Active Directory環境下でドメインにログインできなくなる
■現象
HD革命/WinProtectorで保護していると、ドメインに参加しているパソコンでログイン画面にて「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。」と表示されドメインユーザーにログインできなくなる現象が月1回程度で発生する。
■原因
「コンピューターアカウント」のパスワード切れが原因です。
※コンピューターアカウントとユーザーアカウントは別のものです。
コンピューターアカウントのパスワードは、ドメインコントローラー(サーバー)とドメインメンバー(クライアント)が通信を行うときに使用されるものです。(通常、ユーザーは意識しません。)
このパスワードはサーバー側からクライアント側へ30日ごとに通知され、クライアントはその情報をローカルに保存します。
サーバー側には、現在のパスワードと1つ前に渡したパスワードを記録していて、このパスワードと一致しないクライアントとは通信できません。
(クライアントからログオンしようとすると「~このドメインにログオンできません。」と表示されてしまう。)
HD革命/WinProtectorを使用した場合を考えてみます。
ドメインに関する設定は行われている状態とします。
→このときのパスワードをP1とします。
HD革命/WinProtectorを使用を続けて30日経過すると、新しいパスワードP2がサーバーから通知されます。
しかし、HD革命/WinProtectorで保護しているので、新しく通知されたパスワードP2はクライアントに保存されません(破棄されます)
結果として、クライアントに保存されているパスワードはP1になりますが、サーバー側には、パスワードP1、P2の両方の情報を持っているのでサーバーとクライアントで通信可能です。
さらに30日が経過して、サーバーからさらに新しいパスワードP3が通知されます。
やはり、クライアント側はHD革命/WinProtectorで保護されているので、クライアントに保存されているパスワードはP1です。
サーバー側はパスワードP1の情報は無くなり、パスワードP2、P3の情報が保存されています。
結果、サーバーとクライアントに保存されているコンピューターアカウントのパスワード情報が一致しなくなり、ドメインにログオンできなくなります。
■回避方法
この現象を回避するためには、以下の通りコンピューターアカウントのパスワードの更新を停止してみてください。
▼クライアント側の設定
(HD革命/WinProtectorの保護を解除してある状態で)グループポリシーエディタで、
[コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [セキュリティ オプション]
にある
「ドメイン メンバ : コンピュータ アカウント パスワード : 定期的な変更を無効にする」
を "有効" にする
※グループポリシーエディタが起動できない場合は、レジストリエディタから
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
を開いて、DisablePasswordChange(DWORD値)の値を 1 にする。
→DisablePasswordChangeがない場合は追加する(追加方法は末尾の図参照)。
▼ドメイン側の設定
グループポリシーエディタで
[コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [セキュリティ オプション]
にある
「ドメイン コントローラー : コンピュータ アカウント パスワードの変更を拒否する」
を "有効" にする
※グループポリシーエディタが起動できない場合は、レジストリエディタから
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
を開いて、RefusePasswordChange(DWORD値)の値を 1 にする。
→RefusePasswordChangeがない場合は追加する(追加方法は末尾の図参照)。
ただし、これらの設定を行うと、セキュリティ的なリスクが上がるという点はございます。何卒ご容赦のほどお願いいたします。
※レジストリキーの追加方法