Active Directory フォレストの回復 - krbtgt パスワードのリセット

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 および 2012 R2、Windows Server 2008 および 2008 R2

次の手順を使って、ドメインの krbtgt パスワードをリセットします。 次の手順は、書き込み可能な DC に適用されますが、読み取り専用ドメイン コントローラー (RODC) には適用されません。

重要

フォレストの回復中に RODC をオンラインで回復する予定の場合は、RODC の krbtgt アカウントを削除しないでください。 RODC の krbtgt アカウントは、krbtgt_number という形式で表示されます。

カスタマイズされたパスワード フィルター (passfilt.dll など) を DC 上で使っている場合、krbtgt パスワードをリセットしようとするとエラーが発生することがあります。 回避策などの詳細については、Microsoft サポート技術情報の記事 2549833 を参照してください。

krbtgt パスワードのリセット

  1. [スタート] を選択し、[コントロール パネル][管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] を選択します。
  2. [ビュー] を選択してから [高度な機能] を選択します。
  3. コンソール ツリーのドメイン コンテナーをダブルクリックし、[ユーザー] を選択します。
  4. 詳細ウィンドウの krbtgt ユーザー アカウントを右クリックし、[パスワードのリセット] を選択します。 Reset password
  5. [新しいパスワード] に新しいパスワードを入力し、[パスワードの確認入力] にそのパスワードをもう一度入力して [OK] を選択します。 指定するパスワードとは関係なく、強力なパスワードがシステムによって自動生成されるので、指定するパスワードは重要ではありません。

重要

この操作は 2 回実行する必要があります。 キー配布センター サービス アカウントのパスワードを 2 回リセットする場合、リセット間隔として 10 時間の待機時間が必要です。 10 時間は既定の [チケットの最長有効期間][サービス チケットの最長有効期間] のポリシー構成です。そのため、最長有効期間を変更した場合は、リセット間隔の最短待機時間を構成した値よりも長くする必要があります。

注意

krbtgt アカウントのパスワード履歴値は 2 です。つまり、最新の 2 つのパスワードが含まれています。 パスワードを 2 回リセットすることで、実質的に履歴から古いパスワードをクリアできます。そのため、別の DC が古いパスワードを使ってこの DC とレプリケートすることはできなくなります。

次のステップ