ドメインアカウントが繰り返しロックされる場合に、古いパスワードを使う端末・サービス・タスクを特定する方法

繰り返すロックはアカウント自体ではなく、端末、サービス、タスク、ドライブ、モバイル機器が古い資格情報を送信し続けることが主因です。

1. 結論と対象範囲

クライアント／サーバーのバージョン、ドメイン参加状況、DNS とゲートウェイ、ネットワーク場所、完全なエラー文、イベント時刻、直近の変更を準備します。例では予約済みの corp.example を使用し、実在する顧客のドメイン、IP、アカウント、機器番号は掲載していません。

本件は「Active Directory とグループポリシー」に分類されます。ログと設定はリモートで収集できる場合がありますが、権限の一括変更、スイッチ経路、本番切替、復元テストは計画した作業枠で実施します。

2. 主な症状と環境確認

• 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。
• 影響範囲、初回発生時刻、再現性、別セグメントでも同じ結果になるかを記録します。
• ドメイン参加端末は社内 DNS を使用します。パブリック DNS では AD の検出に必要な SRV レコードを返せません。

3. 推奨する切り分け順序

1. ドメインコントローラーのセキュリティログでイベント 4740 を確認し、対象アカウント、呼び出し元端末、発生時刻を特定します。単にロック解除して終了しません。
2. 旧端末のメール設定、保存済み RDP 資格情報、ネットワークドライブ、タスク、Windows サービス、スクリプトに古いパスワードが残っていないか確認します。
3. サービスアカウントがロックされた場合、Windows サービス、IIS アプリケーションプール、SQL Agent、バックアップ、外部アプリでの利用箇所を洗い出してからパスワードを更新します。
4. パスワード変更後もロックが続く場合は、オフライン端末、スマートフォン、旧 VPN クライアント、長期間サインアウトしていない端末を重点的に確認します。
5. 誤った保存済み資格情報と古い SMB セッションを削除し、意図したドメインまたはローカルアカウントで接続していることを確認します。
6. 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。

Get-WinEvent -FilterHashtable @{LogName="Security";Id=4740} -MaxEvents 20 | Format-List TimeCreated,Message
cmdkey /list

4. 安全な修復と一括展開

読み取り専用の確認、設定エクスポート、単一システムでの検証を優先します。原因を確認してから対象範囲、作業時間、ロールバック方法を決めます。複数端末ではテスト OU と少数のパイロット端末を用意し、ポリシー結果を保存してから段階的に展開します。

• パスワード変更後もロックが続く場合は、オフライン端末、スマートフォン、旧 VPN クライアント、長期間サインアウトしていない端末を重点的に確認します。
• 誤った保存済み資格情報と古い SMB セッションを削除し、意図したドメインまたはローカルアカウントで接続していることを確認します。
• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。

5. 確認方法・ロールバック・注意点

一度動作しただけで完了としません。利用者操作、ログ、再起動／再ログイン、必要に応じて別ネットワーク場所、次回のポリシー／バックアップ周期で再確認します。

確認とロールバック

• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。
• クライアント、ドメインコントローラー、ハイパーバイザーのタイムゾーンと時刻同期元を確認し、Kerberos の失敗を防ぎます。
• ドメインコントローラー間の AD と SYSVOL の複製、および接続先 DC のポリシーバージョンを確認します。

避けるべき一般的な誤り

• パブリック DNS や hosts への恒久的な DC 登録で回避すること。
• ローカル管理者を確認せずにドメイン離脱すること。
• パイロット検証なしで新しい GPO をドメイン全体へリンクすること。