次の手順を使って、ドメインの krbtgt パスワードをリセットします。 次の手順は、書き込み可能な DC には適用されますが、読み取り専用ドメイン コントローラー (RODC) には適用されません。
重要
フォレストの復旧中に RODC を復旧する予定の場合は、RODC の krbtgt アカウントを削除しないでください。 RODC の krbtgt アカウントは、krbtgt_number という形式で表示されます。
カスタマイズされたパスワード フィルター (passfilt.dll など) を DC 上で使っている場合、krbtgt パスワードをリセットしようとするとエラーが発生することがあります。 回避策などの詳細については、Microsoft サポート技術情報の記事 2549833 を参照してください。
krbtgt パスワードのリセット
- [スタート] を選択し、[コントロール パネル]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] を選択します。
- [ビュー] を選択してから [高度な機能] を選択します。
- コンソール ツリーのドメイン コンテナーをダブルクリックし、[ユーザー] を選択します。
- 詳細ウィンドウの krbtgt ユーザー アカウントを右クリックし、[パスワードのリセット] を選択します。
- [新しいパスワード] に新しいパスワードを入力し、[パスワードの確認入力] にそのパスワードをもう一度入力して [OK] を選択します。 指定したパスワードは、指定したパスワードとは無関係に強力なパスワードが自動的に生成されるため、重要ではありません。
重要
この操作は 2 回実行する必要があります。 パスワードのリセットの間に 10 時間待機する必要があります。 10 時間は 、ユーザー チケット の既定の最大有効期間と サービス チケット ポリシー設定の最大有効期間 です。そのため、最大有効期間が変更される場合は、リセット間の最小待機時間が構成された値を超える必要があります。
注意
krbtgt アカウントのパスワード履歴値は 2 です。つまり、最新の 2 つのパスワードが含まれます。 パスワードを 2 回リセットすると、履歴から古いパスワードを効果的にクリアできるため、古いパスワードを使用して別の DC がこの DC でレプリケートされることはありません。
次のステップ
- AD フォレストの回復 - 前提条件
- AD フォレストの回復 - カスタム フォレスト回復計画を作成する
- AD フォレストの回復 - フォレストを復元する手順
- AD フォレストの回復 - 問題の特定
- AD フォレストの回復 - 回復方法を決定する
- AD フォレストの回復 - 最初の回復の実行
- AD フォレストの回復 - 手順
- AD フォレストの回復 - よく寄せられる質問 (FAQ)
- AD フォレストの回復 - マルチドメイン フォレストで 1 つのドメインを回復する
- AD フォレストの回復 - 残りの DC を再デプロイする
- AD フォレストの回復 - 仮想化
- AD フォレストの回復 - クリーンアップ