD フォレストの回復 - カスタム フォレスト回復計画を作成する
- AD フォレストの回復 - フォレストを復元する手順
- AD フォレストの回復 - 問題の特定
- AD フォレストの回復 - 回復方法を決定する
- AD フォレストの回復 - 最初の回復の実行
- AD フォレストの回復 - 手順
- AD フォレストの回復 - よく寄せられる質問 (FAQ)
- AD フォレストの回復 - マルチドメイン フォレストで 1 つのドメインを回復する
- AD フォレストの回復 - 残りの DC を再デプロイする
- AD フォレストの回復 - 仮想化
- AD フォレストの回復 - クリーンアップ