Windows TIPS

［Network］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ Windows OSの復元後、ドメイン・ログオンに失敗する現象を防ぐ ――コンピュータ・アカウントのパスワード自動更新を無効化する―― → 解説をスキップして操作方法を読む デジタルアドバンテージ　島田 広道 2010/07/16 2010/11/24更新 対象OS Windows 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2

■ Windows OSのディスク・イメージをリストアしたり、仮想マシンのスナップショットを適用したりしてシステムを以前の状態に戻すと、ドメインへのログオンに失敗することがある。 ■ ドメイン・ログオンに使われるコンピュータ・アカウントのパスワードは定期的に更新されるため、コンピュータ側パスワードが古いものに戻るとパスワード照合に失敗し、ドメインへログオンできなくなってしまう。 ■ コンピュータ・アカウントのパスワードの定期的な自動更新を無効化すると、こうした現象を防止できる。

解説

　テスト環境を簡単に復元できるよう、例えばディスク・イメージング・ツールでWindows OSのディスクをそのままイメージ・バックアップしたり、仮想マシンであればスナップショットを取得したりするのは、よくあることだ。しかし、Windowsをドメインに参加させたままイメージやスナップショットを取得した場合、それを復元すると、再起動後に次のようなエラー・メッセージが表示されてドメインにログオンできないことがある。

ディスク・イメージの復元後、ドメインにログオンできなくなった例

これは、Active Directoryドメインに参加した状態でバックアップしたWindows OSのディスク・イメージを復元した後、Windowsを起動してドメインにログオンしようとしたところ。

ドメイン・ユーザー・アカウントを指定してドメインにログオンしようとした。 ドメインに接続できないというエラー・メッセージが表示された。ただし、ネットワーク障害などによってドメイン・コントローラと通信できなかった場合にも、同じエラーが表示されることがある。

　このトラブルには、コンピュータ・アカウントのパスワードとその自動的な定期更新が関係している。

　ユーザー自身とドメイン・ユーザー・アカウントの関係と同じく、ドメインに参加しているコンピュータにも「コンピュータ・アカウント」があり、その情報はドメイン・コントローラの持つデータベースに格納されている。そしてコンピュータ・アカウントにもパスワードがあり、ドメインとコンピュータの双方に保存されていて両者間の認証に利用される。ただし、ユーザー・アカウントと違ってコンピュータ・アカウントのパスワードは自動で更新され、通常はユーザーの目に触れることはない。デフォルトの更新間隔である30日が経つと、コンピュータはドメイン・コントローラと通信しあって新たなパスワードを生成し、双方で更新・保存する。

　ところが、ドメインとコンピュータの間で何らかの理由によりパスワードが食い違ってしまうと、そのコンピュータはドメインに正しく参加していないと見なされ、ドメインにログオンできなくなってしまう。上記のエラーの場合、まずディスク・イメージの作成後、そのコンピュータとドメインの間でパスワードの定期更新が発生し、パスワードが変更されてしまった。次にディスク・イメージからWindowsのシステムを復元したことでコンピュータ側のパスワードが古いものに戻り、ドメイン側のパスワードと食い違いが生じた。その結果、コンピュータの認証が失敗するようになり、またパスワードの自動更新もできなくなってしまった。

　この状態に陥ると、いったんコンピュータをドメインから外してワークグループに戻してから再びドメインに参加させる、などといった手順で修復するまでドメインにはログオンできない。これではテスト環境の復元に手間がかかるばかりだ。

　そこでもしコンピュータ・アカウントのパスワード自動更新を止めて、ずっと同じパスワードを使い続けるようにすれば、こうしたトラブルは防止できる。ただし、パスワードが変わらないと、パスワードが窃取されてドメインへの侵入に悪用される危険性が高くなる。また古いディスク・イメージを盗まれた場合、容易にドメインへログオンされる危険もある。

　こうした危険性を踏まえ、コンピュータ・パスワードを無効化するのはテスト環境だけに留めておき、実運用環境では避けた方が無難だろう。

操作方法

　コンピュータ・アカウントのパスワードの自動的な更新を無効化するには、レジストリを修正する方法とグループ・ポリシーを設定する方法の2種類がある。いずれも、ドメインに参加しているクライアント・コンピュータ側で作業を行う。

レジストリを修正してパスワードの自動更新を無効化する

　レジストリ修正によってコンピュータ・アカウントのパスワード自動更新を無効化するには、ドメイン・ログオンの認証にかかわるNet Logonサービスの設定を下表のように変更する。

