仮想デスクトップを構築していると、よく話題にあがるのがコンピュータアカウントのパスワードに関してです。
この話は仮想デスクトップに限らず、物理マシンでも関連するのですが、、、
基本的にWindowsでは、ユーザがログインする際に入力するパスワードと、コンピュータが起動時にDC(AD)との認証に使うパスワードの2種類があります。
通常、一般ユーザーが意識するのは、Windowsにログインする際に入力するパスワードのみだと思います。
以前、仮想デスクトップを構築していると、顧客からこんな質問が出てきました。
Q1 長期間、仮想デスクトップ、マシンを起動しないまま放置しておくとドメインに認証できなくなる事はあるか?
Q2 仮想マシンのバックアップから復元した際に、ドメインにログインできなくなる事はあるか?
構築していると、上記のような質問をされて、即答できないケースもあると思います。
上記件について、コンピュータアカウントのパスワードの振舞いついて説明されたtechnetのブログがあるので、参考になります。
Machine Account Password Process(blogs.technet.com) ※英語です。
・ドメイン環境では、どれくらいの頻度でコンピュータアカウントのパスワードが変更されるか?
⇒デフォルトでは、30日毎にコンピュータからDCに対してパスワードの変更要求を行います。
※これは”コンピュータから”というキーワードがミソです。
※ポリシーで期間は変更可能です。
・もし、コンピュータのパスワードを変更しなかったら、ログインできなくなるか?
⇒コンピュータのパスワードはDCでなく、各コンピュータ(クライアント)で管理されています。その為、DCが勝手にパスワードを変更する事はありません。また、コンピュータのパスワードを変更しなくても(30日を経過)、ログインできます。
※コンピュータアカウントの削除、無効化などをしない場合。
また、30日経過したコンピュータは、起動時にパスワードの有効期限が切れていることに気づいて、DCにパスワードを要求をかけますが、DCと通信できない場合は、変更されないとあります。
つまり、Q1の長期間、コンピュータを起動せずに放置しておいてもドメインにログオンできます。ただし、長期間、放置しすぎるとPCのシステムクロックがずれていきますので、その場合は、ドメインへのアクセスに失敗する可能性があります。
続いて、Q2の以前取得した仮想マシンのバックアップから復元した場合ですが、バックアップを取得した時期が古い場合は、ドメインにアクセスできない可能性があります。
理由として、コンピュータアカウントのパスワードは、クライアントPCとDCの両方で保持して、その整合性をとるようにしています。そして、そのパスワードは30日毎に、クライアントから変更要求をかける為、定期的に更新がかかることになります。
しかし、かなり前に取得したバックアップだと、パスワードが古い状態のものしかない為、DCがデータベースに保持するパスワードとクライアントPCの持つパスワードに不整合が生じ、ドメインにアクセスできない事象が発生する可能性があります。
この事象が発生した場合、ドメイン再参加などで復旧できます。
バックアップは取得していたけど、いざリストアしてみたら、コンピュータアカウントのパスワードが古くてドメインにアクセスできないなんて事がないように注意してください。
 |
