Active Directoryフォーラム、Directory Serviceコンサルタントの出番を待つ

このような質問にはMVP For Directory Serviceコンサルタントの出番を待つかMS有償サポートへ問い合わせないと回答がつきそうもない。

 

（質問）

信頼関係を結んであるドメインのDCにイベントID:5722とイベントID:3210が発生し続ける

 

各ドメイン環境は以下の通りで、2つのドメイン間で信頼関係を結んであります。

domain-a.local
DC01:Windows 2000 Server SP4
DC02:Windows 2000 Server SP4(FSMO、GC)

domain-b.local
DC03:Windows Server 2003 R2 SP2
DC04:Windows Server 2008 R2(GC)
DC05:Windows Server 2008 R2(FSMO、GC)

＜現象＞
domain-a.localドメインの全てのDCにイベントID:5722が、
domain-b.localドメインの全てのDCにイベントID:3210が発生し続けています。

＜確認事項＞
信頼関係を検証すると以下のメッセージが表示されます。

【domain-aで検証した場合】
ドメイン domain-a.local の Active Directory ドメイン コントローラー \\DC名 からの、
ドメイン domain-b.local へのセキュリティで保護されたチャネル (SC) の検証に次のエラーで失敗しました:
指定されたドメインがないか、またはアクセスできません。

ドメイン domain-a.local の Active Directory ドメインコントローラー \\DC名 からの、
ドメイン domain-b.local へのセキュリティで保護されたチャネル (SC) のリセットに次のエラーで失敗しました:
指定されたドメインがないか、またはアクセスできません。

【domain-bで検証した場合】
[次の理由により、信頼を検証できませんでした。]
ドメイン domain-b.local の Active Directory ドメイン コントローラー \\DC名 からの、
ドメイン domain-a.local へのセキュリティで保護されたチャネル (SC) の検証に次のエラーで失敗しました:
アクセスが拒否されました。

ドメイン domain-b.local の Active Directory ドメインコントローラー \\DC名 からの、
ドメイン domain-a.local へのセキュリティで保護されたチャネル (SC) のリセットに次のエラーで失敗しました:
アクセスが拒否されました。

同様のエラーにより信頼関係を削除することもできません。

＜確認した情報＞
以下の情報を確認しております。

ドメインにログオンできない～ セキュア チャネルの破損 ～
http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx

ドメインにログオンができずイベントID5722が記録される
http://itpro.nikkeibp.co.jp/article/COLUMN/20071207/289082/

これらを読み、セキュアチャネルの仕組みはある程度の理解をしたつもりなのですが、
対処方法としてはイベントID:3210が発生しているマシンをドメインに再参加させるというものでした。
しかし、今回イベントID:3210が発生しているのはドメイン内の全てのDCであり、
ドメインに再参加（DC降格→DC昇格がこれに当たる？）は該当しないかと考えております。

また、DC04、DC05でnltest /sc_verify:domain-a.localを実行した結果は以下の通りです。

フラグ: 80
信頼された DC 名
信頼された DC 接続状態 Status = 5 0x5 ERROR_ACCESS_DENIED
信頼の確認 Status = 5 0x5 ERROR_ACCESS_DENIED
コマンドは正常に完了しました

これらの結果からDCのコンピュータアカウントのリセットをする以下の情報に行き当たりました。

Netdom.exe を使用して Windows Server DCのコンピューター アカウントのパスワードをリセットする方法
http://support.microsoft.com/kb/325850/ja

前述の環境と似せたテスト環境を作り、実際に2008 R2のDCで上記の内容を確認したのですが、
テスト環境ではセキュアチャネルの破損を再現できていないため、Netdomコマンドの効果が不明です。

ここで質問です。

1.この状況に対してNetdomを使ってDCのコンピュータアカウントのリセットを行うことは有効でしょうか？
（DC03～05でエラーが出ているので、DC03～05でNetdomを実行する必要がある？他の対処法があるのでしょうか？）

2.MSのKB325850を参考に、以下の順序での対処を想定しているのですが、問題ないでしょうか？

　2-1.DC03、DC04でKDCサービスを停止し、スタートアップの種類を「手動」に変更する。
　2-2.DC05を再起動し、Kerberosチケットキャッシュを削除する。
　2-3.コマンドプロンプトで「netdom resetpwd /s:server /ud:domain\User /pd:*」を実行する。
　2-4.DC05を再起動する。
　2-5.nltest /sc_verify:domain-a.localの実行結果に問題がなければDC03、DC04でも2-2～2-5の手順を繰り返す。

ご教示頂けますでしょうか？何卒よろしくお願い致します。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/1ce039fd-867f-47e4-8bc1-508452e584b3