Active Directory フォレストの回復 - 信頼の一方の側で信頼パスワードをリセットする

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 および 2012 R2、Windows Server 2008 および 2008 R2

フォレストの回復がセキュリティ侵害に関連している場合は、次の手順を使用して、信頼の一方の側で信頼パスワードをリセットします。 これには、子ドメインと親ドメイン間の暗黙的な信頼と、このドメイン (信頼する側のドメイン) と別のドメイン (信頼される側のドメイン) との間の明示的な信頼が含まれます。

入力方向の信頼とも呼ばれる、信頼する側のドメイン側 (このドメインが属する側) でのみパスワードをリセットします。 次に、出力方向の信頼とも呼ばれる、信頼されているドメイン側で同じパスワードを使用します。 他の (信頼されている) ドメインのそれぞれで最初の DC を復元するときに、出力方向の信頼のパスワードをリセットします。

信頼パスワードをリセットすると、DC がドメインの外部に存在する侵害された可能性のある DC を使用してレプリケートされなくなります。 各ドメインの最初の DC を復元するときに同じ信頼パスワードを設定することにより、この DC が復旧された各 DC と確実にレプリケートされるようになります。 AD DS のインストールによって回復されるドメイン内の後続の DC は、インストール プロセス中にこれらの新しいパスワードを自動的にレプリケートします。

信頼の一方の側で信頼パスワードをリセットする

1. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

   netdom experthelp trust
   

2. このコマンドによって提供される構文を使用して、NetDom ツールを使用して信頼パスワードをリセットします。 たとえば、フォレスト内に親と子の 2 つのドメインがあり、親ドメインの復元された DC でこのコマンドを実行している場合は、次のコマンド構文を使用します。

   netdom trust parent domain name /domain:child domain name /resetOneSide /passwordT:password /userO:administrator /passwordO:*
   

   子ドメインでこのコマンドを実行する場合は、次のコマンド構文を使用します。

   netdom trust child domain name /domain:parent domain name /resetOneSide /passwordT:password /userO:administrator /passwordO:*
   

   注意

   passwordT は、信頼の両側で同じ値にする必要があります。 このコマンドは、自動的にパスワードを 2 回リセットするため、(netdom resetpwd コマンドとは異なり) 1 回だけ実行します。

次のステップ

• AD フォレストの回復 - 前提条件
• AD フォレストの回復 - カスタム フォレスト回復計画を作成する
• AD フォレストの回復 - フォレストを復元する手順
• AD フォレストの回復 - 問題の特定
• AD フォレストの回復 - 回復方法を決定する
• AD フォレストの回復 - 最初の回復の実行
• AD フォレストの回復 - 手順
• AD フォレストの回復 - よく寄せられる質問 (FAQ)
• AD フォレストの回復 - マルチドメイン フォレストで 1 つのドメインを回復する
• AD フォレストの回復 - 残りの DC を再デプロイする
• AD フォレストの回復 - 仮想化
• AD フォレストの回復 - クリーンアップ