Active Directory環境下でドメインにログインできなくなる

■現象

HD革命/WinProtectorで保護していると、ドメインに参加しているパソコンでログイン画面にて
「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。」と表示されドメインユーザーにログインできなくなる現象が月1回程度で発生する。

■原因

「コンピューターアカウント」のパスワード切れが原因です。
※コンピューターアカウントとユーザーアカウントは別のものです。

コンピューターアカウントのパスワードは、ドメインコントローラー(サーバー)とドメインメンバー(クライアント)が通信を行うときに使用されるものです。(通常、ユーザーは意識しません。)

このパスワードはサーバー側からクライアント側へ30日ごとに通知され、クライアントはその情報をローカルに保存します。

サーバー側には、現在のパスワードと1つ前に渡したパスワードを記録していて、このパスワードと一致しないクライアントとは通信できません。
(クライアントからログオンしようとすると「~このドメインにログオンできません。」と表示されてしまう。)

HD革命/WinProtectorを使用した場合を考えてみます。

ドメインに関する設定は行われている状態とします。
→このときのパスワードをP1とします。

HD革命/WinProtectorを使用を続けて30日経過すると、新しいパスワードP2がサーバーから通知されます。

しかし、HD革命/WinProtectorで保護しているので、新しく通知されたパスワードP2はクライアントに保存されません(破棄されます)
結果として、クライアントに保存されているパスワードはP1になりますが、サーバー側には、パスワードP1、P2の両方の情報を持っているのでサーバーとクライアントで通信可能です。

さらに30日が経過して、サーバーからさらに新しいパスワードP3が通知されます。
やはり、クライアント側はHD革命/WinProtectorで保護されているので、クライアントに保存されているパスワードはP1です。

サーバー側はパスワードP1の情報は無くなり、パスワードP2、P3の情報が保存されています。

結果、サーバーとクライアントに保存されているコンピューターアカウントのパスワード情報が一致しなくなり、ドメインにログオンできなくなります。

■回避方法

この現象を回避するためには、以下の通りコンピューターアカウントのパスワードの更新を停止してみてください。

▼クライアント側の設定
(HD革命/WinProtectorの保護を解除してある状態で)グループポリシーエディタで、

[コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [セキュリティ オプション]

にある

「ドメイン メンバ : コンピュータ アカウント パスワード : 定期的な変更を無効にする」
を "有効" にする

※グループポリシーエディタが起動できない場合は、レジストリエディタから

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

を開いて、DisablePasswordChange(DWORD値)の値を 1 にする。
→DisablePasswordChangeがない場合は追加する(追加方法は末尾の図参照)。

▼ドメイン側の設定
グループポリシーエディタで

[コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [セキュリティ オプション]

にある

「ドメイン コントローラー : コンピュータ アカウント パスワードの変更を拒否する」
を "有効" にする

※グループポリシーエディタが起動できない場合は、レジストリエディタから

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

を開いて、RefusePasswordChange(DWORD値)の値を 1 にする。
→RefusePasswordChangeがない場合は追加する(追加方法は末尾の図参照)。

ただし、これらの設定を行うと、セキュリティ的なリスクが上がるという点はございます。何卒ご容赦のほどお願いいたします。

※レジストリキーの追加方法

© 2018 - 2020 ARK Information Systems Inc. All Rights Reserved.