ドメインにログオンができずイベントID5722が記録される

2007.12.17

Active DirectoryでWindowsドメインを構成しています。クライアントをドメインにログオンさせようとすると，ある時から以下のエラー・メッセージが表示されて，ログオンができなくなってしまいました。

図A●クライアントに表示されたエラー・メッセージ

　そこで，クライアントのネットワーク設定（参照先DNSなど）を確認しましたが，特に問題は見つかりませんでした。また，ドメイン・コントローラ上にもログオンしたいパソコンのコンピュータ・オブジェクトはきちんと存在しています。そこで，ドメイン・コントローラのイベント・ログを見たところ，以下のようにNetlogonというソースからイベントIDが5722というイベントが発生したというログが記録されていました。いったい何が起こったのでしょうか？

図B●ドメイン・コントローラにはNetlogonのイベントID5722が記録されていた

　NetlogonのイベントID：5722というエラーは，コンピュータがドメイン・レベルの情報のやりとりを必要としたときに，ドメイン・コントローラとのコンピュータ認証が成功していないためにアクセスを拒否された，ということを表しています。この問題はクライアントのパソコンを起動したときに，ドメイン・コントローラとの「セキュリティ・チャネル」が確立していないことで，発生していると考えられます。

　Active Directoryのドメイン環境では，クライアントのパソコンが起動した際に，ドメイン・コントローラとの間で暗号化したセッションを確立してドメインに参加するために必要な設定をします。この暗号化したセッションは「セキュリティ・チャネル」（あるいはセキュア・チャネル）と呼ばれ，ドメイン・コントローラ側のコンピュータ・アカウントを使って認証を処理します。

　具体的には，コンピュータがドメインに参加するときにコンピュータ自身のLSA（ローカル・セキュリティ機関）と，ドメイン・コントローラに登録されているコンピュータ・アカウントの間で同一のパスワードを持っています。そうして，コンピュータ起動時にこのパスワードでドメイン・コントローラとの間でKerberos認証を実行しています。これに成功すると，コンピュータはドメイン・コントローラに認証されて，ドメインにログオン可能になります。ところが，何らかの理由でLSAとドメイン・コントローラの間でパスワードが不一致の状態となってしまうと，コンピュータ・アカウントがKerberos認証に失敗します。そうした場合，そのコンピュータからのドメイン・レベルでの通信は拒否されるため，ドメインへのログオンが不可能になります。