［注意］

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ・エディタの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。

項目	内容
キー	HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
値の名前	DisablePasswordChange
値の型	REG_DWORD型
値の内容	1→コンピュータ・アカウントのパスワードは自動で更新されない 0または存在しない→コンピュータ・アカウントのパスワードは自動的に定期更新される
コンピュータ・アカウントのパスワード自動更新を無効化するためのレジストリ・エントリ

　レジストリを修正したら、次のようにNet Logonサービスを再起動する。もちろん、システムの再起動でもよい。

C:\>net stop "Net Logon" Net Logon サービスを停止中です. Net Logon サービスは正常に停止されました。 C:\>net start "Net Logon" Net Logon サービスを開始します. Net Logon サービスは正常に開始されました。

　これで実際にパスワードの自動更新が無効化される。

グループ・ポリシーでパスワード更新を無効化する

グループ・ポリシーでパスワードの自動更新を無効化するには、まずグループ・ポリシー・エディタを起動する。ローカル・コンピュータが対象なら、次のコマンドラインを実行すると起動できる。

gpedit.msc

　複数のコンピュータ／ユーザーに対して一律に設定するなら、GPMCなどの管理ツールからグループ・ポリシー・エディタを起動する。グループ・ポリシー・エディタの基本的な使い方については、TIPS「グループ・ポリシー・エディタの使用法」を、GPMCについてはTIPS「グループ・ポリシー管理を強力に支援するGPMCを活用する」を参照していただきたい。

　グループ・ポリシー・エディタを起動したら、左ペインのツリーから次のエントリを見つける。

• ［コンピューターの構成］−［ポリシー］−［Windows の設定］−［セキュリティの設定］−［ローカル ポリシー］−［セキュリティ オプション］
  ※2番目の［ポリシー］が見つからなければ、［Windows の設定］からたどっていく。

　［セキュリティ オプション］エントリを選んだら、右ペインの［ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする］ポリシーをダブルクリックしてプロパティを開く。

グループ・ポリシー・エディタにおける、コンピュータ・アカウントのパスワード自動更新を無効化するための設定個所

グループ・ポリシー・エディタを起動したら、左ペインのツリーを展開してのエントリを見つける。

これを選ぶ。 これをダブルクリックしてプロパティを開く。→へ

　次のようにプロパティが表示されたら、［このポリシーの設定を定義する］にチェックを入れてから［有効］ラジオボタンを選択し、［OK］ボタンをクリックする。

［ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする］ポリシーのプロパティ画面

ここでコンピュータ・アカウントのパスワードの自動的な定期更新を無効化または有効化できる。

このタブを選ぶ。 　 これにチェックを入れてオンにする。 　 こちらを選ぶと、パスワード自動更新が無効化される。 　 これをクリックすると、このポリシー変更が実際に反映される。

　最後に対象のコンピュータを再起動する。これにより、上記のグループ・ポリシーが適用されるとともにNet Logonサービスが再起動され、設定変更が反映される。以上で設定作業は完了だ。

　なお、Windows 2000でグループ・ポリシー・エディタを起動すると、［ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする］ポリシーが表示されないことがある。ただし、この場合でもポリシー適用は可能だったので、Windows XP以降のWindows OS上でグループ・ポリシー・エディタを起動して設定を変更すればよいだろう。

◆

　なお、すでにパスワードの食い違いが生じてドメインにログオンできなくなった状態で上記の設定をしても、パスワードは修復されない。パスワードが更新される前に、あらかじめ上記の設定をしておく必要がある。

更新履歴

【2010/11/24】公開当初、「解説」において、 「上記のエラーの場合、2カ月以上前のディスク・イメージからWindowsのシステムを復元すると、ドメインに比べてコンピュータ側のパスワードは2カ月＝30日×2回分、つまり2回分以上古いものに巻き戻る。その結果、パスワードが食い違って照合に失敗し、コンピュータの認証も失敗するようになり、またパスワードの自動更新もできなくなってしまう（なお、1回分古いだけなら自動的に復旧できるようだ）。」 と記述していました。しかし実際には、ディスク・イメージを作成してから2カ月あるいは1カ月以内に復元しても、その間にコンピュータ・アカウントのパスワードが更新されると、コンピュータの認証やパスワードの自動更新に失敗することがあります。そこで、イメージの作成から復元までの期間を示す記述を削除し、あわせて該当する解説部分を修正しました。以上、お詫びして訂正いたします。

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）