AD フォレストの回復-krbtgt パスワードのリセットAD Forest Recovery - Resetting the krbtgt password

適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 および 2012 R2、Windows Server 2008 および 2008 R2Applies To: Windows Server 2019, Windows Server 2016, Windows Server 2012 and 2012 R2, Windows Server 2008 and 2008 R2

ドメインの krbtgt パスワードをリセットするには、次の手順に従います。Use the following procedure to reset the krbtgt password for the domain. 次の手順では、書き込み可能な Dc を適用しますが、読み取り専用ドメインコントローラー (Rodc) は適用しません。The following procedure applies writeable DCs, but not read-only domain controllers (RODCs).


フォレストの回復中に Rodc をオンラインで回復する予定がある場合は、Rodc の krbtgt アカウントを削除しないでください。If you plan to recover RODCs online during the forest recovery, do not delete the krbtgt accounts for the RODCs. RODC の krbtgt アカウントは krbtgt_ number の形式で一覧表示されます。The krbtgt account for an RODC is listed in the format krbtgt_ number.

DC でカスタマイズされたパスワードフィルター (passfilt.dll など) を使用する場合、krbtgt パスワードをリセットしようとするとエラーが発生することがあります。If you use a customized password filter (such as passfilt.dll) on a DC, then you might receive an error when you try to reset the krbtgt password. 回避策などの詳細については、マイクロソフトサポート技術情報の 記事 2549833 (を参照してください 。For more information, including a workaround, see Microsoft Knowledge Base article 2549833 (

Krbtgt パスワードをリセットするにはTo reset the krbtgt password

  1. [ スタート] をクリックし、[ コントロールパネル] をポイントします。次に、[ 管理ツール] をポイントし、[ Active Directory ユーザーとコンピューター] をクリックします。Click Start, point to Control Panel, point to Administrative Tools, and then click Active Directory Users and Computers.

  2. [表示][高度な機能] を順にクリックします。Click View, and then click Advanced Features.

  3. コンソールツリーで、ドメインコンテナーをダブルクリックし、[ ユーザー] をクリックします。In the console tree, double-click the domain container, and then click Users.

  4. 詳細ウィンドウで、 krbtgt ユーザーアカウントを右クリックし、[ パスワードのリセット] をクリックします。In the details pane, right-click the krbtgt user account, and then click Reset Password.


  5. [ 新しいパスワード] に新しいパスワードを入力し、[ パスワードの確認 入力] にパスワードを再入力して、[ OK] をクリックします。In New password, type a new password, retype the password in Confirm password, and then click OK. 指定したパスワードは、指定したパスワードとは無関係に自動的に強力なパスワードが生成されるため、重要ではありません。The password that you specify is not significant because the system will generate a strong password automatically independent of the password that you specify.


この操作は2回実行する必要があります。You should perform this operation twice. キー配布センターサービスアカウントのパスワードを2回リセットすると、リセットの間に10時間の待機期間が必要になります。When resetting the Key Distribution Center Service Account password twice, a 10 hour waiting period is required between resets. ユーザーチケットの最長有効期間 とサービスチケットポリシー設定 の最長 有効期間は10時間です。したがって、最大有効期間が変更されている場合、リセット間隔の最小待機時間は、構成されている値よりも大きくする必要があります。10 hours are the default Maximum lifetime for user ticket and Maximum lifetime for service ticket policy settings, hence in a case where the Maximum lifetime period has been altered, the minimum waiting period between resets should be greater than the configured value.


Krbtgt アカウントのパスワード履歴値は2です。つまり、2つの最新のパスワードが含まれています。The password history value for the krbtgt account is 2, meaning it includes the 2 most recent passwords. パスワードを2回リセットすると、履歴から古いパスワードが実質的にクリアされるため、別の DC がこの DC で古いパスワードを使用してレプリケートする方法はありません。By resetting the password twice you effectively clear any old passwords from the history, so there is no way another DC will replicate with this DC by using an old password.

次の手順Next Steps