いつも参考にさせていただいております。
表題の件につきまして、お知恵をお借りできますと幸いです。
【発生している事象】
・Windows10 および Windows 2008 R2 のサーバーで「パスワードが違う」と表示されてログインできない
・ログインにはActive Directoryのユーザーを使っている
・この状態になると問題の発生したPC/サーバーを再起動しないとログインできない
・ただし、ローカルのAdministratorではログインが行える
・複数人で発生しているので単純なパスワードミスということはない
【事象の発生タイミング】
・Active Directoryサーバーをリプレイスしたあとから発生している
・PCがスリープ状態など、ロック画面に移行した後に発生する
・把握しているだけでも1週間に1台ぐらいの割合で発生
【機器構成】
■Windows Server 2016 (Active Directory) 3台
■Windows Server 2008 R2 (Active Directory に参加しているサーバー) 30 台
■Windows 10 Professional (Active Directory に参加しているサーバー) 100 台
【イベントログ情報】
本事象が発生したサーバーのイベントログに以下の記述がありました。
-------------------------------------------------------------------------------------------------------------------
Kerberos クライアントはサーバー xxxxxxxxxx$ から KRB_AP_ERR_MODIFIED エラーを受信しました。
使用したターゲット名は xxxxxxxxxx$ でした。これは、ターゲット サーバーがクライアントにより提供されたチケットの
暗号化に失敗したことを示します。これは、ターゲット サーバーのプリンシパル名 (SPN) が、ターゲット サービスにより
使用されているアカウントとは別のアカウントで登録されている場合に発生します。
ターゲット SPN をサーバーにより使用されているアカウントで登録したうえで、その他のアカウントでは
登録しないようにしてください。このエラーは、ターゲット サービスが使用しているターゲット サービス アカウントの
パスワードが、Kerberos キー配布センター (KDC) の持っているターゲット サービス アカウントのパスワードと異なる場合にも発生します。サーバー上のサービスと KDC の両方が最新のパスワードを使用するように更新されていることを確認してください。ターゲット ドメイン (YYYY.COM) がクライアント ドメイン (YYYY.COM) と異なっており、サーバー名が完全修飾名になっていない場合は、
これら 2 つのドメイン内に同じ名前を与えられたサーバー アカウントがないかをチェックするか、またはサーバーの
指定に完全修飾名を使用してください。
-------------------------------------------------------------------------------------------------------------------
【ActiveDirectoryの状況】
repadmin /showrepl を実施いたしましたが、ドメインコントローラー間で複製に問題はありませんでした。
対応方法についてアドバイスをいただけますと幸いです。
