none
コンピュータアカウントが勝手に無効になってしまう RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    初心者です。
    現在、Windows Server 2008 R2,Windows Server 2003 ×2台 をDCにして、ドメインを構築しています。
    ここ数日、Windowsログオン時に「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」と表示されるケースが一日一回発生しています。
    発生するパソコンに共通点は無さそうです。
    DCサーバを確認しますと、Windows Server 2003のいずれかで当該コンピュータアカウントが無効になっています。もちろん手動で無効にはしていません。
    ドメインに入り直すことで解消しますが、数日するとまた同じパソコンで同じエラーが出ます。コンピュータ名を変更すると再度発生はありません。
    今までも年に一回程度は発生していましたが、ここ数日は毎日です。どういった原因が考えられますでしょうか。
    2016年5月20日 3:01
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票
    やきです。

    このメッセージであれば、以下が参考になると思います。

    ドメイン コントローラーのシステム ログのイベント ID 11 について
    https://support.microsoft.com/ja-jp/kb/321044

    何らかの理由で、同名のSPNという属性を持つオブジェクトが存在することが原因とのことです。
    調べ方も書かれていますので、ご確認ください。
    2016年5月25日 2:20
    |
  • Question
    サインインして投票
    0
    サインインして投票
    やきさん
    ご返信ありがとうございます、遅くなってすみません。
    教えて頂いたページを見たのですが、恥ずかしながら私には難しくてできませんでした……。
    ですが、特に調子の悪かった2003のサーバの1台をシャットダウンしたところ、今回の問題がピタリとやみました。
    この対応が正しいかはわからないのですが、しばらくこのままで様子を見ようと思います。
    ありがとうございました。また何かありましたらどうぞよろしくお願いします。
    2016年6月7日 0:26
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    そのエラーメッセージで検索をかけるとHITしますが、多くはセキュアチャンネルの破損やコンピュータアカウントのパスワード不一致によるものです。

    対策としてはドメインに入りなおすという対策があっていますが、あまり頻繁に起きるようであれば、コンピューターアカウントのパスワードを定期的に変更しないように設定します。

    このワークステーションとプライマリ ドメインとの信頼関係に失敗する
    https://social.technet.microsoft.com/Forums/ja-JP/898a1bb6-f0f4-4d27-a692-6022b0c4b4e1/-?forum=w7itprogeneralja

    2016年5月20日 4:20
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、いくつかの可能性があり、現状特定は難しいと思います。

    通常ですと、「ドメインコントローラ同士の複製」がうまくいっていないケースで起こることがありますので、まずはすべてのドメインコントローラの「イベントログ」を調べて、繰り返し発生しているエラーを調べるといいと思います。

    うえとはべつですが、4月に適用されたWindows 7の更新プログラムのうち、あるものをインストールすると「ユーザパスワードが更新できなくなる」という問題が起こることがあるようです。この問題はユーザだけではなく「コンピュータのパスワードの更新」時にも発生しますので、したの過去ログを参考にしていただき、いったん該当の更新プログラムをアンインストールすると、問題の切り分けができるかもしれません。

    https://social.technet.microsoft.com/Forums/ja-JP/ac5866bf-5aa3-4c78-93b4-98cd8f61a509/activedirectory?forum=activedirectoryja

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年5月20日 4:24
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    やきさん
    ご返信ありがとうございます。先日投稿してからは再現していません。
    ドメインに入り直すことが対策としてあっていると聞いて安心しました。
    ユーザアカウントは知っていましたが、コンピューターアカウントのパスワードもあるのですね。
    知りませんでした。
    また頻繁に発生するようであれば設定したいと思います。
    2016年5月25日 0:37
    |
  • Question
    サインインして投票
    1
    サインインして投票
    チャブーンさん
    ご返信ありがとうございます。先日投稿してからは再現していません。
    イベントログを見たところ、以下のログが繰り返し発生していました。
    今回の件と関係あるのでしょうか?

    kerberos クライアントはサーバー XXX(サーバ名)$ から KRB_AP_ERR_MODIFIED エラーを 受信しました。使用したターゲット名は cifs/XXX(サーバ名+ドメイン名) でした。これは kerberos サービス チケットの暗号化に使用されたパスワードはターゲット サーバーにある パスワードと同じではないことを示します。通常これは、ターゲット領域 (XXX(ドメイン名)) および  クライアント領域にある同じ名前のコンピュータアカウントが原因です。  システム管理者に問い合わせてください。
    2016年5月25日 0:38
    |
  • Question
    サインインして投票
    0
    サインインして投票
    やきです。

    このメッセージであれば、以下が参考になると思います。

    ドメイン コントローラーのシステム ログのイベント ID 11 について
    https://support.microsoft.com/ja-jp/kb/321044

    何らかの理由で、同名のSPNという属性を持つオブジェクトが存在することが原因とのことです。
    調べ方も書かれていますので、ご確認ください。
    2016年5月25日 2:20
    |
  • Question
    サインインして投票
    0
    サインインして投票
    やきさん
    ご返信ありがとうございます、遅くなってすみません。
    教えて頂いたページを見たのですが、恥ずかしながら私には難しくてできませんでした……。
    ですが、特に調子の悪かった2003のサーバの1台をシャットダウンしたところ、今回の問題がピタリとやみました。
    この対応が正しいかはわからないのですが、しばらくこのままで様子を見ようと思います。
    ありがとうございました。また何かありましたらどうぞよろしくお願いします。
    2016年6月7日 0:26
    |